Infection rootkit

Résolu
Kaeldos Messages postés 79 Statut Membre -  
 WinError -
Bonjour à tous.

Un fichier du nom "zroksaq.sys" à été détecté sur mon PC, a priori un rootkit. Étant une bille en informatique je ne sais pas comment m'en débarrasser.

Merci d'avance pour votre aide.
Configuration: Windows Vista / Firefox 3.0.18

80 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

La discussion porte sur la détection d'un fichier nommé zroksaq.sys, considéré comme un rootkit sous Windows Vista, et sur les méthodes pour s'en débarrasser. Plusieurs éléments de réponse suggèrent d'analyser le système avec des outils spécialisés et d'interpréter les rapports via OTL, afin d'identifier les processus, modules et services liés au rootkit. La réponse principale présente deux rapports générés par OTL, répertoriant des éléments sûrs et des pilotes courants, ainsi que des éléments suspects liés au noyau. En complément, la liste montre des pilotes et services légitimes d'éditeurs connus, ce qui invite à croiser les résultats avec d'autres outils et à envisager des mesures conservatrices comme une restauration système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe
    • Double clique sur RSIT.exe pour lancer l'outil.
    • Clique sur "Continue" à l'écran Disclaimer.
    • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
    • Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp
    0
  2. Kaeldos Messages postés 79 Statut Membre 1
     
    Avant tout merci à toi pour ta réponse rapide.
    Voici le premier rapport:

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by YannBastian at 2010-02-25 13:32:40
    Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
    System drive C: has 164 GB (49%) free of 331 GB
    Total RAM: 3070 MB (29% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:33:05, on 25/02/2010
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\hp\support\hpsysdrv.exe
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Steam\Steam.exe
    C:\Windows\system32\wbem\unsecapp.exe
    C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Mumble\mumble.exe
    C:\Program Files\Mumble\dbus-daemon.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\explorer.exe
    C:\Users\YannBastian\Desktop\RSIT.exe
    C:\Program Files\trend micro\YannBastian.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1978305
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
    O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
    O4 - HKLM\..\Run: [DPService] "C:\Program Files\HP\DVDPlay\DPService.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
    O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Multi File Downloader] C:\Program Files\Multi File Downloader\MultiFileDownloader.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O13 - Gopher Prefix:
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Service Google Update (gupdate1ca89bfce2f08dc) (gupdate1ca89bfce2f08dc) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
    O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
    0
  3. Kaeldos Messages postés 79 Statut Membre 1
     
    et le deuxieme:

