Un soucis avec virus Rootkit-gen

Question

Bonjour,

Depuis une semaine Avast 4.8  me détecte un rootkit-gen.
J'ai parcouru plusieurs forums et j'ai téléchargé un autre anti-virus pour être sur que ce n'était pas un faux-virus détecté par Avast mais non, mon autre anti-virus me détecte bien aussi ce Rootkit.

J'ai suivi plusieurs forums et plusieurs procédures pour tenter de le supprimer mais rien n'y fait.

Ces forums datent de 2008 alors je me dis que ce rootkit a peut-être évolué.

Etant hyper nul en procédure et anti-virus, je fais appel à vous pour trouver une ame charitable qui pourrait m'assister dans le retrait de ce Rootkit car j'ignore ce dont il est capable.

Pour infos, j'utilise AVAST 4.8 comme anti-virus, Spybot, C-Cleaner et le pare-feu de windows mais il est passé quand même.

Merci d'avance de venir à mon aide en essayant de rester très simple et très explicite dans votre aide car je le rappelle, je suis vraiment nul....

verni29 · Answer

Bonjour, 

Tout d'abord, as-tu noté le nom du fichier détecté par Avast ?

Tu vas utiliser cet antirootkit pour détecter l'infection.

Télécharge gmer  sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files

Précautions d’usage :
- Commence par désactiver ou arrêter des logiciels comme Alcolhol Soft ou Daemon tools car ils biaisent le rapport de gmer.
- Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
- Ferme également toutes les applications actives dont ton navigateur.

# Double-clique sur l’exécutable téléchargé .
( Si sous Vista , click droit sur l’exécutable et choisir exécuter en tant qu’administrateur )
# Le scan va se lancer de lui-même.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse. 

Si tu as des difficultés pour passer les outils, n'hésite pas à poser des questions.
A priori, en suivant les consignes, tu devrais y arriver.

A+

Redbart · Answer

Bonjour
attention! ne jamais mettre 2 anti virus sur un pc

quel est le 2è anti virus?

justine0570 · Answer

Bonjour redbar,

Mon 2ème antivirus était Antivir mais je l'avais juste téléchargé pour voir s'il détectait également ce rootkit.
Je l'ai retiré ensuite car je préfère conserver Avast.


Merci Verni29, je vais suivre ta procédure et je te tiens au courant à la suite de ce post

justine0570 · Answer

Verni29, le fichier détecté par avast est :

C:\WINDOWS\system32\Drivers\isfby.sys

verni29 · Answer

OK, 

Fichier inconnu.
merci pour la localisation. cela pourra aider.

On vavoir ce que va dire gmer.

A+

justine0570 · Answer

Voici le rapport de Gmer :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-04 17:01:40
Windows 5.1.2600 Service Pack 2
Running: Gmer.exe; Driver: C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\kfldqpow.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwClose [0xA8C6B6B8]                                                           <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwCreateKey [0xA8C6B574]                                                       <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDeleteValueKey [0xA8C6BA52]                                                  <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDuplicateObject [0xA8C6B14C]                                                 <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenKey [0xA8C6B64E]                                                         <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenProcess [0xA8C6B08C]                                                     <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenThread [0xA8C6B0F0]                                                      <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwQueryValueKey [0xA8C6B76E]                                                   <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwRestoreKey [0xA8C6B72E]                                                      <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwSetValueKey [0xA8C6B8AE]                                                     <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

.pak2           C:\WINDOWS\system32\drivers\isfby.sys                                                                         entry point in ".pak2" section [0xBA70E3B6]
?               C:\WINDOWS\system32\drivers\isfby.sys                                                                         Un périphérique attaché au système ne fonctionne pas correctement.
PAGE            Ntfs.sys                                                                                                      BA551E88 4 Bytes  CALL 898C0739 

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[876] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]  00370002
IAT             C:\WINDOWS\system32\services.exe[876] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]        00370000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                        8985B168

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                        aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                   aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service          (*** hidden *** )                                                                                            [BOOT] isfby                                                                   <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\isfby@Type                                                             1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\isfby@Start                                                            0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\isfby@ErrorControl                                                     0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\isfby@Group                                                            Boot Bus Extender
Reg             HKLM\SYSTEM\ControlSet003\Services\isfby@Type                                                                 1
Reg             HKLM\SYSTEM\ControlSet003\Services\isfby@Start                                                                0
Reg             HKLM\SYSTEM\ControlSet003\Services\isfby@ErrorControl                                                         0
Reg             HKLM\SYSTEM\ControlSet003\Services\isfby@Group                                                                Boot Bus Extender

---- EOF - GMER 1.0.15 ----

verni29 · Answer

Re, 

Avant de nettoyer l'infection, utilise l'outil suivant ( pour plus d'informations ).

Télécharge DDS de sUBs et sauvegarde-le sur ton bureau.
https://download.bleepingcomputer.com/sUBs/dds.scr

 Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
 
   * Double-clique sur dds.scr pour lancer l'outil. Ne double clique qu'une seule fois dessus.
    * Une fois le scan fini, deux documents texte, DDS.txt et Attach.txt, vont s'ouvrir .
    * Sauvegarde les deux rapports sur ton bureau et poste les en deux messages ( pour éviter qu'ils soient en partie coupés ).

A+

justine0570 · Answer

Voici le 1er rapport :

DDS (Ver_09-12-01.01) - NTFSx86  
Run by HP_Propri‚taire at 17:18:21,51 on 04/03/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1527.936 [GMT 1:00]

AV: avast! antivirus 4.8.1368 [VPS 100304-0] *On-access scanning disabled* (Updated)   {7591DB91-41F0-48A3-B128-1A293FD8233D}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Orange HSS\Launcher\Launcher.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\Orange HSS\systray\systrayapp.exe
C:\Program Files\Orange HSS\Deskboard\deskboard.exe
C:\Program Files\Orange HSS\connectivity\connectivitymanager.exe
C:\Program Files\Orange HSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange HSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\1\FTCOMModule.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr

============== Pseudo HJT Report ===============

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
uURLSearchHooks: Search Class: {08c06d61-f1f3-4799-86f8-be1a89362c85} - c:\program files\orange hss\searchurlhook\SearchPageURL.dll
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\program files\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 7.0\activex\AcroIEHelper.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - No File
EB: {86D596EF-DE80-4458-9AAE-3E75C75D8127} - No File
EB: {D3028143-6145-4318-99D3-3EDCE54A95A9} - No File
uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [MSMSGS] "c:\program files\messenger\msmsgs.exe" /background
mRun: [hpsysdrv] c:\windows\system\hpsysdrv.exe
mRun: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [AGRSMMSG] AGRSMMSG.exe
mRun: [HPHmon06] c:\windows\system32\hphmon06.exe
mRun: [KBD] c:\hp\kbd\KBD.EXE
mRun: [ISUSPM Startup] c:\progra~1\fichie~1\instal~1\update~1\ISUSPM.exe -startup
mRun: [ISUSScheduler] "c:\program files\fichiers communs\installshield\updateservice\issch.exe" -start
mRun: [Recguard] c:\windows\sminst\RECGUARD.EXE
mRun: [PS2] c:\windows\system32\ps2.exe
mRun: [SoundMan] SOUNDMAN.EXE
mRun: [AlcWzrd] ALCWZRD.EXE
mRun: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
mRun: [ORAHSSSessionManager] "c:\program files\orange hss\sessionmanager\SessionManager.exe"
mRun: [avast!] c:\progra~1\alwils~1\avast4\ashDisp.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~1\spybot~1\SDHelper.dll
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {40F576AD-8680-4F9E-9490-99D069CD665F}
DPF: {8100D56A-5661-482C-BEE8-AFECE305D968}
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: {D45F03E2-E7AC-453E-A67C-907834D7D87E} = 80.10.246.1 81.253.149.10
Notify: igfxcui - igfxsrvc.dll
Hosts: 127.0.0.1	www.spywareinfo.com

============= SERVICES / DRIVERS ===============

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2010-2-26 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-2-26 20560]
R2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast4\ashServ.exe [2009-9-11 138680]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files	uneup utilities 2010\TuneUpUtilitiesService32.exe [2009-11-12 1021256]
R3 PhTVTune;ASUS WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [2005-1-1 24544]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files	uneup utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064]
S3 avast! Mail Scanner;avast! Mail Scanner;c:\program files\alwil software\avast4\ashMaiSv.exe [2009-9-11 254040]
S3 avast! Web Scanner;avast! Web Scanner;c:\program files\alwil software\avast4\ashWebSv.exe [2009-9-11 352920]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\81.tmp --> c:\windows\system32\81.tmp [?]

