Sujet Précédent Sujet Suivant

C:\WINDOWS\system32\wmicvrts.exe

Résolu/Fermé
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013 - 9 avril 2010 à 19:00
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 18 avril 2010 à 22:40
J'ai un problème de virus aidez moi svp merci d'avance
http://www.cijoint.fr/cjlink.php?file=cj201004/cijlAgIcFE.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijkIvjxyt.txt

19 réponses

Réponse 1 / 19
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
10 avril 2010 à 22:16
help !!! ^^
0
Réponse 2 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
13 avril 2010 à 20:00
bonsoir
(mp recu)

pas mal d'infection

1)

as tu supprimer tout ce que MBAM avait trouvé

2)

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

Double clic sur le raccourci UsbFix présent sur le bureau .

Choisir l'option2 suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.


0
Réponse 3 / 19
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 20:14
D'abord je te remercie beaucoup ^^
1) oui j'ai tout supprimer
2)
############################## | UsbFix V6.103 |

User : DAO (Administrateurs) # DAO-15A48F7B287
Update on 12/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:09:35 | 13/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 6420 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

C:\ -> Disque fixe local # 298,08 Go (92,41 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 465,76 Go (21,65 Go free) [My Book] # NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,73 Go (3,66 Go free) # FAT32

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\System32\autorun.inf
Supprimé ! C:\Recycler\S-1-5-21-1482976101-1677491937-661001330-9999\system.exe
Supprimé ! C:\Recycler\S-1-5-21-1482976101-1677491937-661001330-9999\Desktop.ini
Supprimé ! C:\Recycler\S-1-5-21-1482976101-1677491937-661001330-9999
Supprimé ! C:\Recycler\S-1-5-21-4103308845-1806644098-050974737-1723
Supprimé ! C:\Recycler\S-1-5-21-57989841-1960408961-839522115-1004
Supprimé ! E:\autorun.inf
Supprimé ! E:\ARKBD.tmp
Supprimé ! E:\$Recycle.Bin\S-1-5-21-1550349404-1714032347-3421821014-1000
Supprimé ! E:\$Recycle.Bin\S-1-5-21-1664488852-2674422203-2300360505-1000
Supprimé ! E:\$Recycle.Bin\S-1-5-21-2190174090-947901329-2293444995-1000
Supprimé ! E:\$Recycle.Bin\S-1-5-21-3078038530-1427053535-84045008-1000
Supprimé ! E:\$Recycle.Bin\S-1-5-21-3659630997-3535361395-2189188720-1000
Supprimé ! E:\$Recycle.Bin\S-1-5-21-766839969-1542977872-527932864-1000
Supprimé ! E:\Recycler\S-1-5-21-1409082233-1844823847-839522115-1004
Supprimé ! E:\Recycler\S-1-5-21-1606980848-1682526488-725345543-1003
Supprimé ! E:\Recycler\S-1-5-21-343818398-616249376-682003330-1004
Supprimé ! E:\Recycler\S-1-5-21-57989841-1960408961-839522115-1004
H:\autorun.inf -> fichier appelé : "H:\JOVANA/pojatar.exe" ( Absent ! )
H:\autorun.inf -> fichier appelé : "H:\JOVANA/pojatar.exe" ( Absent ! )
Supprimé ! H:\autorun.inf
Supprimé ! H:\6ruaqx.exe
Supprimé ! H:\ZRNO\desktop.ini
Supprimé ! H:\ZRNO\soli.exe
Supprimé ! H:\ZRNO