    info.txt logfile of random's system information tool 1.06 2010-02-25 13:33:11

    ======Uninstall list======

    -->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
    -->MsiExec /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Reader 8.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\setup.exe /REMOVE
    Blood Bowl 1.0.1.3-->"C:\Program Files\Cyanide\Blood Bowl\unins000.exe"
    CABAL Online-->"C:\Program Files\Games-Masters.com\CABAL Online (Europe)\unins000.exe"
    Chaos-League-->C:\Program Files\Chaos-League\Cyanide\Chaos-League\uninstall.exe
    Cities XL - Limited Edition-->"C:\Program Files\Steam\steam.exe" steam://uninstall/35500
    CyberLink DVD Suite Deluxe-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\Setup.exe" -uninstall
    DAEMON Tools Toolbar-->C:\Program Files\DAEMON Tools Toolbar\uninst.exe
    Defence Alliance 2-->"C:\Program Files\Steam\steam.exe" steam://uninstall/35420
    DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
    DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
    DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
    DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
    DivX Plus Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
    DVD Play-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{45D707E9-F3C4-11D9-A373-0050BAE317E1}\Setup.exe" -uninstall
    EA Download Manager-->C:\Program Files\Electronic Arts\EADM\Uninstall.exe
    Fraps (remove only)-->"C:\Fraps\uninstall.exe"
    GameCenter-->C:\GameCenter\uninstall.exe
    Google Chrome-->"C:\Program Files\Google\Chrome\Application\4.0.249.89\Installer\setup.exe" --uninstall --system-level
    Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
    Hewlett-Packard Active Check for Health Check-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
    Hewlett-Packard Asset Agent for Health Check-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Hitman Pro 3.5-->"C:\Program Files\Hitman Pro 3.5\HitmanPro35.exe" /uninstall
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    HP Active Support Library-->C:\Program Files\InstallShield Installation Information\{5DAA9C36-8F8B-462F-8CCA-E205BC3751F5}\setup.exe -runfromtemp -l0x0409
    HP Customer Experience Enhancements-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C27C82E4-9C53-4D76-9ED3-A01A3D5EE679}\setup.exe" -l0x9 -removeonly
    HP Customer Feedback-->MsiExec.exe /I{9DBA770F-BF73-4D39-B1DF-6035D95268FC}
    HP Demo-->MsiExec.exe /X{48BF4489-0C58-4E80-BB17-94A673CE310A}
    HP Easy Setup - Frontend-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F405DC00-37F3-4A5F-97F4-C1310CCEE53A}\setup.exe" -l0x9 -removeonly
    HP Photosmart Essential 3.0-->C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat
    HP Recovery Manager RSS-->MsiExec.exe /X{A0640EC2-B97E-4FC1-AD14-227C9E386BB4}
    HP Update-->MsiExec.exe /X{C8FD5BC1-92EF-4C15-92A9-F9AC7F61985F}
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
    Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
    Killing Floor SDK-->"C:\Program Files\Steam\steam.exe" steam://uninstall/1260
    Killing Floor-->"C:\Program Files\Steam\steam.exe" steam://uninstall/1250
    LabelPrint-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe" -uninstall
    Left 4 Dead 2-->"C:\Program Files\Steam\steam.exe" steam://uninstall/550
    Left 4 Dead-->"C:\Program Files\Steam\steam.exe" steam://uninstall/500
    LightScribe System Software 1.14.17.1-->MsiExec.exe /X{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}
    Medieval Lords - Démo-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6861F-9EEF-4873-8778-43BC7D6F90BA}\Setup.exe" -l0x40c Uninstall
    Medieval Lords-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FDE0D0EB-486C-48B9-A6B5-4BEAA078AF73}\setup.exe" -l0x40c Uninstall
    MegaTrainer XL V1.3.3.6-->"C:\Program Files\CRS-MegaDev\MegaTrainer XL\unins000.exe"
    Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
    Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
    Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411-->MsiExec.exe /X{5DA8F6CD-C70E-39D8-8430-3D9808D6BD17}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
    Microsoft Works-->MsiExec.exe /I{3B160861-7250-451E-B5EE-8B92BF30A710}
    Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
    Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
    Mozilla Firefox (3.0.18)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
    Mumble and Murmur-->C:\Program Files\Mumble\Uninstall.exe
    muvee autoProducer 6.1-->C:\Program Files\InstallShield Installation Information\{B9AB88D8-3A09-4A4A-8993-0E2F6F9F294B}\muveesetup.exe -removeonly -runfromtemp
    NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
    NVIDIA PhysX-->MsiExec.exe /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
    NVIDIA Stereoscopic 3D Driver-->"C:\Program Files\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Outils de diagnostic du matériel-->C:\Program Files\PC-Doctor for Windows\uninst.exe
    Overlord II-->"C:\Program Files\Steam\steam.exe" steam://uninstall/12810
    Power2Go-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" -uninstall
    PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
    PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
    Python 2.5.2-->MsiExec.exe /I{6B976ADF-8AE8-434E-B282-A06C7F624D2F}
    RCT3 Soaked-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EA926717-CE5A-4CB4-AB21-9E6E9565A458}\Setup.exe" -l0x40c
    Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -removeonly
    RollerCoaster Tycoon 3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x40c
    SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
    Silkroad-->C:\Program Files\Silkroad\Remove.Exe
    SimCity 4 Deluxe-->C:\Program Files\Maxis\SimCity 4 Deluxe\EAUninstall.exe
    SPORE™ : Pack d’éléments étranges et mignons-->"C:\Program Files\InstallShield Installation Information\{C07F8D75-7A8D-400E-A8F9-A3F396B49BB1}\SPORE_BP1Setup.exe" -runfromtemp -l0x040c -removeonly
    SPORE™-->"C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\setup.exe" -runfromtemp -l0x040c -removeonly
    Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
    Stronghold 2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{16D2C649-CBA8-44EE-B730-12584667D487}\setup.exe" -l0x40c -removeonly
    TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
    Torchlight-->C:\Program Files\Runic Games\Torchlight\uninstall.exe
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
    VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
    Version de démonstration de Microsoft Office Home and Student 2007-->c:\hp\bin\MSOffice\uninst2.cmd
    VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
    Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
    WinFile-->"C:\Program Files\Multi File Downloader\unins000.exe"
    World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\World of Warcraft\Uninstall.exe
    Wow Cartographe 1.09-->C:\Program Files\WowCartographe\uninst.exe