=============== Created Last 30 ================

2010-03-04 14:45:40	0	d--h--r-	c:\documents and settings\hp_propriétaire\Recent
2010-03-04 14:08:59	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-04 14:08:56	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-04 14:08:56	0	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-02-28 16:09:28	0	d-----w-	c:\windows\system32\PreInstall
2010-02-28 12:32:32	0	d-----w-	C:\!KillBox
2010-02-28 10:09:45	0	d-----w-	c:\program files\Trend Micro
2010-02-28 08:47:49	970752	----a-r-	c:\windows\system32\hpotiop6.dll
2010-02-28 08:47:49	729088	----a-r-	c:\windows\system32\hpowiax8.dll
2010-02-28 08:47:49	303104	----a-r-	c:\windows\system32\hpovst14.dll
2010-02-28 08:47:48	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-02-28 08:47:48	15104	----a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-02-28 08:44:30	0	----a-w-	c:\windows\system32\Ÿ§Ÿ§
2010-02-28 08:39:58	986	------w-	c:\windows\hpomdl29.dat.temp
2010-02-28 08:39:58	178724	------w-	c:\windows\hpoins29.dat.temp
2010-02-28 08:38:55	16496	----a-r-	c:\windows\system32\drivers\HPZipr12.sys
2010-02-28 08:38:51	49920	----a-r-	c:\windows\system32\drivers\HPZid412.sys
2010-02-28 08:38:31	271704	----a-r-	c:\windows\system32\hpzids01.dll
2010-02-28 08:38:29	118272	----a-w-	c:\windows\system32\hpz3l5mu.dll
2010-02-28 08:38:03	372736	----a-r-	c:\windows\system32\hppldcoi.dll
2010-02-28 08:38:03	309760	----a-r-	c:\windows\system32\difxapi.dll
2010-02-28 08:38:02	21568	----a-r-	c:\windows\system32\drivers\HPZius12.sys
2010-02-28 08:36:48	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-02-28 08:36:48	25856	----a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-02-28 08:36:26	31616	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-02-28 08:36:26	31616	----a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-02-27 14:27:17	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-02-27 12:49:26	0	d-----w-	c:\docume~1\hp_pro~1\applic~1\Malwarebytes
2010-02-27 12:49:21	0	d-----w-	c:\docume~1\alluse~1\applic~1\Malwarebytes
2010-02-27 12:19:57	0	d-----w-	c:\program files\Sophos
2010-02-26 21:28:24	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-02-26 21:28:24	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-02-26 19:48:15	0	d-----w-	c:\documents and settings\hp_propriétaire\Pavark
2010-02-26 19:10:10	29512	----a-w-	c:\windows\system32\TURegOpt.exe
2010-02-26 19:10:08	30024	----a-w-	c:\windows\system32\uxtuneup.dll
2010-02-26 19:09:44	0	d-----w-	c:\program files\TuneUp Utilities 2010
2010-02-26 17:30:19	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2010-02-26 17:29:38	0	d-----w-	c:\windows\system32\fr-FR
2010-02-26 17:24:26	69120	------w-	c:\windows\system32\dllcache\iecompat.dll
2010-02-26 17:24:19	594432	------w-	c:\windows\system32\dllcache\msfeeds.dll
2010-02-26 17:24:19	246272	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-02-26 17:24:18	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-02-26 17:24:18	1985536	------w-	c:\windows\system32\dllcache\iertutil.dll
2010-02-26 17:24:17	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-02-26 17:24:16	11070464	------w-	c:\windows\system32\dllcache\ieframe.dll
2010-02-26 16:55:31	792064	----a-w-	c:\windows\system32\drivers\isfby.sys
2010-02-26 16:53:02	0	d-----w-	c:\windows\system32\SoftwareDistribution
2010-02-26 16:46:15	65536	----a-w-	c:\windows\system32\Autodial2000.dll
2010-02-26 16:46:12	94208	----a-w-	c:\windows\system32\w32n50.dll
2010-02-26 16:46:12	34688	----a-w-	c:\windows\system32\pcampr5.sys
2010-02-26 16:46:12	32128	----a-w-	c:\windows\system32\pcandis5.sys
2010-02-26 15:34:12	0	d-sha-r-	C:\cmdcons
2010-02-26 15:05:40	0	d-----w-	c:\windows\system32\Lang
2010-02-26 15:05:24	167936	----a-w-	c:\windows\system32\igfxres.dll
2010-02-26 15:05:09	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-02-26 15:04:33	0	d-----w-	c:\docume~1\hp_pro~1\applic~1\Symantec
2010-02-26 15:03:27	0	d-----w-	c:\windows\system32\RTCOM
2010-02-26 13:15:14	12	----a-w-	c:\docume~1\hp_pro~1\applic~1buwzv.dat

==================== Find3M  ====================

2010-03-04 14:46:29	5242880	----a-w-	c:\documents and settings\hp_propriétaire\NTUSER.DAT
2010-02-28 08:56:16	178750	----a-w-	c:\windows\hpoins29.dat
2010-02-26 16:52:25	64724	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-26 16:52:25	446984	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-26 15:05:06	1846	--sha-r-	c:\windows\system32\drivers\103C_HP_CPC_PX616AA-ABF t3037.fr_YC_0Pavi_QCZB516_E52FRheBLF2_47_IGrouper_SASUSTeK Computer INC._V1.xx_B3.19_T050310_WXH2_L40C_M1528_J160_7Intel_8Pentium 4_92.93_#090514_N10EC8139_Z11C1048C_G80862582.MRK
2009-12-21 19:07:01	916480	------w-	c:\windows\system32\wininet.dll
2009-12-21 19:07:01	916480	------w-	c:\windows\system32\dllcache\wininet.dll
2009-12-21 19:07:01	1208832	------w-	c:\windows\system32\dllcache\urlmon.dll
2009-12-21 19:07:00	5942784	------w-	c:\windows\system32\dllcache\mshtml.dll
2009-12-21 19:07:00	206848	------w-	c:\windows\system32\dllcache\occache.dll
2009-12-21 19:06:58	25600	------w-	c:\windows\system32\dllcache\jsproxy.dll
2009-12-21 19:06:56	184320	------w-	c:\windows\system32\dllcache\iepeers.dll
2009-12-21 19:06:52	387584	------w-	c:\windows\system32\dllcache\iedkcs32.dll
2009-12-21 13:20:15	173056	------w-	c:\windows\system32\dllcache\ie4uinit.exe
2005-07-06 14:34:56	32	--sha-w-	c:\windows\sminst\HPCD.SYS

============= FINISH: 17:18:48,28 ===============

justine0570 · Answer

Et voici le second :

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-12-01.01)

Microsoft Windows XP Édition familiale
Boot Device: \Device\HarddiskVolume2
Install Date: 26/02/2010 16:03:42
System Uptime: 03/04/2010 15:46:50 (-718 hours ago)

