Rame ! rame !

motsdailes Messages postés 192 Statut Membre -  
 gen-hackman -
Bonjour,

Mon ordi rame et fais un bruit pas possible !!

help me please !!

98 réponses

Précédent
Réponse 21 / 98
motsdailes Messages postés 192 Statut Membre
 
mais j'ai environ 30 fichiers...
0
Réponse 22 / 98
motsdailes Messages postés 192 Statut Membre
 
Item Name: WinSvc
Author:
Related File: C:\Program Files\Winsudate\gibsvc.exe
Type: Auto Services


c'est long comme manip non ?

Item Name: WinUsr
Author:
Related File: C:\Program Files\Winsudate\gibusr.exe
Type: Registry Run

suis je obligée de les copier un par un ?
0
Réponse 23 / 98
fabul Messages postés 45287 Date d'inscription   Statut Modérateur Dernière intervention   5 773
 
Commence par télécharger Malwarebytes et supprime tout ce qu'il trouve,

Ensuite, nettoie avec CCleaner.

Ensuite,on revérifira si il ont bien fait le ménage.
0
Réponse 24 / 98
motsdailes Messages postés 192 Statut Membre
 
Bon, désolée mas je dois allez faire dodo quand même... merci en tout cas, et peut etre à demain ...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 98
fabul Messages postés 45287 Date d'inscription   Statut Modérateur Dernière intervention   5 773
 
Ok,a demain.
0
Réponse 26 / 98
motsdailes Messages postés 192 Statut Membre
 
bon, ok je fais ça lol. mais j avais raison malware est mieux ^^
0
fabul Messages postés 45287 Date d'inscription   Statut Modérateur Dernière intervention   5 773
 
Malwarebytes ne détecte pas tout,peut ètre plus simple pour toi,mais mieux,pas du tout.
0
Réponse 27 / 98
motsdailes Messages postés 192 Statut Membre
 
Dodo,

Bises.
0
Réponse 28 / 98
motsdailes Messages postés 192 Statut Membre
 
Re bonjour, voici mon rapport de MBAM, après l'analyse complète, est ce que je peux tout supprimer sans risques ?

Merci !

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3827
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/03/2010 12:13:38
mbam-log-2010-03-06 (12-13-21).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 180932
Temps écoulé: 29 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cugwywi (Trojan.Agent.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\myiceco (Trojan.Agent.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winusr (Adware.Gibmedia) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Winsudate (Adware.Gibmedia) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\LAURENT\Local Settings\Application Data\myiceco_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\LAURENT\Local Settings\Application Data\myiceco_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\LAURENT\Local Settings\Application Data\myiceco.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\LAURENT\Local Settings\Application Data\omwcu_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\LAURENT\Local Settings\Application Data\omwcu_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\LAURENT\Local Settings\Application Data\omwcu.dat (Adware.Navipromo.H) -> No action taken.
C:\WINDOWS\system32\TDSSxnpb.dll (Rootkit.TDSS) -> No action taken.
0
Réponse 29 / 98
motsdailes Messages postés 192 Statut Membre
 
Y'a plus personne pour m'aider ?? :-(
0
Utilisateur anonyme
 
salut
Ouvre Malwarebytes, dans la quarantaine, clique sur supprimer la sélection
Après le redémarrage du PC poste le rapport
0
Réponse 30 / 98
motsdailes Messages postés 192 Statut Membre
 
Ah merci beaucoup Nathandre de m'aider !
Je refais le scan et tout, et je te poste ça.
0
Utilisateur anonyme
 
refait pas le scan lit bien ce que je t'ai dit
après, on va s'occuper du rootkit TDSS
0
Réponse 31 / 98
motsdailes Messages postés 192 Statut Membre
 
Je n'ai rien en quarantaine. En fait, j'ai fermé MBAM tout à l'heure.
0
Utilisateur anonyme
 
Tu le feras après
le PC est pas mal infecté

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 32 / 98
motsdailes Messages postés 192 Statut Membre
 
Je ne trouve comment désactiver spybot ? Dois je aussi désactiver le pare feu windows et les mises à jours automatiques?
0
Utilisateur anonyme
 