    ======Security center information======

    AS: Windows Defender

    ======System event log======

    Computer Name: PC-YannBastian
    Event Code: 36874
    Message: Une demande de connexion SSL a été reçue à partir d'une application cliente distante mais aucune des suites de chiffrement prises en charge par l'application cliente ne sont prises en charges par le serveur. La demande de connexion SSL a échoué.
    Record Number: 93744
    Source Name: Schannel
    Time Written: 20100225012136.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-YannBastian
    Event Code: 15016
    Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
    Record Number: 93769
    Source Name: Microsoft-Windows-HttpEvent
    Time Written: 20100225083735.403340-000
    Event Type: Erreur
    User:

    Computer Name: PC-YannBastian
    Event Code: 7026
    Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
    i8042prt
    Record Number: 93836
    Source Name: Service Control Manager
    Time Written: 20100225083913.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-YannBastian
    Event Code: 36874
    Message: Une demande de connexion SSL a été reçue à partir d'une application cliente distante mais aucune des suites de chiffrement prises en charge par l'application cliente ne sont prises en charges par le serveur. La demande de connexion SSL a échoué.
    Record Number: 93853
    Source Name: Schannel
    Time Written: 20100225084759.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-YannBastian
    Event Code: 3004
    Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
    Pour plus d’informations, consultez les données suivantes :
    Non applicable
    ID d’analyse : {953F453D-674F-4DE1-BC5A-84460AE50CCE}
    Utilisateur : PC-YannBastian\YannBastian
    Nom : Unknown
    ID :
    ID de gravité :
    ID de catégorie :
    Chemin d’accès trouvé : driver:hitmanpro35;file:C:\Windows\system32\drivers\hitmanpro35.sys
    Type d’alerte : Logiciel non classifié
    Type de détection :
    Record Number: 93884
    Source Name: Microsoft-Windows-Windows Defender
    Time Written: 20100225110525.000000-000
    Event Type: Avertissement
    User:

    =====Application event log=====

    Computer Name: PC-YannBastian
    Event Code: 4113
    Message: AntiVir a détecté dans le fichier C:\installer_antivir_familial_16122009.exe un code suspect avec la désignation 'TR/Shutdown.AJ'!
    Record Number: 34580
    Source Name: Avira AntiVir
    Time Written: 20100225010328.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-YannBastian
    Event Code: 1002
    Message: Le programme HitmanPro35.exe version 3.5.4.90 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 7f8 Heure de début : 01cab5b5da1e9299 Heure de fin : 2
    Record Number: 34582
    Source Name: Application Hang
    Time Written: 20100225010412.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-YannBastian
    Event Code: 8194
    Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur.

    Opération :
    Données du rédacteur en cours de collecte

    Contexte :
    ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}
    Nom du rédacteur: System Writer
    ID d’instance du rédacteur: {bd185a80-67b3-4f83-be1c-c9f9b5ae1888}
    Record Number: 34583
    Source Name: VSS
    Time Written: 20100225010517.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-YannBastian
    Event Code: 10
    Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
    Record Number: 34619
    Source Name: Microsoft-Windows-WMI
    Time Written: 20100225083913.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-YannBastian
    Event Code: 1000
    Message: Application défaillante HitmanPro35.exe, version 3.5.4.90, horodatage 0x4b7a7654, module défaillant mumble_ol.dll, version 0.0.0.0, horodatage 0x4b4663ee, code d’exception 0xc0000005, décalage d’erreur 0x00013a32, ID du processus 0x60c, heure de début de l’application 0x01cab60a573d5d40.
    Record Number: 34634
    Source Name: Application Error
    Time Written: 20100225110452.000000-000
    Event Type: Erreur
    User:

    =====Security event log=====

    Computer Name: PC-YannBastian
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-YANNBASTIAN$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x2a0
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 21097
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090921144903.428959-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-YannBastian
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 21098
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090921144903.428959-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-YannBastian
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-YANNBASTIAN$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x2a0
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Adresse du réseau : -
    Port : -

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 21099
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090921144903.460160-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-YannBastian
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-YANNBASTIAN$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x2a0
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 21100
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090921144903.460160-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-YannBastian
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 21101
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090921144903.460160-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\hp\bin\Python
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 2, AuthenticAMD
    "PROCESSOR_REVISION"=6b02
    "NUMBER_OF_PROCESSORS"=2
    "TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
    "DFSTRACINGON"=FALSE
    "OnlineServices"=Online Services
    "Platform"=HPD
    "PCBRAND"=Presario
    "MSWorksProductCode"={3B160861-7250-451E-B5EE-8B92BF30A710}

    -----------------EOF-----------------
    0
  4. Kaeldos Messages postés 79 Statut Membre 1
     
    erf modif du message j'avais posté deux fois le deuxieme rapport.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    donc une toolbars indesirable et des restes de Eorezo, il ne faut surtout pas aller sur le site Eorezo c'est un spyware

    * Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
    * Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    * Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    * Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
    * Au menu principal choisi l'option "L" et tape sur [entrée] .
    * Laisse travailler l'outil et ne touche à rien ...
    * Poste le rapport qui apparait à la fin.