Motherboard: ASUSTeK Computer INC. |  | Grouper  
Processor:               Intel(R) Pentium(R) 4 CPU 2.93GHz | CPU 1 | 2932/133mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 145 GiB total, 130,189 GiB free.
D: is FIXED (FAT32) - 4 GiB total, 0,368 GiB free.
E: is CDROM ()
F: is Removable
G: is Removable
H: is Removable
I: is Removable
J: is Removable

==== Disabled Device Manager Items =============

==== System Restore Points ===================

RP1: 26/02/2010 16:15:17 - Configuré easy Internet sign-up
RP2: 26/02/2010 16:22:34 - Supprimé HP Software Update
RP3: 26/02/2010 16:23:09 - Removed HP Deskjet Preloaded Printer Drivers
RP4: 26/02/2010 16:24:40 - Removed Norton Security Center
RP5: 26/02/2010 16:28:56 - Configuré iTunes
RP6: 26/02/2010 18:27:08 - Software Distribution Service 3.0
RP7: 26/02/2010 18:30:21 - Windows Internet Explorer 8 installé.
RP8: 26/02/2010 18:30:56 - Software Distribution Service 3.0
RP9: 26/02/2010 19:32:53 - Installé TuneUp Utilities
RP10: 26/02/2010 19:46:20 - Supprimé TuneUp Utilities
RP11: 26/02/2010 19:46:41 - Supprimé TuneUp Utilities Language Pack (fr-FR)
RP12: 26/02/2010 20:09:43 - Installé TuneUp Utilities
RP13: 26/02/2010 22:28:01 - Installé Java(TM) 6 Update 18
RP14: 27/02/2010 15:25:53 - Avira AntiVir Personal - 27/02/2010 15:25
RP15: 28/02/2010 09:43:58 - Supprimé HP Diagnostic Assistant
RP16: 28/02/2010 10:00:10 - Supprimé HP Update
RP17: 28/02/2010 13:42:17 - Avira AntiVir Personal - 28/02/2010 13:42
RP18: 28/02/2010 17:08:33 - Software Distribution Service 3.0
RP19: 01/03/2010 19:31:34 - Point de vérification système
RP20: 01/03/2010 20:15:40 - Supprimé Adobe Reader 6.0.1 - Français
RP21: 01/03/2010 20:16:00 - Removed Adobe Acrobat - Reader 6.0.2 Update
RP22: 02/03/2010 20:44:24 - Point de vérification système
RP23: 04/03/2010 16:36:16 - Point de vérification système

==== Installed Programs ======================

32 Bit HP CIO Components Installer
Adobe Flash Player 10 ActiveX
Adobe Reader 7.0 - Français
Agere Systems PCI Soft Modem
avast! Antivirus
BufferChm
C4400
C4400_Help
Correctif Windows XP - KB873339
Correctif Windows XP - KB883667
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB887742
Correctif Windows XP - KB890175
CustomerResearchQFolder
Help and Support Additions
High Definition Audio Driver Package - KB835221
HP Customer Participation Program 10.0
HP Photosmart C4400 All-In-One Driver Software 10.0 Rel .3
HP Smart Web Printing
HPProductAssistant
HpSdpAppCoreApp
Intel(R) Graphics Media Accelerator Driver
InterVideo DiscLabel
InterVideo WinDVD Player
Java 2 Runtime Environment, SE v1.4.2_03
Java Auto Updater
Java(TM) 6 Update 18
KBD
Malwarebytes' Anti-Malware
MarketResearch
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB976325)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB978207)
Mise à jour pour Windows Internet Explorer 8 (KB978506)
Mise à jour pour Windows XP (KB898461)
Orange - Logiciels Internet
PC-Doctor for Windows
Photosmart 320,370,7400,8100,8400 Series (fra)
PS_AIO_03_C4400_ProductContext
PS_AIO_03_C4400_Software
PS_AIO_03_C4400_Software_Min
PS2
PSPrinters06
Python 2.2 pywin32 extensions (build 203)
Python 2.2.3
QuickTime
Sagem 1201
Scan
SmartWebPrintingOC
Sonic Express Labeler
Sonic RecordNow!
Toolbox
TuneUp Utilities
TuneUp Utilities Language Pack (fr-FR)
UnloadSupport
WebFldrs XP
WebReg
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 8

==== Event Viewer Messages From Past Week ========

26/02/2010 17:55:38, Informations: Windows File Protection [64002]  - Tentative de remplacement du fichier système protégé c:\windows\system32
otepad.exe. Ce fichier a été restauré en utilisant sa version d'origine afin de maintenir la stabilité du système. La version du fichier système est 5.1.2600.2180.

==== End Of File ===========================

verni29 · Answer

justine, 

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

justine0570 · Answer

Heuuuuuuuuuuuu, ça veut dire quoi "Branches  tes différents supports amovibles " ?
Désolé, je suis vraiment nul...

verni29 · Answer

Re, 

Non, tu te débrouilles très bien.

les supports amovibles, ce sont les clés USB, disques durs externes, lecteur MP3, MP4, ipod.
Tout périphérique externe que tu peux brancher sur ton PC pour y traiter des photos, images, données.

A+

justine0570 · Answer

voivi le rapport de Combofix :


ComboFix 10-03-03.09 - HP_Propriétaire 04/03/2010  18:20:18.3.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1527.1029 [GMT 1:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100304-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-04 au 2010-03-04  ))))))))))))))))))))))))))))))))))))
.