Pour désactiver Spybot, perso, il n'est pas très utile
* Ouvre Spybot S&D
* Dans le menu Mode, séléctionne le mode avancé.
* Une fenêtre demande confirmation clique sur oui.
* Une fois le mode avancé actif, va dans l'onglet Outils.
* Clique sur Résident.
* La partie Résident comporte deux lignes qui sont normalement cochées :
=>Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
=>Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
* Décoche la ligne TeaTimer.
* Redémarre Spybot (le fermer et le réouvrir)
* Retourne dans le menu Résident et vérifie qu'il soit bien désactivé.

il vaut mieux désactiver toutes les protections, car ils risquent de gêner l'outil
0
Réponse 33 / 98
motsdailes Messages postés 192 Statut Membre
 
Voici le rapport :

ComboFix 10-03-05.06 - LAURENT 06/03/2010 16:58:15.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.767.484 [GMT 1:00]
Lancé depuis: c:\documents and settings\LAURENT\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LAURENT\Application Data\inst.exe
c:\documents and settings\LAURENT\Local Settings\Application Data\myiceco.dat
c:\documents and settings\LAURENT\Local Settings\Application Data\myiceco_nav.dat
c:\documents and settings\LAURENT\Local Settings\Application Data\myiceco_navps.dat
c:\documents and settings\LAURENT\Local Settings\Application Data\omwcu.dat
c:\documents and settings\LAURENT\Local Settings\Application Data\omwcu_nav.dat
c:\documents and settings\LAURENT\Local Settings\Application Data\omwcu_navps.dat
c:\program files\Search Settings
c:\program files\Search Settings\kb127\SearchSettings.dll
c:\program files\Search Settings\kb127\SearchSettingsRes409.dll
c:\program files\Search Settings\SearchSettings.exe
c:\program files\Winsudate

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINSVC
-------\Service_WinSvc


((((((((((((((((((((((((((((( Fichiers créés du 2010-02-06 au 2010-03-06 ))))))))))))))))))))))))))))))))))))
.

2010-03-06 02:59 . 2010-03-06 02:59 -------- d-----w- c:\documents and settings\LAURENT\Application Data\Malwarebytes
2010-03-06 02:59 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-06 02:59 . 2010-03-06 02:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-06 02:59 . 2010-03-06 02:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-06 02:59 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-06 01:59 . 2010-03-06 01:59 2 --shatr- c:\windows\winstart.bat
2010-03-06 01:25 . 2010-03-06 01:26 -------- d-----w- c:\program files\CCleaner
2010-02-26 11:02 . 2010-02-26 11:02 -------- d-----w- c:\documents and settings\LAURENT\Local Settings\Application Data\Temp
2010-02-20 17:57 . 2010-02-20 17:57 1923880 ----a-w- c:\documents and settings\LAURENT\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2010-02-18 17:50 . 2010-02-18 17:50 -------- d-----w- c:\documents and settings\LAURENT\Application Data\PCF-VLC
2010-02-18 14:42 . 2010-02-18 14:42 -------- d-----w- c:\program files\Miro
2010-02-18 14:33 . 2010-02-18 14:35 -------- d-----w- c:\program files\Internet TV Player
2010-02-18 14:26 . 2010-02-18 14:26 -------- d-----w- c:\documents and settings\LAURENT\Application Data\Participatory Culture Foundation
2010-02-17 22:02 . 2010-03-06 01:49 -------- d-----w- c:\program files\adslTV
2010-02-10 11:45 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-10 11:45 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-10 11:45 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-02-10 11:45 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-02-10 11:45 . 2010-02-10 11:45 -------- d-----w- c:\program files\Avira
2010-02-10 11:45 . 2010-02-10 11:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-02-10 09:52 . 2010-02-10 09:52 45216 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-06 15:33 . 2008-03-28 10:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-03-06 01:46 . 2009-05-26 00:54 -------- d-----w- c:\documents and settings\LAURENT\Application Data\vlc
2010-03-06 01:40 . 2009-05-17 16:04 -------- d-----w- c:\program files\Vuze
2010-02-19 13:19 . 2009-05-17 16:05 -------- d-----w- c:\documents and settings\LAURENT\Application Data\Azureus
2010-01-31 09:24 . 2008-03-28 10:32 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-30 17:57 . 2008-03-28 10:17 -------- d-----w- c:\program files\Google
2010-01-29 06:21 . 2006-09-08 11:17 64484 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-29 06:21 . 2006-09-08 11:17 446566 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-24 20:28 . 2010-01-24 20:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Zylom
2010-01-24 20:28 . 2010-01-24 20:28 -------- d-----w- c:\documents and settings\LAURENT\Application Data\Zylom
2010-01-24 20:28 . 2010-01-24 20:28 -------- d-----w- c:\program files\Zylom Games
2010-01-21 22:50 . 2009-05-28 09:59 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-20 13:20 . 2008-03-28 10:38 -------- d-----w- c:\program files\eMule
2009-12-31 16:50 . 2005-05-10 00:17 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-23 22:03 . 2008-03-28 10:26 45216 ----a-w- c:\documents and settings\LAURENT\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-21 19:07 . 2006-03-04 04:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-17 07:41 . 2004-08-10 20:00 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2004-08-10 20:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:08 . 2005-09-29 18:28 2147328 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:08 . 2005-09-29 18:28 2025984 ----a-w- c:\windows\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-26 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2009-01-01 111928]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-30 18082304]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-3-28 45056]
Acer WLAN 11g USB Dongle.lnk - c:\program files\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/02/2010 12:45 108289]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 18:57 135664]
.
Contenu du dossier 'Tâches planifiées'