    ( le rapport est sauvegardé aussi sous C:\Ad-report.log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    puis

    * Télécharge Malwarebytes
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

    puis configure antivir comme ceci : https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal
    puis fait une mise a jour avec et lance un scan, supprime tous ce qu'il trouve et poste le rapport

    tu as donc 3 rapports a poster
    0
  7. clemtheboss413 Messages postés 782 Statut Membre 7
     
    salut

    plopus bravo!!!

    tu est le seul a savoir utiliser le RSIT sur CCM
    0
  8. Kaeldos Messages postés 79 Statut Membre 1
     
    Je ferais les divers taches un peu plus tard dans la journée, j'ai deux trois urgences là. Merci pour ton aide rapide. JE post les rapports dès que j'ai fait tout cela.
    0
  9. Kaeldos Messages postés 79 Statut Membre 1
     
    le rapport de ad-remover:

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 15:42:50, 25/02/2010 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows Vista™ HomeBasic Service Pack 2 v6.0.6001
    Nom du PC: PC-YANNBASTIAN | Utilisateur actuel: YannBastian
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    C:\Program Files\Save

    (!) -- Fichiers temporaires supprimés.

    .
    HKCU\software\EoRezo
    HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
    HKLM\software\EoRezo
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\EoEngine
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.0.18 [fr] *
    .
    Nom du profil: g2ay6tdk.default (YannBastian)
    .
    (YANNBA~1, prefs.js) Browser.download.dir, C:\Users\YannBastian\Downloads
    (YANNBA~1, prefs.js) Browser.download.lastDir, C:\Users\YannBastian\Desktop
    (YANNBA~1, prefs.js) Browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&SearchSource=3&q={searchTerms}
    (YANNBA~1, prefs.js) Browser.startup.homepage, hxxp://www.daemon-search.com/startpage|hxxp://y.lo.st
    (YANNBA~1, prefs.js) Extensions.enabledItems, {3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091119W,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.18
    (YANNBA~1, prefs.js) Keyword.URL, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&q=
    .
    (YANNBA~1, prefs.js) EFFACE - Browser.search.defaultthis.engineName, Mininova-Vuze Customized Web Search
    (YANNBA~1, prefs.js) EFFACE - Browser.startup.homepage, hxxp://www.daemon-search.com/startpage|hxxp://y.lo.st
    .
    .
    * Internet Explorer Version 7.0.6001.18000 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Start Page: hxxp://fr.msn.com/
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Do404Search: 01000000
    Local Page: C:\Windows\system32\blank.htm
    Show_ToolBar: yes
    Enable Browser Extensions: yes
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Start Page: hxxp://fr.msn.com/
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ============== Suspect (Cracks, Serials, ...) ==============
    .
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.2.9056-to-3.0.3.9183-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.3.9183-to-3.0.8.9464-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9464-to-3.0.8.9506-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9506-to-3.0.9.9551-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.0.9767-to-3.1.1.9806-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.1.9806-to-3.1.1.9835-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.1.9835-to-3.1.2.9901-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.2.9901-to-3.1.3.9947-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\Patches\WoW-3.0.9-to-3.1.0-frFR-Win-patch\Blizzard Updater.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\Patches\WoW-3.1.3-to-3.2.0-frFR-Win-patch\Blizzard Updater.exe
    C:\Users\YannBastian\Downloads\medieval_lords_patch_v1.01b_multi-langues_20285.exe
    .
    ===================================
    .
    4506 Octet(s) - C:\Ad-Report-CLEAN[1].log
    .
    5 Fichier(s) - C:\Users\YANNBA~1\AppData\Local\Temp
    2 Fichier(s) - C:\Windows\Temp
    12 Fichier(s) - C:\Windows\Prefetch
    .
    19 Fichier(s) - C:\Ad-Remover\BACKUP
    0 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 15:49:31 | 25/02/2010 - CLEAN[1]
    .
    ============== E.O.F ==============
    .
    0
  10. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    a quoi corresponde ces patch pour WOW

    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.2.9056-to-3.0.3.9183-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.3.9183-to-3.0.8.9464-frFR-patch.exe
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9464-to-3.0.8.9506-frFR-patch.exe

    si c'est pas des patch OFFICIELS supprime les tous !!