2010-02-28 12:32 . 2010-02-28 12:32	--------	d-----w-	C:\!KillBox
2010-02-28 10:29 . 2010-02-28 10:29	--------	d-----w-	C:sit
2010-02-28 10:09 . 2010-02-28 10:09	--------	d-----w-	c:\program files\Trend Micro
2010-02-28 08:47 . 2007-10-29 09:22	729088	----a-r-	c:\windows\system32\hpowiax8.dll
2010-02-28 08:47 . 2007-10-29 09:22	303104	----a-r-	c:\windows\system32\hpovst14.dll
2010-02-28 08:47 . 2007-10-29 09:22	970752	----a-r-	c:\windows\system32\hpotiop6.dll
2010-02-28 08:47 . 2004-08-03 21:58	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-02-28 08:47 . 2004-08-03 21:58	15104	----a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-02-28 08:44 . 2010-02-28 08:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\HP Product Assistant
2010-02-28 08:38 . 2007-10-29 09:25	16496	----a-r-	c:\windows\system32\drivers\HPZipr12.sys
2010-02-28 08:38 . 2007-10-29 09:25	49920	----a-r-	c:\windows\system32\drivers\HPZid412.sys
2010-02-28 08:38 . 2008-02-11 03:49	271704	----a-r-	c:\windows\system32\hpzids01.dll
2010-02-28 08:38 . 2007-12-17 17:05	278016	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\hpzpp5mu.dll
2010-02-28 08:38 . 2008-02-07 09:26	118272	----a-w-	c:\windows\system32\hpz3l5mu.dll
2010-02-28 08:38 . 2010-02-28 08:38	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-02-28 08:38 . 2007-10-29 09:25	372736	----a-r-	c:\windows\system32\hppldcoi.dll
2010-02-28 08:38 . 2007-10-29 09:25	309760	----a-r-	c:\windows\system32\difxapi.dll
2010-02-28 08:38 . 2007-10-29 09:25	21568	----a-r-	c:\windows\system32\drivers\HPZius12.sys
2010-02-28 08:36 . 2004-08-03 22:01	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-02-28 08:36 . 2004-08-03 22:01	25856	----a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-02-28 08:36 . 2004-08-03 22:08	31616	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-02-28 08:36 . 2004-08-03 22:08	31616	----a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-02-27 14:27 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-02-27 12:49 . 2010-02-27 12:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-27 12:19 . 2010-02-27 12:19	--------	d-----w-	c:\program files\Sophos
2010-02-26 21:28 . 2010-02-26 21:28	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-02-26 20:10 . 2010-02-26 20:10	--------	d-----w-	c:\documents and settings\LocalService\Bureau
2010-02-26 19:10 . 2009-11-12 09:30	29512	----a-w-	c:\windows\system32\TURegOpt.exe
2010-02-26 19:10 . 2009-11-12 09:25	30024	----a-w-	c:\windows\system32\uxtuneup.dll
2010-02-26 19:09 . 2010-02-26 19:10	--------	d-----w-	c:\program files\TuneUp Utilities 2010
2010-02-26 18:00 . 2009-11-24 23:48	23120	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-02-26 18:00 . 2009-11-24 23:49	48560	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-02-26 18:00 . 2009-11-24 23:47	27408	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-02-26 18:00 . 2009-11-24 23:47	97480	----a-w-	c:\windows\system32\AvastSS.scr
2010-02-26 18:00 . 2009-11-24 23:51	93424	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-02-26 18:00 . 2009-11-24 23:50	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-02-26 18:00 . 2009-11-24 23:50	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-02-26 18:00 . 2009-11-24 23:50	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-02-26 18:00 . 2009-11-24 23:54	1280480	----a-w-	c:\windows\system32\aswBoot.exe
2010-02-26 17:30 . 2009-01-07 17:21	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2010-02-26 17:29 . 2010-02-26 17:30	--------	d-----w-	c:\windows\system32\fr-FR
2010-02-26 17:24 . 2009-12-11 08:38	69120	------w-	c:\windows\system32\dllcache\iecompat.dll
2010-02-26 17:24 . 2009-12-21 19:06	594432	------w-	c:\windows\system32\dllcache\msfeeds.dll
2010-02-26 17:24 . 2009-12-21 19:06	246272	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-02-26 17:24 . 2009-12-21 19:06	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-02-26 17:24 . 2009-12-21 19:06	1985536	------w-	c:\windows\system32\dllcache\iertutil.dll
2010-02-26 17:24 . 2009-12-21 19:07	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-02-26 17:24 . 2009-12-21 19:06	11070464	------w-	c:\windows\system32\dllcache\ieframe.dll
2010-02-26 16:55 . 2010-03-04 17:23	792064	----a-w-	c:\windows\system32\drivers\isfby.sys
2010-02-26 16:46 . 2008-11-20 17:15	65536	----a-w-	c:\windows\system32\Autodial2000.dll
2010-02-26 16:46 . 2008-11-06 16:53	94208	----a-w-	c:\windows\system32\w32n50.dll
2010-02-26 16:46 . 2008-11-06 16:53	34688	----a-w-	c:\windows\system32\pcampr5.sys
2010-02-26 16:46 . 2008-11-06 16:53	32128	----a-w-	c:\windows\system32\pcandis5.sys
2010-02-26 15:05 . 2010-02-26 15:33	--------	d-----w-	c:\windows\system32\Lang
2010-02-26 15:05 . 2004-11-02 16:04	167936	----a-w-	c:\windows\system32\igfxres.dll
2010-02-26 15:05 . 2004-08-05 18:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-02-26 15:04 . 2010-03-04 14:46	--------	d-----w-	c:\documents and settings\HP_Propriétaire
2010-02-26 15:03 . 2005-01-01 06:59	--------	d-----w-	c:\windows\system32\config\systemprofile\WINDOWS
2010-02-26 15:03 . 2010-02-26 15:03	--------	d-----w-	c:\windows\system32\RTCOM
2010-02-17 13:41 . 2010-02-17 13:41	--------	d-----w-	c:\documents and settings\LocalService\IETldCache

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-04 14:45 . 2009-07-12 14:13	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-03-04 14:09 . 2010-03-04 14:08	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-02-28 08:56 . 2009-08-14 12:55	178750	----a-w-	c:\windows\hpoins29.dat
2010-02-28 08:44 . 2005-01-01 06:43	--------	d-----w-	c:\documents and settings\All Users\Application Data\Hewlett-Packard
2010-02-28 08:44 . 2005-01-01 06:42	--------	d-----w-	c:\program files\HP
2010-02-26 21:28 . 2005-01-01 06:32	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-02-26 16:52 . 2004-11-23 21:26	64724	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-26 16:52 . 2004-11-23 21:26	446984	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-26 15:33 . 2005-01-01 07:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Symantec
2010-02-26 15:31 . 2005-01-01 06:53	--------	d-----w-	c:\program files\InterVideo
2010-02-26 15:31 . 2005-01-01 06:53	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-02-26 15:19 . 2005-01-01 06:42	--------	d-----w-	c:\program files\Fichiers communs\HP
2010-02-26 15:15 . 2005-01-01 07:06	--------	d-----w-	c:\program files\Easy Internet signup
2010-02-26 15:05 . 2010-02-26 15:04	1846	--sha-r-	c:\windows\system32\drivers\103C_HP_CPC_PX616AA-ABF t3037.fr_YC_0Pavi_QCZB516_E52FRheBLF2_47_IGrouper_SASUSTeK Computer INC._V1.xx_B3.19_T050310_WXH2_L40C_M1528_J160_7Intel_8Pentium 4_92.93_#090514_N10EC8139_Z11C1048C_G80862582.MRK
2010-02-19 08:42 . 2010-01-01 18:33	--------	d-----w-	c:\program files\ma-config.com
2010-02-17 13:41 . 2010-01-01 18:33	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-01-24 08:11 . 2010-01-24 08:11	--------	d-----w-	c:\documents and settings\All Users\Application Data\TomTom
2010-01-24 08:06 . 2010-01-24 08:06	--------	d-----w-	c:\program files\TomTom International B.V
2010-01-24 08:06 . 2010-01-24 08:06	--------	d-----w-	c:\program files\TomTom HOME 2
2010-01-07 15:07 . 2010-03-04 14:08	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2010-03-04 14:08	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-21 19:07 . 2004-08-05 18:00	916480	------w-	c:\windows\system32\wininet.dll
2005-07-06 14:34 . 2009-05-15 06:36	32	--sha-w-	c:\windows\SMINST\HPCD.SYS
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 61952]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-11-02 126976]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
"SoundMan"="SOUNDMAN.EXE" [2005-02-21 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-02-18 2754560]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"ORAHSSSessionManager"="c:\program files\Orange HSS\SessionManager\SessionManager.exe" [2008-11-20 107248]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"HPHUPD06"=c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Orange HSS\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26/02/2010 19:00 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26/02/2010 19:00 20560]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12/11/2009 10:28 1021256]
R3 PhTVTune;ASUS WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [01/01/2005 07:37 24544]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\81.tmp --> c:\windows\system32\81.tmp [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - isfby
*Deregistered* - kfldqpow

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-03-04 c:\windows\Tasks\Recherche de problèmes automatique.job
- c:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-11-12 09:33]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-04 18:23
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\81.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\isfby]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3888)
c:\windows\system32\msi.dll
c:\program files\Orange HSS\Launcher\Inactivity.Dll
c:\windows\system32\webcheck.dll
.
Heure de fin: 2010-03-04  18:25:01
ComboFix-quarantined-files.txt  2010-03-04 17:24
ComboFix2.txt  2010-03-04 14:31

Avant-CF: 139 597 824 000 octets libres
Après-CF: 139 584 765 952 octets libres

- - End Of File - - FBE427AB0C1A4960F26B44C28CCD4836

justine0570 · Answer

Au moment où je publiais le rapport de combofix, à nouveau ma fenêtre Avast s'est ouverte avec un message comme quoi un rootkit avait été détecté"....

apparement, il est toujours là

verni29 · Answer

re,

Oui, il est toujours la.
On ne l'a pas encore éliminé.