################## | Registre |

Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\amva]
Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"
Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{00476ad3-623f-11dd-ab86-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{100d6cf4-dff4-11dd-aca2-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{10ba1a60-5e41-11dd-be04-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{241cbdec-341f-11de-ad54-001a92e12b07}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{345cac83-0b93-11de-ad10-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{3ab90596-9703-11de-ae04-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{4231ba78-7767-11dd-aba4-001a92e12b07}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{4f43fe71-7f6a-11dd-abb6-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6740c6f7-d8c0-11de-ae87-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6740c6fa-d8c0-11de-ae87-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6740c6fb-d8c0-11de-ae87-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a1186592-aa32-11de-ae2a-00179ad0ad47}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d848f15d-9144-11de-adf2-00179ad0ad47}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[30/07/2008 16:03|--a------|0] C:\AUTOEXEC.BAT
[14/02/2010 15:25|-r-hs----|228] C:\boot.ini
[02/03/2006 14:00|-rahs----|4952] C:\Bootfont.bin
[30/07/2008 16:03|-rahs----|0] C:\IO.SYS
[30/07/2008 16:03|-rahs----|0] C:\MSDOS.SYS
[02/03/2006 14:00|-rahs----|47564] C:\NTDETECT.COM
[20/09/2008 11:43|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[13/04/2010 20:13|--a------|4618] C:\UsbFix.txt
[15/03/2010 19:08|--a------|147722] H:\corrige_analyse_2008.pdf
[15/03/2010 19:00|--a------|288212] H:\corrige_analyse_vision2009.pdf
[17/03/2010 18:35|--a------|1170197] H:\sujet_analyse_vision_2008.pdf
[17/03/2010 18:36|--a------|717147] H:\corrige_optique_geo_2009.pdf
[17/03/2010 18:39|--a------|1996850] H:\sujet_optique_geo_2009.pdf
[17/03/2010 18:40|--a------|101861] H:\corrige_optique_geo_2008.pdf
[17/03/2010 18:40|--a------|37429] H:\sujet_optique_geo_2008.pdf
[17/03/2010 18:42|--a------|67729] H:\corr_analyse_vision06.pdf
[17/03/2010 18:42|--a------|443781] H:\anvision06.pdf
[17/03/2010 18:43|--a------|447273] H:\anvisession2007.pdf
[17/03/2010 18:44|--a------|785788] H:\correctionanvis07.pdf
[17/03/2010 18:45|--a------|177572] H:\optique-geo05.pdf
[17/03/2010 18:49|--a------|111641] H:\OG2007.pdf
[13/12/2008 15:20|---h-----|26624] H:\~WRL0001.tmp
[17/03/2010 18:45|--a------|45409] H:\corr_optique06.pdf
[17/03/2010 18:47|--a------|957831] H:\optique_geo06.pdf
[17/03/2010 18:48|--a------|111801] H:\optiquegeo.pdf
[08/04/2010 14:11|--a------|140800] H:\nutri.wps
[01/04/2010 15:05|--a------|43892448] H:\setup_av_free_fre.exe
[10/04/2010 15:05|--a------|4203944] H:\registrybooster.exe
[09/04/2010 17:34|--a------|1429068] H:\ZHPDiag 1.25.13.exe
[13/04/2010 20:03|--a------|1777501] H:\UsbFix.exe
[09/04/2010 17:38|--a------|3376656] H:\ccsetup230.exe
[09/04/2010 17:41|--a------|5918776] H:\mbam-setup.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_DAO-15A48F7B287.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.103 ! |

Merci encore
0
Réponse 4 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
13 avril 2010 à 20:18
ok dans ce cas fais moi un nouveau rapport ZHPdiag, le tien précédait les suppression MBAM
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 20:35
effectivement ^^ je fait ça tout de suite
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 20:52
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWtRVPVY.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
13 avril 2010 à 20:58
Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Program Files\MoodBook\mb.exe
C:\WINDOWS\system32\drivers\mzxzsrwx.sys


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 21:01
cela necessite t il une bonne connexion internet car je capte tres mal la borne wifi avec mon ordi de bureau ?
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
13 avril 2010 à 21:03
honnêtement j'en sais rien...vu la taille des fichiers, je ne pense pas
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 21:38
impossible de me connecter yaurai t il une autre solution?
0
Réponse 6 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
13 avril 2010 à 21:40
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt



0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 21:48
je n'utilisais pas jusque la d'antiqpyware pourrais tu m'en recommendé un ?
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
13 avril 2010 à 21:51
pour l'instant on désinfecte....

tous les conseils que tu veux dans la mesures de mes connaissances, à la fin du sujet si tu veux bien

=> combofix
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 22:09
d'accord d'accord est ce qu'il me faut une connexion au net par cable car comme je t'ai expliqué je me connecte a une borne a distance .
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 22:13
désolé mais mon ordi met tres longtemps a redemarrer surement a cause de l'infection !
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
13 avril 2010 à 22:18
la console de recuperation se telecharge
0
Réponse 7 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 05:31
ok

combofix a shooté ce qui me dérangeait...

on repasse derriere lui maintenant

1)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:

https://www.androidworld.fr/

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

........................