    en attente des autres rapports
    0
  11. Kaeldos Messages postés 79 Statut Membre 1
     
    Très bien je regarde ça de suite pour les patch de wow.
    Sinon rapport suivant, malwarebytes :

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3792
    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    25/02/2010 19:20:13
    mbam-log-2010-02-25 (19-20-13).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 370056
    Temps écoulé: 1 hour(s), 48 minute(s), 59 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\System32\drivers\zroksaq.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    0
  12. Kaeldos Messages postés 79 Statut Membre 1
     
    Les patch de wow sont a priori des "faux positifs". Dans les doute je les ai tous viré. Je m'attele à antivir.
    0
  13. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    concernant les patch si c'est du telecharger sur P2P, c'est a virer bref si tu as supprimer ce que ce n'etait pas vraiment utile.

    passe au scan antivir configurer comme dit dans le lien
    0
  14. Kaeldos Messages postés 79 Statut Membre 1
     
    Ce sont les executable des maj de wow, pas utile de les garder une fois les maj installées.

    Le scan antivir est en route. Sauf qu'il est plus long que je pensais, et je dois aller au taf. Je ne pourrais pas poster le rapport avant demain matin vers 10h30. J'vais relancer le scan et deconnecter le pc d'internet, ça tournera cette nuit.
    0
  15. Kaeldos Messages postés 79 Statut Membre 1
     
    Désolé je suis rentré plus tard que prévu.
    rapport antivir:

    Avira AntiVir Personal
    Date de création du fichier de rapport : jeudi 25 février 2010 20:57

    La recherche porte sur 1792206 souches de virus.

    Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows Vista
    Version de Windows :(Service Pack 1) [6.0.6001]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur :PC-YANNBASTIAN

    Informations de version :
    BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
    AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
    LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
    LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
    ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:14:11
    ANTIVIR1.VDF : 7.10.3.84 5532016 Bytes 26/01/2010 16:03:29
    ANTIVIR2.VDF : 7.10.4.132 1265568 Bytes 23/02/2010 16:18:00
    ANTIVIR3.VDF : 7.10.4.147 110080 Bytes 25/02/2010 18:32:48
    Version du moteur: 8.2.1.172
    AEVDF.DLL : 8.1.1.3 106868 Bytes 24/01/2010 15:56:01
    AESCRIPT.DLL : 8.1.3.16 827771 Bytes 20/02/2010 16:18:19
    AESCN.DLL : 8.1.4.0 127348 Bytes 28/01/2010 16:03:54
    AESBX.DLL : 8.1.1.1 246132 Bytes 23/11/2009 18:16:13
    AERDL.DLL : 8.1.4.2 479602 Bytes 13/02/2010 16:17:43
    AEPACK.DLL : 8.2.0.8 426357 Bytes 13/02/2010 16:17:42
    AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20/02/2010 16:18:16
    AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20/02/2010 16:18:14
    AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 16:00:56
    AEGEN.DLL : 8.1.1.87 369013 Bytes 20/02/2010 16:18:01
    AEEMU.DLL : 8.1.1.0 393587 Bytes 05/10/2009 17:02:06
    AECORE.DLL : 8.1.11.1 184694 Bytes 03/02/2010 16:17:30
    AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
    AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
    AVREP.DLL : 8.0.0.7 159784 Bytes 16/02/2010 16:17:48
    AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
    AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
    NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
    RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

    Configuration pour la recherche actuelle :
    Nom de la tâche..................: Contrôle intégral du système
    Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Documentation....................: bas
    Action principale................: interactif
    Action secondaire................: ignorer
    Recherche sur les secteurs d'amorçage maître: marche
    Recherche sur les secteurs d'amorçage: marche
    Secteurs d'amorçage..............: C:, D:,
    Recherche dans les programmes actifs: marche
    Recherche en cours sur l'enregistrement: marche
    Recherche de Rootkits............: marche
    Fichier mode de recherche........: Tous les fichiers
    Recherche sur les archives.......: marche
    Limiter la profondeur de récursivité: arrêt
    Archive Smart Extensions.........: arrêt
    Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
    Heuristique de macrovirus........: marche
    Heuristique fichier..............: moyen
    Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Début de la recherche : jeudi 25 février 2010 20:57