Poste le rapport de combofix.
Il se trouve en C:\ComboFix.txt

A+

justine0570 · Answer

ben, je l'ai mis juste sur le post au-dessus du tiens...
C'est pas ça ?

justine0570 · Answer

Je le remet ici :

ComboFix 10-03-03.09 - HP_Propriétaire 04/03/2010  18:20:18.3.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1527.1029 [GMT 1:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100304-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-04 au 2010-03-04  ))))))))))))))))))))))))))))))))))))
.

2010-02-28 12:32 . 2010-02-28 12:32	--------	d-----w-	C:\!KillBox
2010-02-28 10:29 . 2010-02-28 10:29	--------	d-----w-	C:sit
2010-02-28 10:09 . 2010-02-28 10:09	--------	d-----w-	c:\program files\Trend Micro
2010-02-28 08:47 . 2007-10-29 09:22	729088	----a-r-	c:\windows\system32\hpowiax8.dll
2010-02-28 08:47 . 2007-10-29 09:22	303104	----a-r-	c:\windows\system32\hpovst14.dll
2010-02-28 08:47 . 2007-10-29 09:22	970752	----a-r-	c:\windows\system32\hpotiop6.dll
2010-02-28 08:47 . 2004-08-03 21:58	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-02-28 08:47 . 2004-08-03 21:58	15104	----a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-02-28 08:44 . 2010-02-28 08:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\HP Product Assistant
2010-02-28 08:38 . 2007-10-29 09:25	16496	----a-r-	c:\windows\system32\drivers\HPZipr12.sys
2010-02-28 08:38 . 2007-10-29 09:25	49920	----a-r-	c:\windows\system32\drivers\HPZid412.sys
2010-02-28 08:38 . 2008-02-11 03:49	271704	----a-r-	c:\windows\system32\hpzids01.dll
2010-02-28 08:38 . 2007-12-17 17:05	278016	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\hpzpp5mu.dll
2010-02-28 08:38 . 2008-02-07 09:26	118272	----a-w-	c:\windows\system32\hpz3l5mu.dll
2010-02-28 08:38 . 2010-02-28 08:38	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-02-28 08:38 . 2007-10-29 09:25	372736	----a-r-	c:\windows\system32\hppldcoi.dll
2010-02-28 08:38 . 2007-10-29 09:25	309760	----a-r-	c:\windows\system32\difxapi.dll
2010-02-28 08:38 . 2007-10-29 09:25	21568	----a-r-	c:\windows\system32\drivers\HPZius12.sys
2010-02-28 08:36 . 2004-08-03 22:01	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-02-28 08:36 . 2004-08-03 22:01	25856	----a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-02-28 08:36 . 2004-08-03 22:08	31616	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-02-28 08:36 . 2004-08-03 22:08	31616	----a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-02-27 14:27 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-02-27 12:49 . 2010-02-27 12:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-27 12:19 . 2010-02-27 12:19	--------	d-----w-	c:\program files\Sophos
2010-02-26 21:28 . 2010-02-26 21:28	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-02-26 20:10 . 2010-02-26 20:10	--------	d-----w-	c:\documents and settings\LocalService\Bureau
2010-02-26 19:10 . 2009-11-12 09:30	29512	----a-w-	c:\windows\system32\TURegOpt.exe
2010-02-26 19:10 . 2009-11-12 09:25	30024	----a-w-	c:\windows\system32\uxtuneup.dll
2010-02-26 19:09 . 2010-02-26 19:10	--------	d-----w-	c:\program files\TuneUp Utilities 2010
2010-02-26 18:00 . 2009-11-24 23:48	23120	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-02-26 18:00 . 2009-11-24 23:49	48560	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-02-26 18:00 . 2009-11-24 23:47	27408	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-02-26 18:00 . 2009-11-24 23:47	97480	----a-w-	c:\windows\system32\AvastSS.scr
2010-02-26 18:00 . 2009-11-24 23:51	93424	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-02-26 18:00 . 2009-11-24 23:50	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-02-26 18:00 . 2009-11-24 23:50	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-02-26 18:00 . 2009-11-24 23:50	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-02-26 18:00 . 2009-11-24 23:54	1280480	----a-w-	c:\windows\system32\aswBoot.exe
2010-02-26 17:30 . 2009-01-07 17:21	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2010-02-26 17:29 . 2010-02-26 17:30	--------	d-----w-	c:\windows\system32\fr-FR
2010-02-26 17:24 . 2009-12-11 08:38	69120	------w-	c:\windows\system32\dllcache\iecompat.dll
2010-02-26 17:24 . 2009-12-21 19:06	594432	------w-	c:\windows\system32\dllcache\msfeeds.dll
2010-02-26 17:24 . 2009-12-21 19:06	246272	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-02-26 17:24 . 2009-12-21 19:06	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-02-26 17:24 . 2009-12-21 19:06	1985536	------w-	c:\windows\system32\dllcache\iertutil.dll
2010-02-26 17:24 . 2009-12-21 19:07	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-02-26 17:24 . 2009-12-21 19:06	11070464	------w-	c:\windows\system32\dllcache\ieframe.dll
2010-02-26 16:55 . 2010-03-04 17:23	792064	----a-w-	c:\windows\system32\drivers\isfby.sys
2010-02-26 16:46 . 2008-11-20 17:15	65536	----a-w-	c:\windows\system32\Autodial2000.dll
2010-02-26 16:46 . 2008-11-06 16:53	94208	----a-w-	c:\windows\system32\w32n50.dll
2010-02-26 16:46 . 2008-11-06 16:53	34688	----a-w-	c:\windows\system32\pcampr5.sys
2010-02-26 16:46 . 2008-11-06 16:53	32128	----a-w-	c:\windows\system32\pcandis5.sys
2010-02-26 15:05 . 2010-02-26 15:33	--------	d-----w-	c:\windows\system32\Lang
2010-02-26 15:05 . 2004-11-02 16:04	167936	----a-w-	c:\windows\system32\igfxres.dll
2010-02-26 15:05 . 2004-08-05 18:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-02-26 15:04 . 2010-03-04 14:46	--------	d-----w-	c:\documents and settings\HP_Propriétaire
2010-02-26 15:03 . 2005-01-01 06:59	--------	d-----w-	c:\windows\system32\config\systemprofile\WINDOWS
2010-02-26 15:03 . 2010-02-26 15:03	--------	d-----w-	c:\windows\system32\RTCOM
2010-02-17 13:41 . 2010-02-17 13:41	--------	d-----w-	c:\documents and settings\LocalService\IETldCache