2)

vois si ce fichier existe et verifies le

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :


c:\\WINDOWS\\system32\\wmicvrts.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage


Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK


........................................

3)

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

Télécharge et installe List&Kill'em et enregistre le sur ton bureau

http://sd-1.archive-host.com/...



double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancer seul

choisis la langue puis choisis l'option SEARCH

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.


0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 09:53
http://www.cijoint.fr/cjlink.php?file=cj201004/cijye2XwJ9.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijyjhIeoV.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cij0DjkRwY.txt
0
Réponse 8 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 10:07
bien

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN
ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse

Tu peux le désinstaller ensuite

.............................

tu redemarres ensuite le pc et me dit s'il se comporte bien
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 10:25
Kill'em by g3n-h@ckm@n 1.7.1.0

User : DAO (Administrateurs)
Update on 13/04/2010 by g3n-h@ckm@n ::::: 17.10
Start at: 10:13:24 | 14/04/2010

Intel(R) Core(TM)2 CPU 6420 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886542 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 298,08 Go (92,76 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 465,76 Go (58,36 Go free) [My Book] | NTFS
F:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
Quarantined & Deleted !! : C:\Program Files\DAEMON Tools Toolbar
Quarantined & Deleted !! : C:\WINDOWS\002557_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET25.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp

Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\ealregsnapshot1.reg
Quarantined & Deleted !! : C:\WINDOWS\System32\MSINET.oca
Quarantined & Deleted !! : C:\WINDOWS\System32\SETB6.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SETBA.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SETC2.tmp
Quarantined & Deleted !! : C:\Documents and Settings\DAO\Application Data\pcouffin.inf
Quarantined & Deleted !! : C:\Documents and Settings\DAO\Application Data\pcouffin.log
Quarantined & Deleted !! : C:\Documents and Settings\DAO\Mes documents\ZbThumbnail.info
Deleted !! : C:\RECYCLER\S-1-5-21-57989841-1960408961-839522115-1004\Dc1.zip

==============
host file OK !
==============

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : HKCR\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
============

=================
anti-ver blaster : OK !!
=================

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 10:31
Je redemarre mon pc :
1) AirPlusCFG.exe Point d'entrée introuvable click OK
2) WZCSLDR2.exe Point d'entrée introuvable Click OK
3) Ma barre Windows reste bloqué (Sablier quand je passe dessus) pendant assez longtemps jusqu'a ce que la petite musique de démarrage ait lieu

sinon plus de fenetre qui s'ouvre toute seule ect ...
0
Réponse 9 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 10:27
comment va le pc ?
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 10:36
a prioris bien puisque ces probleme etaient deja présent avant les manip
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 10:37
veux tu que je le test avec un programme ?
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 11:40
As tu des solutions pour les 3problemes cités au dessus ?
Il ne proviennent donc pas d'infection ?
0
Réponse 10 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 12:05
regardes là
https://forums.commentcamarche.net/forum/affich-6324736-wzcsldr2-exe

postes un nouveau ZHPdiag stp
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 12:17
http://www.cijoint.fr/cjlink.php?file=cj201004/cijN2APP6o.txt
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 12:24
je regarde le rapport

mais dis moi n'avais tu pas des soucis d'internet
https://forums.commentcamarche.net/forum/affich-17313847-c-windows-system32-wmicvrts-exe#8

1) AirPlusCFG.exe Point d'entrée introuvable click OK
2) WZCSLDR2.exe Point d'entrée introuvable Click OK

ceci semble en être la cause
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
Modifié par psykoblate le 14/04/2010 à 12:26
ça dépend des moments. Par exemple aujourd'hui je t'ai envoyé le rapport de virustotal alors qu'hier impossible d'aller sur ce site pourtant google fonctionnait.
0
Réponse 11 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 12:31
Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

Télécharge et installe List&Kill'em et enregistre le sur ton bureau

http://sd-1.archive-host.com/...



double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancer seul

choisis la langue puis choisis l'option SEARCH

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.