    La recherche d'objets cachés commence.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\type
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\start
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\errorcontrol
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\group
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\vx6msj3
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\mnaf1y
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\ip3b8l7el5
    [INFO] L'entrée d'enregistrement n'est pas visible.
    '94768' objets ont été contrôlés, '7' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'conime.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'MpCmdRun.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Steam.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpsysdrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvSCPAPISvr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '48' processus ont été contrôlés avec '48' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur
    Secteur d'amorçage maître HD2
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur
    Secteur d'amorçage maître HD3
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur
    Secteur d'amorçage maître HD4
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence.
    Le registre a été contrôlé ( '37' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <COMPAQ>
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\Windows\System32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\Windows\System32\drivers\zroksaq.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    Recherche débutant dans 'D:\' <FACTORY_IMAGE>

    Fin de la recherche : jeudi 25 février 2010 22:01
    Temps nécessaire: 2:04:48 Heure(s)

    La recherche a été effectuée intégralement

    25763 Les répertoires ont été contrôlés
    697867 Des fichiers ont été contrôlés
    0 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    0 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    4 Impossible de contrôler des fichiers
    697863 Fichiers non infectés
    4373 Les archives ont été contrôlées
    8 Avertissements
    0 Consignes
    94768 Des objets ont été contrôlés lors du Rootkitscan
    7 Des objets cachés ont été trouvés
    0
  16. clemtheboss413 Messages postés 782 Statut Membre 7
     
    salut il est possible que tu soit infecté la dedans
    Recherche débutant dans 'C:\' <COMPAQ>
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\Windows\System32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\Windows\System32\drivers\zroksaq.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier

    comme avira n'a pas pu l'ouvrir donc il sont peut-étre infecté
    0
  17. Kaeldos Messages postés 79 Statut Membre 1
     
    okay mais comment les supprimer?

    autre chose depuis hier j'ai firefox qui freeze pas mal. Y compris pendant que je suis en train d'écrire. Je suis obligé de reduire/agrandir comme un malade la fenêtre sinon soit ça mets dix plombes à repartir soit firefox ferme. Et ça à commencer après avoir fait le premier scan avec RSIT.
    0
  18. clemtheboss413 Messages postés 782 Statut Membre 7
     
    oh hé
    attention c'est des fichier système il te faut une confirmation qu'ils soit infecté
    0
  19. Kaeldos Messages postés 79 Statut Membre 1
     
    Je les ai pas encore effacé. J'attends une réponse de plopus. Comme je l'ai dis je suis une bille avec mon pc ( allumes toi, eteinds toi, fonctionnes, voilà mes connaissances) je fais rien sans confirmation.
    0
  20. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    ne suit que les instructions que je te donne stp Kaeldos

    il te reste donc bien ton rootkit qui devrait degager avec sa

    telecharge combofix SUR TON BUREAU
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    lance le, il te demandera d'installer la console de recuperation, ACCEPTE, suit les instruction durant le scan ne touche + a ton PC et a la fin poste le rapport

    tu peux le retrouver dans C:/combofix.txt
    0
  21. Kaeldos Messages postés 79 Statut Membre 1
     
    voici le rapport combofix:

    ComboFix 10-02-26.01 - YannBastian 26/02/2010 19:15:15.1.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.33.1036.18.3070.2336 [GMT 1:00]
    Lancé depuis: c:\users\YannBastian\Desktop\ComboFix.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\$recycle.bin\S-1-5-21-2373954164-2419952531-494492721-500
    c:\$recycle.bin\S-1-5-21-3430781819-4112138520-4176161753-500
    c:\$recycle.bin\S-1-5-21-379578684-575248035-2863804450-1000
    c:\program files\autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-26 au 2010-02-26 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-26 18:27 . 2010-02-26 18:28 -------- d-----w- c:\users\YannBastian\AppData\Local\temp
    2010-02-26 18:27 . 2010-02-26 18:27 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Malwarebytes
    2010-02-25 16:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\programdata\Malwarebytes
    2010-02-25 16:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-25 14:40 . 2010-02-25 14:49 -------- d-----w- C:\Ad-Remover
    2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- c:\program files\trend micro
    2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- C:\rsit
    2010-02-17 00:12 . 2010-02-17 00:17 194089856 ----a-w- C:\DungeonDefense_Install_2.2_JeuxVideo.com_14521.exe
    2010-02-16 12:24 . 2010-02-16 12:24 467 ----a-w- C:\msmq.reg
    2010-02-16 10:14 . 2010-02-17 17:49 23033 ----a-w- C:\Legend of the Seeker_2x11_HDTV.LOL.fr.zip
    2010-02-06 16:38 . 2010-02-06 16:53 -------- d-----w- C:\cxl
    2010-02-06 16:05 . 2010-02-08 17:47 -------- d-----w- C:\trainer torchlight
    2010-02-02 20:16 . 2010-02-02 20:16 1882267 ----a-w- C:\AtlasLoot-v5.09.05.zip