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-04 14:45 . 2009-07-12 14:13	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-03-04 14:09 . 2010-03-04 14:08	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-02-28 08:56 . 2009-08-14 12:55	178750	----a-w-	c:\windows\hpoins29.dat
2010-02-28 08:44 . 2005-01-01 06:43	--------	d-----w-	c:\documents and settings\All Users\Application Data\Hewlett-Packard
2010-02-28 08:44 . 2005-01-01 06:42	--------	d-----w-	c:\program files\HP
2010-02-26 21:28 . 2005-01-01 06:32	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-02-26 16:52 . 2004-11-23 21:26	64724	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-26 16:52 . 2004-11-23 21:26	446984	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-26 15:33 . 2005-01-01 07:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Symantec
2010-02-26 15:31 . 2005-01-01 06:53	--------	d-----w-	c:\program files\InterVideo
2010-02-26 15:31 . 2005-01-01 06:53	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-02-26 15:19 . 2005-01-01 06:42	--------	d-----w-	c:\program files\Fichiers communs\HP
2010-02-26 15:15 . 2005-01-01 07:06	--------	d-----w-	c:\program files\Easy Internet signup
2010-02-26 15:05 . 2010-02-26 15:04	1846	--sha-r-	c:\windows\system32\drivers\103C_HP_CPC_PX616AA-ABF t3037.fr_YC_0Pavi_QCZB516_E52FRheBLF2_47_IGrouper_SASUSTeK Computer INC._V1.xx_B3.19_T050310_WXH2_L40C_M1528_J160_7Intel_8Pentium 4_92.93_#090514_N10EC8139_Z11C1048C_G80862582.MRK
2010-02-19 08:42 . 2010-01-01 18:33	--------	d-----w-	c:\program files\ma-config.com
2010-02-17 13:41 . 2010-01-01 18:33	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-01-24 08:11 . 2010-01-24 08:11	--------	d-----w-	c:\documents and settings\All Users\Application Data\TomTom
2010-01-24 08:06 . 2010-01-24 08:06	--------	d-----w-	c:\program files\TomTom International B.V
2010-01-24 08:06 . 2010-01-24 08:06	--------	d-----w-	c:\program files\TomTom HOME 2
2010-01-07 15:07 . 2010-03-04 14:08	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2010-03-04 14:08	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-21 19:07 . 2004-08-05 18:00	916480	------w-	c:\windows\system32\wininet.dll
2005-07-06 14:34 . 2009-05-15 06:36	32	--sha-w-	c:\windows\SMINST\HPCD.SYS
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 61952]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-11-02 126976]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
"SoundMan"="SOUNDMAN.EXE" [2005-02-21 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-02-18 2754560]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"ORAHSSSessionManager"="c:\program files\Orange HSS\SessionManager\SessionManager.exe" [2008-11-20 107248]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"HPHUPD06"=c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Orange HSS\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26/02/2010 19:00 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26/02/2010 19:00 20560]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12/11/2009 10:28 1021256]
R3 PhTVTune;ASUS WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [01/01/2005 07:37 24544]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\81.tmp --> c:\windows\system32\81.tmp [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - isfby
*Deregistered* - kfldqpow

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-03-04 c:\windows\Tasks\Recherche de problèmes automatique.job
- c:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-11-12 09:33]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-04 18:23
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\81.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\isfby]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3888)
c:\windows\system32\msi.dll
c:\program files\Orange HSS\Launcher\Inactivity.Dll
c:\windows\system32\webcheck.dll
.
Heure de fin: 2010-03-04  18:25:01
ComboFix-quarantined-files.txt  2010-03-04 17:24
ComboFix2.txt  2010-03-04 14:31

Avant-CF: 139 597 824 000 octets libres
Après-CF: 139 584 765 952 octets libres

- - End Of File - - FBE427AB0C1A4960F26B44C28CCD4836

verni29 · Answer

Oui, c'est cela.
Merci.

Je le regarde et te réponds dans une dizaine de minutes.

A+

verni29 · Answer

Re, 

Tu vas réutiliser combofix.
Pour cela, il te faudra enregistrer un document avec le bloc-notes et le glisser/déposer sur combofix.

1/ Ouvre le bloc-notes ( Démarrer --> tous les programmes --> accessoires --> Bloc-notes ) et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.

http://www.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen?#12

killall:: 

collect::
C:\WINDOWS\system32\drivers\isfby.sys

File:: 
c:\docume~1\hp_pro~1\applic~1\rbuwzv.dat
c:\windows\hpomdl29.dat.temp
c:\windows\hpoins29.dat.temp 

registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\isfby]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\isfby]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\isfby]

dirlook::
c:\windows\system32\Ÿ§Ÿ§ 

driver::
isfby 

# Menu Fichier --> enregistrer --> une boite de dialogue va s'ouvrir
# Il y a deux lignes en bas de la fenetre :
-->  la première pour le nom : tape CFScript
-->  la deuxième pour le type : vérifie que l'onglet est .txt

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien 
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+

justine0570 · Answer

J'espère ne pas m'être trompé...
Voici le rapport de Combofix :

ComboFix 10-03-03.09 - HP_Propriétaire 04/03/2010  19:03:12.4.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1527.1108 [GMT 1:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100304-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\docume~1\hp_pro~1\applic~1buwzv.dat"
"c:\windows\hpoins29.dat.temp"
"c:\windows\hpomdl29.dat.temp"

file zipped: c:\windows\system32\drivers\isfby.sys
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\hp_pro~1\applic~1buwzv.dat
c:\windows\hpoins29.dat.temp
c:\windows\hpomdl29.dat.temp
c:\windows\system32\drivers\isfby.sys

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ISFBY
-------\Service_isfby


(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-04 au 2010-03-04  ))))))))))))))))))))))))))))))))))))
.