0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 12:34
ok je recommence
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 12:41
http://www.cijoint.fr/cjlink.php?file=cj201004/cijG1ENhWg.txt
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 12:41
non oublies killem

je viens de relire le sujet et vu que tu l'avais déjà fait
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 12:47
ah je pensais que tu voulais voir les effets de l'option clean ...
0
Réponse 12 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 12:46
regardes si il est encore là celui ci

C:\WINDOWS\system32\wmicvrts.exe
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
Modifié par psykoblate le 14/04/2010 à 12:51
oui il est bien là :s
Mais il n'ouvre plus de fenetre avec son petit nom !
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 12:52
passes le sur Virus Total stp
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
Modifié par psykoblate le 14/04/2010 à 12:58
euh en fait je l'ai deja analyser avec virustotal c'est la premiere chose qu'on a fait aujourd'hui
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 13:01
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.14 -
AhnLab-V3 5.0.0.2 2010.04.13 -
AntiVir 7.10.6.72 2010.04.14 -
Antiy-AVL 2.0.3.7 2010.04.14 -
Authentium 5.2.0.5 2010.04.14 -
Avast 4.8.1351.0 2010.04.14 -
Avast5 5.0.332.0 2010.04.14 -
AVG 9.0.0.787 2010.04.14 -
BitDefender 7.2 2010.04.14 -
CAT-QuickHeal 10.00 2010.04.14 -
ClamAV 0.96.0.3-git 2010.04.14 -
Comodo 4595 2010.04.14 -
DrWeb 5.0.2.03300 2010.04.14 -
eSafe 7.0.17.0 2010.04.13 -
eTrust-Vet 35.2.7423 2010.04.13 -
F-Prot 4.5.1.85 2010.04.13 -
F-Secure 9.0.15370.0 2010.04.14 -
Fortinet 4.0.14.0 2010.04.12 -
GData 19 2010.04.14 -
Ikarus T3.1.1.80.0 2010.04.14 -
Jiangmin 13.0.900 2010.04.13 -
Kaspersky 7.0.0.125 2010.04.14 -
McAfee 5.400.0.1158 2010.04.14 -
McAfee-GW-Edition 6.8.5 2010.04.14 -
Microsoft 1.5605 2010.04.14 -
NOD32 5027 2010.04.14 -
Norman 6.04.11 2010.04.14 -
nProtect 2010-04-14.01 2010.04.14 -
Panda 10.0.2.7 2010.04.13 -
PCTools 7.0.3.5 2010.04.14 -
Prevx 3.0 2010.04.14 -
Rising 22.43.02.04 2010.04.14 -
Sophos 4.52.0 2010.04.14 -
Sunbelt 6175 2010.04.14 -
Symantec 20091.2.0.41 2010.04.14 -
TheHacker 6.5.2.0.261 2010.04.14 -
TrendMicro 9.120.0.1004 2010.04.14 -
VBA32 3.12.12.4 2010.04.09 -
ViRobot 2010.4.14.2275 2010.04.14 -
VirusBuster 5.0.27.0 2010.04.13 -
Information additionnelle
File size: 37872 bytes
MD5...: 0544ea9c780f0938328835f9ceb18c1b
SHA1..: c0393aca57f38caebe8179c705495d8d8651e99c
SHA256: a714a0af83a498602176a68ac5c4cd437be5c959c807af39c5b698b8af75ae71
ssdeep: 768:fHcjzA9CiXdjGKW3yUI8SeJGweC5a/pVOhIaTkBr2xJFh2Ffzub1hJDinCCZ
FYkJ:f0XKW3yUI8SeJ5va/pWBlPlinC4Iz2zX

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: file seems to be plain text/ASCII (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 13 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 13:20
(sourire)

c'est vrai

je ne vois plus d'infection

pour en être sûr

Télécharge Superantispyware (SAS)

https://www.superantispyware.com/superantispywarefreevspro.html

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.