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-26 18:23 . 2009-10-22 17:38 35465 ----a-w- c:\programdata\nvModes.dat
    2010-02-26 17:53 . 2008-08-26 10:57 -------- d-----w- c:\programdata\NVIDIA
    2010-02-26 17:51 . 2009-07-24 16:30 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Mumble
    2010-02-26 14:35 . 2009-08-29 12:13 -------- d-----w- c:\program files\Steam
    2010-02-26 14:34 . 2009-11-24 20:08 -------- d-----w- c:\programdata\boost_interprocess
    2010-02-26 01:01 . 2010-01-23 15:33 15944 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
    2010-02-25 17:21 . 2010-01-12 10:02 -------- d-----w- c:\users\YannBastian\AppData\Roaming\vlc
    2010-02-24 14:07 . 2010-02-24 14:06 16 ----a-w- c:\users\YannBastian\AppData\Roaming\rbuwzv.dat
    2010-02-24 10:15 . 2009-06-27 18:00 -------- d-----w- c:\programdata\Electronic Arts
    2010-02-24 08:16 . 2009-10-02 16:53 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-12 00:05 . 2009-07-04 07:32 284 ----a-w- c:\users\YannBastian\AppData\Roaming\wklnhst.dat
    2010-02-11 02:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-02-08 17:52 . 2009-07-24 16:30 -------- d-----w- c:\program files\Mumble
    2010-02-03 04:48 . 2009-01-28 11:30 -------- d-----w- c:\program files\World of Warcraft
    2010-01-24 18:15 . 2010-01-24 18:03 -------- d-----w- c:\users\YannBastian\AppData\Roaming\dvdcss
    2010-01-23 15:40 . 2010-01-23 15:33 -------- d-----w- c:\programdata\Hitman Pro
    2010-01-23 15:33 . 2010-01-23 15:33 -------- d-----w- c:\program files\Hitman Pro 3.5
    2010-01-23 15:33 . 2010-01-23 15:32 4955456 ----a-w- C:\HitmanPro35.exe
    2010-01-21 07:48 . 2010-01-21 07:48 3268476 ----a-w- c:\programdata\AuctioneerSuite-5.7.4568.zip
    2010-01-17 21:35 . 2010-01-17 21:35 1090977 ----a-w- c:\programdata\DBM-4.38-r3147-Core-and-WotLK-Mods.zip
    2010-01-12 10:00 . 2010-01-12 10:00 -------- d-----w- c:\program files\VideoLAN
    2010-01-12 09:59 . 2010-01-12 09:59 18030130 ----a-w- C:\vlc-1.0.3-win32.exe
    2010-01-08 02:15 . 2008-08-26 10:59 -------- d-----w- c:\programdata\CyberLink
    2009-12-31 02:21 . 2009-12-31 02:20 -------- d-----w- c:\program files\Google
    2009-12-31 02:20 . 2009-02-14 18:12 -------- d-----w- c:\program files\DivX
    2009-12-31 02:20 . 2009-12-31 02:20 -------- d-----w- c:\program files\Common Files\DivX Shared
    2009-12-28 12:35 . 2010-02-10 02:10 11776 ----a-w- c:\windows\system32\tsbyuv.dll
    2009-12-28 12:35 . 2010-02-10 02:10 1314816 ----a-w- c:\windows\system32\quartz.dll
    2009-12-28 12:32 . 2010-02-10 02:10 22528 ----a-w- c:\windows\system32\msyuv.dll
    2009-12-28 12:32 . 2010-02-10 02:10 31744 ----a-w- c:\windows\system32\msvidc32.dll
    2009-12-28 12:32 . 2010-02-10 02:10 123904 ----a-w- c:\windows\system32\msvfw32.dll
    2009-12-28 12:32 . 2010-02-10 02:10 13312 ----a-w- c:\windows\system32\msrle32.dll
    2009-12-28 12:31 . 2010-02-10 02:10 82944 ----a-w- c:\windows\system32\mciavi32.dll
    2009-12-28 12:31 . 2010-02-10 02:10 50176 ----a-w- c:\windows\system32\iyuv_32.dll
    2009-12-28 12:28 . 2010-02-10 02:10 91136 ----a-w- c:\windows\system32\avifil32.dll
    2009-12-28 12:28 . 2010-02-10 02:10 65024 ----a-w- c:\windows\system32\avicap32.dll
    2009-12-20 12:36 . 2009-12-20 12:36 12862712 ----a-w- C:\mumble-2009-12-16-1633-718da1.exe
    2009-12-18 13:05 . 2010-01-22 03:36 833024 ----a-w- c:\windows\system32\wininet.dll
    2009-12-18 13:01 . 2010-01-22 03:36 78336 ----a-w- c:\windows\system32\ieencode.dll
    2009-12-18 10:14 . 2010-01-22 03:36 26624 ----a-w- c:\windows\system32\ieUnatt.exe
    2009-12-11 12:07 . 2010-02-10 02:10 301568 ----a-w- c:\windows\system32\drivers\srv.sys
    2009-12-11 12:07 . 2010-02-10 02:10 98304 ----a-w- c:\windows\system32\drivers\srvnet.sys