2010-03-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-03-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 17:57]

2010-03-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 17:57]

2010-03-06 c:\windows\Tasks\User_Feed_Synchronization-{6331E9BB-2B90-43EC-BD93-94EBC8338EC2}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.troner.net/
uInternet Connection Wizard,ShellNext = iexplore
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\LAURENT\Application Data\Mozilla\Firefox\Profiles\q42uoemx.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.mirostart.com/?cfg=2-73-0-om2W\n
FF - prefs.js: keyword.URL - hxxp://www.mirostart.com/s/?src=FF-Address&site=Yahoo!&cfg=2-73-0-om2W\n&q=
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKCU-Run-MsnMsgr - ~c:\program files\Windows Live\Messenger\msnmsgr.exe
HKCU-Run-cugwywi - c:\documents and settings\laurent\local settings\application data\cugwywi.exe
HKCU-Run-myiceco - c:\documents and settings\laurent\local settings\application data\myiceco.exe
HKCU-Run-WinUsr - c:\program files\Winsudate\gibusr.exe
HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-06 17:03
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr = ~"c:\program files\Windows Live\Messenger\msnmsgr.exe" /background?

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(776)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(152)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\acer\Empowering Technology\ePerformance\MemCheck.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\HPZipm12.exe
c:\windows\System32\snmp.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\dllhost.exe
c:\windows\eHome\ehmsas.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-03-06 17:07:33 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-06 16:07

Avant-CF: 42 991 992 832 octets libres
Après-CF: 43 091 468 288 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 68EBD1E05AD48C64770CCD299EED405D
0
Utilisateur anonyme
 
comme j'ai vu un fichier rootkité, on va faire une recherche de rootkit
Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme
Télécharge Gmer http://www.gmer.net/
• Clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
0
Réponse 34 / 98
motsdailes Messages postés 192 Statut Membre
 
Alors le scan a duré assez longtemps, puis quand j'ai fait "save", le programme ne répondait plus. Plus rien ne repondait donc j'ai du arreter l'ordi comme ça et le redémarrer.
Du coup, je pense que le rapport n'est pas sauvegardé du coup ?
0
Utilisateur anonyme
 
on verra plus tard
tu as SweetiM dans le PC c'est néfaste
Télécharge AD Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou
https://www.androidworld.fr/

Désactive l'anti-virus

Déconnecte toi et ferme toutes les applications en cours

Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
Double-clique sur l'icône Ad-remover présent sur ton bureau pour le lancer
Au menu principal, sélectionne l'option L, puis appuie sur la touche entrée
Poste le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall
0
Réponse 35 / 98
louneso Messages postés 151 Statut Membre 16
 
le bruit est comment?
0
Réponse 36 / 98
motsdailes Messages postés 192 Statut Membre
 
Le bruit est quand il cherche, ou il s'emballe, puis redevient à peu prés normal. Comme s'il tirait beaucoup ...
0
Utilisateur anonyme
 
c'est parce que ton PC rame
pourrai tu faire AD Remover
0
Réponse 37 / 98
motsdailes Messages postés 192 Statut Membre
 
OUI, voila :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:34:10, 06/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: ACER-DC6C4D74B4 | Utilisateur actuel: LAURENT
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Program Files\SweetIM
C:\DOCUME~1\LAURENT\APPLIC~1\EoRezo
C:\DOCUME~1\LAURENT\APPLIC~1\Search Settings
C:\DOCUME~1\ALLUSE~1\APPLIC~1\SweetIM
C:\Windows\Installer\b99fc3.msi
C:\Windows\Installer\caab9e.msi

(!) -- Fichiers temporaires supprimés.