Sous Configuration and Preferences, clique sur le bouton "Preferences"

Clique sur l'onglet "Scanning Control "
Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

* Close browsers before scanning
* Scan for tracking cookies
* Terminate memory threats before quarantining

Laisse les autres lignes décochées.

Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


tutoriel en image :

https://www.malekal.com/?s=SUPERAntiSpyware
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 13:40
"Clique sur l'onglet "Scanning Control "
Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

* Close browsers before scanning
* Scan for tracking cookies
* Terminate memory threats before quarantining
"
toutes les autres lignes doivent etre décochés ou seulement celle qui l'était auparavant ?
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
14 avril 2010 à 13:45
elles doivent être normalement cochées..à défaut les cocher
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
14 avril 2010 à 14:50
d'accord je travaille pour l'instant je te tiens au courant ce soir
0
Réponse 14 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
18 avril 2010 à 14:37
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 04/18/2010 at 12:13 PM

Application Version : 4.35.1002

Core Rules Database Version : 4804
Trace Rules Database Version: 2616

Scan type : Complete Scan
Total Scan Time : 00:22:53

Memory items scanned : 409
Memory threats detected : 0
Registry items scanned : 5714
Registry threats detected : 10
File items scanned : 22182
File threats detected : 29

Adware.Tracking Cookie
C:\Documents and Settings\DAO\Cookies\dao@apmebf[1].txt
C:\Documents and Settings\DAO\Cookies\dao@bs.serving-sys[2].txt
C:\Documents and Settings\DAO\Cookies\dao@advertising[1].txt
C:\Documents and Settings\DAO\Cookies\dao@statse.webtrendslive[2].txt
C:\Documents and Settings\DAO\Cookies\dao@doubleclick[1].txt
C:\Documents and Settings\DAO\Cookies\dao@smartadserver[1].txt
C:\Documents and Settings\DAO\Cookies\dao@content.yieldmanager[1].txt
C:\Documents and Settings\DAO\Cookies\dao@mediaplex[1].txt
C:\Documents and Settings\DAO\Cookies\dao@msnportal.112.2o7[1].txt
C:\Documents and Settings\DAO\Cookies\dao@atdmt[1].txt
C:\Documents and Settings\DAO\Cookies\dao@pornhub[2].txt
C:\Documents and Settings\DAO\Cookies\dao@boursoramabanque.solution.weborama[2].txt
C:\Documents and Settings\DAO\Cookies\dao@fr.partypoker[1].txt
C:\Documents and Settings\DAO\Cookies\dao@cetelem.solution.weborama[2].txt
C:\Documents and Settings\DAO\Cookies\dao@ad.zanox[1].txt
C:\Documents and Settings\DAO\Cookies\dao@ad.yieldmanager[1].txt
C:\Documents and Settings\DAO\Cookies\dao@fr.at.atwola[2].txt
C:\Documents and Settings\DAO\Cookies\dao@weborama[1].txt
C:\Documents and Settings\DAO\Cookies\dao@xiti[1].txt
C:\Documents and Settings\DAO\Cookies\dao@adfarm1.adition[1].txt
C:\Documents and Settings\DAO\Cookies\dao@adserver.aol[1].txt
C:\Documents and Settings\DAO\Cookies\dao@yadro[2].txt
C:\Documents and Settings\DAO\Cookies\dao@partypoker[1].txt
C:\Documents and Settings\DAO\Cookies\dao@serving-sys[1].txt
C:\Documents and Settings\DAO\Cookies\dao@adserver.adreactor[1].txt
C:\Documents and Settings\DAO\Cookies\dao@rts.pgmediaserve[1].txt
C:\Documents and Settings\DAO\Cookies\dao@atdmt[2].txt
C:\Documents and Settings\DAO\Cookies\dao@fr.at.atwola[1].txt

Browser Hijacker.Deskbar
HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}
HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\ProxyStubClsid
HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\ProxyStubClsid32
HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\TypeLib
HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\TypeLib#Version
HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}
HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\ProxyStubClsid
HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\ProxyStubClsid32
HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\TypeLib
HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\TypeLib#Version

Rogue.Agent/Gen-Nullo[EXE]
C:\WINDOWS\SYSTEM32\WMICVRTS.EXE


.....................................................

je vois que SAS ne l'aime pas non plus celui là...

il doit y avoir une quarantaine dedans, vides là

côté pc, comment ca va ?
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
18 avril 2010 à 14:52
Bien ça va beaucoup mieux !!!
Par contre le démarrage est toujours super long, mais peut etre que ça n'a aucun rapport.
0
Réponse 15 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
18 avril 2010 à 14:57
le démarrage est toujours super long

ca peut être tellement de chose....