    2009-12-10 17:12 . 2009-12-10 17:12 246754 ----a-w- C:\Bartender4-4.4.2.zip
    2009-12-09 19:37 . 2009-12-09 19:36 683716 ----a-w- C:\XPerl-3.0.7__3.3_Release_.zip
    2009-12-09 19:36 . 2009-12-09 19:36 1058232 ----a-w- C:\DBM-4.32-r2645-Core-and-WotLK-Mods.zip
    2009-12-08 20:52 . 2010-02-10 02:10 897624 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2009-12-08 20:52 . 2010-02-10 02:10 3597912 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2009-12-08 20:52 . 2010-02-10 02:10 3546200 ----a-w- c:\windows\system32\ntoskrnl.exe
    2009-12-08 14:04 . 2009-12-08 14:04 12836528 ----a-w- C:\Mumble-1.2.0~beta2.exe
    2009-12-04 16:12 . 2010-02-10 02:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2009-12-04 16:12 . 2010-02-10 02:10 105472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2009-12-04 12:37 . 2008-08-26 20:24 669328 ----a-w- c:\windows\system32\perfh00C.dat
    2009-12-04 12:37 . 2008-08-26 20:24 123350 ----a-w- c:\windows\system32\perfc00C.dat
    2004-07-23 14:50 . 2009-05-17 13:30 4363 ------w- c:\program files\ReadMe.txt
    2004-07-23 07:53 . 2009-05-17 13:30 258048 ------w- c:\program files\Autorun.exe
    2004-05-17 12:56 . 2009-05-17 13:30 3262 ------w- c:\program files\MedievalLords.ico
    2003-12-19 10:45 . 2009-05-17 13:30 766 ------w- c:\program files\Autorun.ico
    2003-12-19 10:45 . 2009-05-17 13:30 245408 ------w- c:\program files\unicows.dll
    2008-08-26 20:38 . 2008-08-26 20:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
    "EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-04-29 3338240]
    "Steam"="c:\program files\steam\steam.exe" [2010-02-20 1217872]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "Multi File Downloader"="c:\program files\Multi File Downloader\MultiFileDownloader.exe" [2009-11-24 2744320]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
    "DPService"="c:\program files\HP\DVDPlay\DPService.exe" [2008-06-11 90112]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-04-07 132760]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]
    R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [27/09/2009 15:48 240232]
    S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [17/05/2009 18:44 721904]
    S2 gupdate1ca89bfce2f08dc;Service Google Update (gupdate1ca89bfce2f08dc);c:\program files\Google\Update\GoogleUpdate.exe [31/12/2009 03:20 133104]
    S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - zroksaq

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ezSharedSvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 02:20]

    2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 02:20]
    .
    .
    ------- Examen supplémentaire -------
    .
    FF - ProfilePath - c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&SearchSource=3&q={searchTerms}
    FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&q=
    FF - component: c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
    FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-HPAdvisor - c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-26 19:27
    Windows 6.0.6001 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zroksaq]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-3430781819-4112138520-4176161753-1000\Software\SecuROM\License information*]
    "datasecu"=hex:78,d7,71,06,eb,9d,f2,3f,5e,7c,94,76,94,37,9b,ac,02,00,40,61,30,
    07,ea,ad,b6,b0,22,f4,10,06,3b,81,ab,c4,8c,bf,a9,e9,dd,5d,31,4a,5c,9c,d9,a6,\
    "rkeysecu"=hex:3e,80,9e,c4,40,b4,90,83,87,8e,33,49,64,ac,f8,d9
    .
    Heure de fin: 2010-02-26 19:31:11
    ComboFix-quarantined-files.txt 2010-02-26 18:31

    Avant-CF: 169 337 008 128 octets libres
    Après-CF: 169 280 077 824 octets libres

    - - End Of File - - E406DBBE5A445DD32FC267A2D224A754
    0
  • 1
  • 2
  • 3
  • 4