.
HKCU\software\EoRezo
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKCU\software\Search Settings
HKCU\software\SweetIM
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\software\classes\appid\EoRezoBHO.DLL
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
HKLM\Software\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
HKLM\software\classes\EoRezoBHO.EoBHO
HKLM\software\classes\EoRezoBHO.EoBHO.1
HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\software\classes\MediaPlayer.GraphicsUtils
HKLM\software\classes\MediaPlayer.GraphicsUtils.1
HKLM\software\classes\MgMediaPlayer.GifAnimator
HKLM\software\classes\MgMediaPlayer.GifAnimator.1
HKLM\Software\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\software\Dealio
HKLM\software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0292226F570267D459357AF78015E534
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\03285961954D5824C85975D955031EE8
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\07D5290CDBDAE4242926B8E6CA650501
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\08E33F7B61DEFF24BB9673ED7D467636
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0E3D8A5B48622A445A7DF73FEFF32C3F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\1AC67655DD68F8240B2860F2D511EBD8
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\34EDDB1BFB3A2D448845F3EFD0F15A43
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\427EA997C413D1D47907CBFC7B2DB432
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\4318DF19719275242801CBE292063A4C
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\45FC115D1FEAEF849A4E1610D6EC8BF0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\46A5861A389ADB844AF89E31BC9DF0A1
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\49B0E1A6FF50BBE4289E4E23DE6EA0C7
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\4CCCAC049F34D0540AAC13011398BEDB
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\5C4389D0BFB302C479DE4178BD5D9EBA
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\5D19F074C042AD34BAB463D4175A062E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\5D2B09BDEF4FE54418E6F3373CDBC7AC
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\61B65D3397A1FBF4CB1571B5E4F6B5B0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\68E8A05C60DD9254591DBD16C94EDDBF
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\697E782CF574CC34CBB9566440BA12BC
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AC3985F4D64C2245A96D31569D1BF40
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AE27A8613CF7EA4782F2886F67295E5
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7CE172051F585E04187BCB97570BFA74
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\855847FA0E25FBA46B8516389DFDD4B3
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\86A901BA5265452499DCBF719C378EE3
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\88ABD1CD5C40EC84789A7F6EF86DAC5E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9A4B7EF3789F871419D9302583B20C15
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9DC2844D0E3E8924C8973C3B3BAE1F58
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A6C53B0F76C44004A8F36716213017DB
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\AFEB575AA30ACB243B748619F62F0782
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B59F2D8189784CC46A4597F2842480B0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BD746FB95FB8E5B45BF66BE54D5FD91F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\CCF399FCD6D2D3F46BF02A1378654FC9
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\D149C1355C98DE24E82CEFBD996FE06A
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DB59FDB786388EA4D897F3EE715683AC
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DB8DAD19CFBCC2049A4477183787E8C5
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E1C820A74ED67374BA048B52CB3C3804
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E337925F629CF4C4FB08F3D9674DD839
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EC65F200D112357449C8B1BC3CFA03D0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F327D0C73C0973644A21E8CC852267A0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F461B8DD96FF5AA41A52D14E1D7B69C7
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\SweetIM
HKLM\software\Search Settings
HKLM\software\SweetIM
HKU\.default\software\Search Settings
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.8 [fr] *
.
Nom du profil: q42uoemx.default (LAURENT)
.
(LAURENT, Invalidprefs.js) Browser.search.defaultenginename, Google
(LAURENT, Invalidprefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
(LAURENT, Invalidprefs.js) Browser.search.selectedEngine, Google
(LAURENT, Invalidprefs.js) Browser.startup.homepage, hxxp://y.lo.st
(LAURENT, Invalidprefs.js) Browser.startup.homepage, hxxp://www.yougoo.fr/meteo
(LAURENT, Invalidprefs.js) Keyword.URL, hxxp://www.yougoo.fr/meteo?search&q=
(LAURENT, Invalidprefs.js) Browser.search.selectedEngine, YouGoo.
(LAURENT, Invalidprefs.js) EFFACE - Browser.startup.homepage, hxxp://y.lo.st
.
(LAURENT, prefs.js) Browser.search.defaultenginename, Yahoo
(LAURENT, prefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
(LAURENT, prefs.js) Browser.search.selectedEngine, Yahoo
(LAURENT, prefs.js) Browser.startup.homepage, hxxp://www.mirostart.com/?cfg=2-73-0-om2W\n
(LAURENT, prefs.js) Extensions.enabledItems, jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
(LAURENT, prefs.js) Keyword.URL, hxxp://www.mirostart.com/s/?src=FF-Address&site=Yahoo!&cfg=2-73-0-om2W\n&q=
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst:
Enable Browser Extensions: yes
Use Custom Search URL: 1 (0x1)
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
10225 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
28 Fichier(s) - C:\DOCUME~1\LAURENT\LOCALS~1\Temp
6 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
18 Fichier(s) - C:\Ad-Remover\BACKUP
218 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 18:37:04 | 06/03/2010 - CLEAN[1]
.
============== E.O.F ==============
.
0
Utilisateur anonyme
 