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\


? Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
18 avril 2010 à 16:46
http://www.cijoint.fr/cjlink.php?file=cj201004/cij2hIIx7w.txt
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
18 avril 2010 à 16:53
si le rapport n'est pas trop long, peux tu le poster ici (pas acces pour l'instant à ton lien)
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
18 avril 2010 à 17:03
il est assez long ça ne passe pas
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
18 avril 2010 à 17:12
passer par "j'ai une réponse".....sinon en 2 fois
0
Réponse 16 / 19
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
18 avril 2010 à 17:23
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 16:45:07
Windows 5.1.2600 Service Pack 3
Running: qud9wid9.exe; Driver: C:\DOCUME~1\DAO\LOCALS~1\Temp\afqcypow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB5FF2C56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB5FF2B12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB5FF30C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB5FF2FF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB5FF26E8]
SSDT spao.sys ZwEnumerateKey [0xB9EC6CA2]
SSDT spao.sys ZwEnumerateValueKey [0xB9EC7030]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB5FF2BEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB5FF2628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB5FF268C]
SSDT spao.sys ZwQueryKey [0xB9EC7108]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB5FF2D0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB5FF3194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB5FF2CCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB5FF2E4C]
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB6156320]

INT 0x63 ? 8AA38BF8
INT 0x73 ? 8AC53BF8
INT 0x73 ? 8AC53BF8
INT 0x73 ? 8AC53BF8
INT 0x73 ? 8AC53BF8
INT 0x73 ? 8AA38BF8
INT 0x73 ? 8AC53BF8
INT 0x83 ? 8AC55BF8
INT 0x83 ? 8AA38BF8
INT 0x83 ? 8AC55BF8
INT 0x94 ? 8AA38BF8
INT 0xB4 ? 8AA38BF8

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB5FFF4FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB5FFF322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB5FFF45C]

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2CE0 8050457C 4 Bytes CALL ED0644A7
PAGE ntkrnlpa.exe!ZwLoadDriver 8058413A 7 Bytes JMP B5FFF460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805AB38E 7 Bytes JMP B5FFF326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805BC502 5 Bytes JMP B5FFB4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805C2F86 5 Bytes JMP B5FFC972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805D1134 7 Bytes JMP B5FFF502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
? spao.sys Le fichier spécifié est introuvable. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB8F3B360, 0x35483F, 0xE8000020]
.text USBPORT.SYS!DllUnload B8F1B8AC 5 Bytes JMP 8AA381D8
.text a6zi6i9u.SYS B8E6A386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a6zi6i9u.SYS B8E6A3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a6zi6i9u.SYS B8E6A3C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text a6zi6i9u.SYS B8E6A3C9 1 Byte [2E]
.text a6zi6i9u.SYS B8E6A3C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...
init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB6311A00]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA9040] spao.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA913C] spao.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA90BE] spao.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spao.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA96D2] spao.sys
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KeGetCurrentIrql] 57B80974
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KfRaiseIrql] 8B000000
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KfLowerIrql] 56C35DE5
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!HalGetInterruptVector] 8D08758B
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520
IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[708] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[708] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
Device \FileSystem\Ntfs \Ntfs 8ABE31F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom aswSP.SYS (avast! self protection module/ALWIL Software)
Device \FileSystem\Fastfat \FatCdrom 89EFC1F8