2010-03-04 14:08 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-04 14:08 . 2010-03-04 14:09	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-03-04 14:08 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-02-28 12:32 . 2010-02-28 12:32	--------	d-----w-	C:\!KillBox
2010-02-28 10:29 . 2010-02-28 10:29	--------	d-----w-	C:sit
2010-02-28 10:09 . 2010-02-28 10:09	--------	d-----w-	c:\program files\Trend Micro
2010-02-28 08:47 . 2007-10-29 09:22	729088	----a-r-	c:\windows\system32\hpowiax8.dll
2010-02-28 08:47 . 2007-10-29 09:22	303104	----a-r-	c:\windows\system32\hpovst14.dll
2010-02-28 08:47 . 2007-10-29 09:22	970752	----a-r-	c:\windows\system32\hpotiop6.dll
2010-02-28 08:47 . 2004-08-03 21:58	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-02-28 08:47 . 2004-08-03 21:58	15104	----a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-02-28 08:44 . 2010-02-28 08:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\HP Product Assistant
2010-02-28 08:38 . 2007-10-29 09:25	16496	----a-r-	c:\windows\system32\drivers\HPZipr12.sys
2010-02-28 08:38 . 2007-10-29 09:25	49920	----a-r-	c:\windows\system32\drivers\HPZid412.sys
2010-02-28 08:38 . 2008-02-11 03:49	271704	----a-r-	c:\windows\system32\hpzids01.dll
2010-02-28 08:38 . 2007-12-17 17:05	278016	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\hpzpp5mu.dll
2010-02-28 08:38 . 2008-02-07 09:26	118272	----a-w-	c:\windows\system32\hpz3l5mu.dll
2010-02-28 08:38 . 2010-02-28 08:38	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-02-28 08:38 . 2007-10-29 09:25	372736	----a-r-	c:\windows\system32\hppldcoi.dll
2010-02-28 08:38 . 2007-10-29 09:25	309760	----a-r-	c:\windows\system32\difxapi.dll
2010-02-28 08:38 . 2007-10-29 09:25	21568	----a-r-	c:\windows\system32\drivers\HPZius12.sys
2010-02-28 08:36 . 2004-08-03 22:01	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-02-28 08:36 . 2004-08-03 22:01	25856	----a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-02-28 08:36 . 2004-08-03 22:08	31616	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-02-28 08:36 . 2004-08-03 22:08	31616	----a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-02-27 14:27 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-02-27 12:49 . 2010-02-27 12:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-27 12:19 . 2010-02-27 12:19	--------	d-----w-	c:\program files\Sophos
2010-02-26 21:28 . 2010-02-26 21:28	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-02-26 20:10 . 2010-02-26 20:10	--------	d-----w-	c:\documents and settings\LocalService\Bureau
2010-02-26 19:10 . 2009-11-12 09:30	29512	----a-w-	c:\windows\system32\TURegOpt.exe
2010-02-26 19:10 . 2009-11-12 09:25	30024	----a-w-	c:\windows\system32\uxtuneup.dll
2010-02-26 19:09 . 2010-02-26 19:10	--------	d-----w-	c:\program files\TuneUp Utilities 2010
2010-02-26 18:00 . 2009-11-24 23:48	23120	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-02-26 18:00 . 2009-11-24 23:49	48560	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-02-26 18:00 . 2009-11-24 23:47	27408	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-02-26 18:00 . 2009-11-24 23:47	97480	----a-w-	c:\windows\system32\AvastSS.scr
2010-02-26 18:00 . 2009-11-24 23:51	93424	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-02-26 18:00 . 2009-11-24 23:50	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-02-26 18:00 . 2009-11-24 23:50	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-02-26 18:00 . 2009-11-24 23:50	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-02-26 18:00 . 2009-11-24 23:54	1280480	----a-w-	c:\windows\system32\aswBoot.exe
2010-02-26 17:30 . 2009-01-07 17:21	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2010-02-26 17:29 . 2010-02-26 17:30	--------	d-----w-	c:\windows\system32\fr-FR
2010-02-26 17:24 . 2009-12-11 08:38	69120	------w-	c:\windows\system32\dllcache\iecompat.dll
2010-02-26 17:24 . 2009-12-21 19:06	594432	------w-	c:\windows\system32\dllcache\msfeeds.dll
2010-02-26 17:24 . 2009-12-21 19:06	246272	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-02-26 17:24 . 2009-12-21 19:06	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-02-26 17:24 . 2009-12-21 19:06	1985536	------w-	c:\windows\system32\dllcache\iertutil.dll
2010-02-26 17:24 . 2009-12-21 19:07	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-02-26 17:24 . 2009-12-21 19:06	11070464	------w-	c:\windows\system32\dllcache\ieframe.dll
2010-02-26 16:46 . 2008-11-20 17:15	65536	----a-w-	c:\windows\system32\Autodial2000.dll
2010-02-26 16:46 . 2008-11-06 16:53	94208	----a-w-	c:\windows\system32\w32n50.dll
2010-02-26 16:46 . 2008-11-06 16:53	34688	----a-w-	c:\windows\system32\pcampr5.sys
2010-02-26 16:46 . 2008-11-06 16:53	32128	----a-w-	c:\windows\system32\pcandis5.sys
2010-02-26 15:05 . 2010-02-26 15:33	--------	d-----w-	c:\windows\system32\Lang
2010-02-26 15:05 . 2004-11-02 16:04	167936	----a-w-	c:\windows\system32\igfxres.dll
2010-02-26 15:05 . 2004-08-05 18:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-02-26 15:04 . 2010-03-04 18:06	--------	d-----w-	c:\documents and settings\HP_Propriétaire
2010-02-26 15:03 . 2005-01-01 06:59	--------	d-----w-	c:\windows\system32\config\systemprofile\WINDOWS
2010-02-26 15:03 . 2010-02-26 15:03	--------	d-----w-	c:\windows\system32\RTCOM
2010-02-17 13:41 . 2010-02-17 13:41	--------	d-----w-	c:\documents and settings\LocalService\IETldCache

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-04 14:45 . 2009-07-12 14:13	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-02-28 08:56 . 2009-08-14 12:55	178750	----a-w-	c:\windows\hpoins29.dat
2010-02-28 08:44 . 2005-01-01 06:43	--------	d-----w-	c:\documents and settings\All Users\Application Data\Hewlett-Packard
2010-02-28 08:44 . 2005-01-01 06:42	--------	d-----w-	c:\program files\HP
2010-02-26 21:28 . 2005-01-01 06:32	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-02-26 16:52 . 2004-11-23 21:26	64724	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-26 16:52 . 2004-11-23 21:26	446984	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-26 15:33 . 2005-01-01 07:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Symantec
2010-02-26 15:31 . 2005-01-01 06:53	--------	d-----w-	c:\program files\InterVideo
2010-02-26 15:31 . 2005-01-01 06:53	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-02-26 15:19 . 2005-01-01 06:42	--------	d-----w-	c:\program files\Fichiers communs\HP
2010-02-26 15:15 . 2005-01-01 07:06	--------	d-----w-	c:\program files\Easy Internet signup
2010-02-26 15:05 . 2010-02-26 15:04	1846	--sha-r-	c:\windows\system32\drivers\103C_HP_CPC_PX616AA-ABF t3037.fr_YC_0Pavi_QCZB516_E52FRheBLF2_47_IGrouper_SASUSTeK Computer INC._V1.xx_B3.19_T050310_WXH2_L40C_M1528_J160_7Intel_8Pentium 4_92.93_#090514_N10EC8139_Z11C1048C_G80862582.MRK
2010-02-19 08:42 . 2010-01-01 18:33	--------	d-----w-	c:\program files\ma-config.com
2010-02-17 13:41 . 2010-01-01 18:33	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-01-24 08:11 . 2010-01-24 08:11	--------	d-----w-	c:\documents and settings\All Users\Application Data\TomTom
2010-01-24 08:06 . 2010-01-24 08:06	--------	d-----w-	c:\program files\TomTom International B.V
2010-01-24 08:06 . 2010-01-24 08:06	--------	d-----w-	c:\program files\TomTom HOME 2
2009-12-21 19:07 . 2004-08-05 18:00	916480	------w-	c:\windows\system32\wininet.dll
2005-07-06 14:34 . 2009-05-15 06:36	32	--sha-w-	c:\windows\SMINST\HPCD.SYS
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\windows\system32\Ÿ§Ÿ§ ----



(((((((((((((((((((((((((((((   SnapShot@2010-03-04_17.23.32   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-04 18:07 . 2010-03-04 18:07	16384              c:\windows\Temp\Perflib_Perfdata_744.dat
+ 2010-03-04 18:07 . 2010-03-04 18:07	16384              c:\windows\Temp\Perflib_Perfdata_188.dat
+ 2004-11-23 21:25 . 2010-03-04 17:28	94272              c:\windows\system32\FNTCACHE.DAT
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 61952]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-11-02 126976]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
"SoundMan"="SOUNDMAN.EXE" [2005-02-21 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-02-18 2754560]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"ORAHSSSessionManager"="c:\program files\Orange HSS\SessionManager\SessionManager.exe" [2008-11-20 107248]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"HPHUPD06"=c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Orange HSS\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26/02/2010 19:00 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26/02/2010 19:00 20560]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [12/11/2009 10:28 1021256]
R3 PhTVTune;ASUS WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [01/01/2005 07:37 24544]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\81.tmp --> c:\windows\system32\81.tmp [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-03-04 c:\windows\Tasks\Recherche de problèmes automatique.job
- c:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-11-12 09:33]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-04 19:08
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\81.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2228)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\AGRSMMSG.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ALCWZRD.EXE
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Orange HSS\Launcher\Launcher.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
c:\program files\Orange HSS\systray\systrayapp.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2010-03-04  19:10:23 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-03-04 18:10
ComboFix2.txt  2010-03-04 17:25
ComboFix3.txt  2010-03-04 14:31

Avant-CF: 139 577 372 672 octets libres
Après-CF: 139 481 587 712 octets libres

- - End Of File - - 7457100C4B009CB4136A5C61212F4913

verni29 · Answer

OK, 

Cela a l'air tout bon.
Ton antivirus ne devrait plus te donner des alertes.

Relance gmer et poste le rapport.

A+

justine0570 · Answer

je n'arrive pas à lancer Gmer aloers que tout à l'heure il fonctionnait.
Je le lance, il s'ouvre, commence à faire son analyse et au bout de quelques secondes, il se fige en ayant analyser seulement 5 lignes puis plus rien.