pourrai tu refaire un scan complet avec Malwarebytes
je verrai cela ce soir vers 21H
0
Réponse 38 / 98
motsdailes Messages postés 192 Statut Membre
 
Voila le rapport :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3827
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/03/2010 19:13:46
mbam-log-2010-03-06 (12-13-21).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 180243
Temps écoulé: 29 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSxnpb.dll (Rootkit.TDSS) -> No action taken.
0
Utilisateur anonyme
 
garde tes protections désactivées
supprime gmer, et tu vas le retélécharger
http://sd-1.archive-host.com/membres/up/203669918515832581/9q2rcl7d.exe
• Clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
0
Réponse 39 / 98
motsdailes Messages postés 192 Statut Membre
 
voila le rapport,par contre l'ordi a encore planté apres le "save" :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-06 22:15:01
Windows 5.1.2600 Service Pack 3
Running: 9q2rcl7d.exe; Driver: C:\DOCUME~1\LAURENT\LOCALS~1\Temp\uwxoqpog.sys


---- System - GMER 1.0.15 ----

SSDT F7CA8966 ZwCreateKey
SSDT F7CA895C ZwCreateThread
SSDT F7CA896B ZwDeleteKey
SSDT F7CA8975 ZwDeleteValueKey
SSDT F7CA897A ZwLoadKey
SSDT F7CA8948 ZwOpenProcess
SSDT F7CA894D ZwOpenThread
SSDT F7CA8984 ZwReplaceKey
SSDT F7CA897F ZwRestoreKey
SSDT F7CA8970 ZwSetValueKey
SSDT F7CA8957 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF42E6000, 0x19903E, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
0
Réponse 40 / 98
fabul Messages postés 45287 Date d'inscription   Statut Modérateur Dernière intervention   5 773
 
Re Bonjour,

Si tu veut continuer avec Regrun,on pourrait te débarasser du rootkit et de tous les autres en mème temps.

Est tu cappable de redémarrer en mode sans échec en tapotant F8 au démarrage

(N'utilise aucune autre méthode que F8)

Démarre en mode sans échec avec prise en charge réseau et choisit ta session,

Écris moi quand tu y sera,je te dirai quoi faire.

0
Utilisateur anonyme
 
bonsoir fabul
s'il te plait peux tu me laisser continuer, car il a un rootkit
merci
0
fabul Messages postés 45287 Date d'inscription   Statut Modérateur Dernière intervention   5 773 > Utilisateur anonyme
 
C'est pas compliqué se débarasser d'un rootkit avec regrun,et des autres par la mème occasion.

Ca ferait moins d'opérations a effectuer,on peut les avoir d'un coup.

Ou en deux passes. MSE -> Analyse Windows native api -> MSE -> Suppression Windows native api et Réanalyse Windows native api -> Suppression finale Windows native api -> Reboot -> dans Windows --> Plus de malwares actifs.
0

Discussions similaires

Iptv beug
leogauthier15 -
bazfile -

1 réponse
Smart IPTV met un temps fou à charger depuis que je suis passé à la fibre
Ancaro13 -
glandu -

3 réponses
Bug de chaîne IPTV
GeraltDeRiv13 -
bazfile -

1 réponse
Problème iptv boîtier
Joaurep -
Joaurep -

2 réponses
Facebook trop lent
informatiik -
Giu -

87 réponses