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBPDO-0 8AA2C1F8
Device \Driver\usbuhci \Device\USBPDO-1 8AA2C1F8
Device \Driver\usbehci \Device\USBPDO-2 8A9EA1F8
Device \Driver\usbuhci \Device\USBPDO-3 8AA2C1F8
Device \Driver\PCI_PNP2726 \Device\00000048 spao.sys
Device \Driver\usbuhci \Device\USBPDO-4 8AA2C1F8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBPDO-5 8AA2C1F8
Device \Driver\usbehci \Device\USBPDO-6 8A9EA1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8ABE51F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8ABE51F8
Device \Driver\Cdrom \Device\CdRom0 8A9DE1F8
Device \Driver\Cdrom \Device\CdRom1 8A9DE1F8
Device \Driver\atapi \Device\Ide\IdePort0 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2
0
Réponse 17 / 19
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
18 avril 2010 à 17:24
[B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetBT_Tcpip_{8D98C98F-44E7-4627-86D3-A77E7AA3315B} 8A16E1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A16E1F8
Device \Driver\usbstor \Device\00000083 8A15F1F8
Device \Driver\usbstor \Device\00000083 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000084 8A15F1F8
Device \Driver\usbstor \Device\00000084 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000092 8A15F1F8
Device \Driver\usbstor \Device\00000092 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetbiosSmb 8A16E1F8
Device \Driver\usbstor \Device\00000093 8A15F1F8
Device \Driver\usbstor \Device\00000093 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\sptd \Device\888572726 spao.sys

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBFDO-0 8AA2C1F8
Device \Driver\usbuhci \Device\USBFDO-1 8AA2C1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A16A1F8
Device \Driver\usbehci \Device\USBFDO-2 8A9EA1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A16A1F8
Device \Driver\usbuhci \Device\USBFDO-3 8AA2C1F8
Device \Driver\usbuhci \Device\USBFDO-4 8AA2C1F8
Device \Driver\Ftdisk \Device\FtControl 8ABE51F8
Device \Driver\usbuhci \Device\USBFDO-5 8AA2C1F8
Device \Driver\usbehci \Device\USBFDO-6 8A9EA1F8
Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8ABE41F8
Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\a6zi6i9u \Device\Scsi\a6zi6i9u1 8A9A51F8
Device \Driver\a6zi6i9u \Device\Scsi\a6zi6i9u1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\JRAID \Device\Scsi\JRAID1 8ABE41F8
Device \Driver\JRAID \Device\Scsi\JRAID1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\a6zi6i9u \Device\Scsi\a6zi6i9u1Port5Path0Target0Lun0 8A9A51F8
Device \Driver\a6zi6i9u \Device\Scsi\a6zi6i9u1Port5Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Fastfat \Fat aswSP.SYS (avast! self protection module/ALWIL Software)
Device \FileSystem\Fastfat \Fat 89EFC1F8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Cdfs \Cdfs 8A1C31F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x80 0xC5 0x3B ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE0 0x4B 0x98 0x75 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x33 0xF1 0xC0 0xE4 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x31 0x0B 0xD2 0xCE ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x82 0xC9 0x6B 0x99 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x82 0xC9 0x6B 0x99 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x93 0x7B 0x3A 0xE0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE0 0x4B 0x98 0x75 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x49 0x31 0x89 0x4B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x80 0xC5 0x3B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE0 0x4B 0x98 0x75 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x70 0x08 0x27 0x01 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x31 0x0B 0xD2 0xCE ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x82 0xC9 0x6B 0x99 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x82 0xC9 0x6B 0x99 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x80 0xC5 0x3B ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE0 0x4B 0x98 0x75 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x70 0x08 0x27 0x01 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x31 0x0B 0xD2 0xCE ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x82 0xC9 0x6B 0x99 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x82 0xC9 0x6B 0x99 ...

---- EOF - GMER 1.0.15 ----
0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
18 avril 2010 à 17:28
pas bête ^^ !!!
0
Réponse 18 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
18 avril 2010 à 22:24
pas bête ...mais pas ca

avais tu bien désactiver ton antivirus ?
si non à refaire stp


0
psykoblate Messages postés 102 Date d'inscription vendredi 9 avril 2010 Statut Membre Dernière intervention 9 mai 2013
18 avril 2010 à 22:25
je l'ai desactivé cependant je le relancerais demain !
0
Réponse 19 / 19
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
Modifié par moment de grace le 18/04/2010 à 22:40
non pas utile dans ce cas

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: "%userprofile%\Bureau\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK




Je cherche beaucoup...et maintenant je trouve !
(sourire)
0