J'ai redémarré l'ordi pensant que ça permettrait de relancer Gmer, mon antivirus est bien coupé...
Je comprend pas mais je crois que tu as réussis à retirer ce fameux rootkit.

verni29 · Answer

Re, 

1/ On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

2/ retélécharge gmer comme dans le lien :
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen#1
Lance le et poste le rapport.

A+

justine0570 · Answer

J'ai réussi à lancer Gmer.
Dès l'analyse terminée, je te met le rapport et je ferai ensuite le nettoyage.

verni29 · Answer

justine, 

Du coup, si tu as réussi à passer gmer, attends avant d'utiliser ToolsCleaner.
On le ferra à la fin.

A+

justine0570 · Answer

Bon, visiblement, le scan de Gmer n'a pas fonctionné car ça a été très long et une fois terminé, il ne m'a sorti aucun rapport....

Je passe à la solution toolscleaner

justine0570 · Answer

Voici le rapport de Toolscleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\!Killbox: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\!Killbox: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

verni29 · Answer

Re, 

C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !! 
Vérifie si Combofix et gmer sur ton bureau ont été supprimés, sinon fais-le.

Ressaye gmer en le retéléchargeant, stp.
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen#1

A+

justine0570 · Answer

J'ai bien retiré manuellement Gmer et Combofix.
Puis j'ai retéléchargé Gmer puis je l'ai lancé mais avec le me^me résultat..... l'analyse s'arrête après seulement quelques secondes.

Désolé, je n'y arrive pas.

Je pense néanmoins que le virus a bien été retiré non ?

verni29 · Answer

Oui, je pense aussi.

Deux analyses pour vérifier que le PC est propre.

1/ malwarebytes est présent sur le PC. 

Mets le à jour et lance un scan complet.

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

2/ Fais un scan en ligne.
tuto : https://forum.pcastuces.com/default.asp
Posté également le rapport.

A+

justine0570 · Answer

quand on fait un scan complet avec malawarebytes (par exemple), faut-il toujours déconnecter l'antivirus ?

verni29 · Answer

Non, ce n'est pas nécessaire de désactiver l'antivirus.

A+

justine0570 · Answer

Pas bon signe....

Pendant mon analyse malawarebytes, Avast vient de me retrouver le même Rootkit + 1 Vers que je viens de mettre en quarantaine....

Je vais pas m'en sortir de ce fichu rootkit-gen....

J'attend la fin de l'analyse de malawarebytes

verni29 · Answer

Re, 

Coriace.
C'est le même chemin ? le même fichier ?

justine0570 · Answer

C'est le même oui enfin il me semble.
Il porte le même nom mais peut-être que le chemin n'est pas le même, j'ai pas fais gaffe quand Avast s'est déclenché

verni29 · Answer

Re, 

La prochaine fois, vérifie-le :
C:\WINDOWS\system32\Drivers\isfby.sys

A+

justine0570 · Answer

Voici le rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3824
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

04/03/2010 22:10:03
mbam-log-2010-03-04 (22-10-03).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 185186
Temps écoulé: 28 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP23\A0008602.sys (HackTool.Agent) -> Quarantined and deleted successfully.

verni29 · Answer

Tu vas utiliser un autre antirootkit pour vérifier la présence du rootkit.

·  Télécharge RootRepeal à partir d'un des liens suivants et enregistre-le sur ton bureau.
o	http://ad13.geekstogo.com/RootRepeal.exe
o	https://download.bleepingcomputer.com/rootrepeal/RootRepeal.exe 

·  Double clique sur RootRepeal.exe
( Si sous vista -> Choisir exécuter en tant qu’administrateur )
·  Clique sur l'onglet Report puis sur le bouton Scan.
·  Sélectionne ensuite chacune des cases ( Drivers, Files, processes, … )
·  Valide en cliquant sur Ok
·  Une fenêtre va s'ouvrir. Sélectionne ton disque dur ( genéralement C: ), et valide.
·  RootRepeal va maintenant scanner ton PC. .
·  Une fois les analyses terminées, clique sur le bouton Save Report .Sauvegarde le rapport sur ton bureau
·  Poste-le .

A+

justine0570 · Answer

Désolé Verni29, je suis parti au dodo hier soir mais je serai de retour ce soir pour tenter d'enrayer ce fichu rootkit vraiment coriace.

En tout cas, merci de ce que tu fais pour moi, c'est vraiment gentil de ta part.

Je repartirai ce soir avec le téléchargement de l'anti-rootkit dont tu m'as mis le lien hier soir.
Je lancerai aussi Avast pour te donner le lien du rootkit pour vois si c'est toujours le même chemin.

Redbart · Answer

Bsr
après les scans
supprimer les points de restauration
supprimer les fichiers temporaires
supprimer les fichiers de quarantaine (de tous les anti-...)
nettoyer C:\windows\prefetch\xx..xx.pf
chkdsk C:\f :r

etc.

verni29 · Answer

Salut, redbart

Tu veux prendre la suite ??
Sinon, je ne comprends pas trop le pourquoi de mettre ce genre de consignes.

@+

justine0570 · Answer

Bonsoir Verni29, je suis de retour du travail et je peux me remettre sur ce satané virus.
Pas de soucis me concernant, je continues uniquement avec toi.

Je télécharge l'anti-rootkit que tu m'as recommandé dans ton dernier Post d'hier soir.

justine0570 · Answer

Voici le rapport de Rootrepeal :

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2010/03/05 18:47
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xA9881000	Size: 98304	File Visible: No	Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xBAE2A000	Size: 8192	File Visible: No	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA856A000	Size: 49152	File Visible: No	Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a
Status: Locked to the Windows API!

SSDT
-------------------
#: 025	Function Name: NtClose
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec6b8

#: 041	Function Name: NtCreateKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec574

#: 065	Function Name: NtDeleteValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98eca52

#: 068	Function Name: NtDuplicateObject
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec14c

#: 119	Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec64e

#: 122	Function Name: NtOpenProcess
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec08c

#: 128	Function Name: NtOpenThread
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec0f0

#: 177	Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec76e

#: 204	Function Name: NtRestoreKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec72e

#: 247	Function Name: NtSetValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec8ae

==EOF==

verni29 · Answer

Bonsoir, Justine

Rootrepeal ne révèle rien.

1/ Effectivement passe Avast.
Poste le rapport.

2/ fais également un scan en ligne comme sur le message :
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen?page=2#30

Je ne serais pas présent ce soir.
Je dois m'absenter.

A+

justine0570 · Answer

Avast n'a rien détecté, le scan n'a trouvé aucun fichier infecté.

je lance le scan en ligne pour confirmation mais je pense que tu a dompté la bête !!!!

Si c'est bien le cas, je te remercie infiniment Verni29

justine0570 · Answer

Voici le rapport de bitfinder :



BitDefender Online Scanner - Rapport virus en temps rel
  
  
 
Gnr : Fri, Mar 05, 2010 - 19:56:25
 

--------------------------------------------------------------------------------

 
  
  
 
Info d'analyse
  
  
 
Fichiers scanns
 94946
 
Infects Fichiers
 0
 
  
  
 
 
  
  
 
Virus Dtects
  
  
 
Aucun virus trouvÃ©.
 
 
  
  
 
 Bon boulot, je crois que tu as réussi à me sortir de l'embarras.
Si je peux quoiquecesoit pour te remercier, n'hésites pas.
Merci encore

verni29 · Answer

Justine0570,

Bonnes nouvelles. :-)

Mets le PC à jour. Important pour éviter des failles de sécurité.

1/ Désinstalle la version actuelle d'acrobat reader ( v 7 )

Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/

2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée.Poste-le.

On termine ensuite.

A+

Un soucis avec virus Rootkit-gen

47 réponses

Votre réponse

Discussions similaires

Newsletters