C:\WINDOWS\system32\wmicvrts.exe

Résolu
psykoblate Messages postés 105 Statut Membre -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
J'ai un problème de virus aidez moi svp merci d'avance
http://www.cijoint.fr/cjlink.php?file=cj201004/cijlAgIcFE.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijkIvjxyt.txt

19 réponses

Résumé de la discussion

Un problème de virus est signalé et des méthodes de désinfection et de nettoyage du système sont discutées pour éradiquer l’infection et sécuriser le poste. Premièrement, lancer un outil de désinfection comme Kill'em et suivre scrupuleusement la procédure jusqu’au redémarrage afin d’obtenir un rapport complet sur le bureau et de vérifier les éléments détectés. Deuxièmement, réaliser un scan rootkit avec GMER pour identifier les modules cachés et chaînes de protections, puis compléter avec des outils comme ComboFix ou SuperAntiSpyware et examiner les rapports fournis. En parallèle, les échanges évoquent d’autres solutions et des procédures de diagnostic complémentaires afin de confirmer l’état de sécurité et de planifier une éventuelle réinstallation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. psykoblate Messages postés 105 Statut Membre
     
    help !!! ^^
    0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonsoir
    (mp recu)

    pas mal d'infection

    1)

    as tu supprimer tout ce que MBAM avait trouvé

    2)

    Téléchargez USBFIX de El Desaparecido, C_xx

    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou
    https://www.ionos.fr/?affiliate_id=77097

    /!\ Utilisateur de vista et windows 7 :
    ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    Double clic sur le raccourci UsbFix présent sur le bureau .

    Choisir l'option2 suppression
    (d'autres options disponibles, voir le tutoriel).
    Laissez travailler l'outil.
    Le menu démarrer et les icônes vont disparaître.. c'est normal.

    Si un message te demande de redémarrer l'ordinateur fais le ...

    Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

    Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    * Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

    Il est enregistré sur ton bureau.

    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    0
  3. psykoblate Messages postés 105 Statut Membre
     
    D'abord je te remercie beaucoup ^^
    1) oui j'ai tout supprimer
    2)
    ############################## | UsbFix V6.103 |

    User : DAO (Administrateurs) # DAO-15A48F7B287
    Update on 12/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 20:09:35 | 13/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 CPU 6420 @ 2.13GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled
    AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 298,08 Go (92,41 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque fixe local # 465,76 Go (21,65 Go free) [My Book] # NTFS
    F:\ -> Disque CD-ROM
    H:\ -> Disque amovible # 3,73 Go (3,66 Go free) # FAT32

    ################## | Elements infectieux |

    Supprimé ! C:\WINDOWS\System32\autorun.inf
    Supprimé ! C:\Recycler\S-1-5-21-1482976101-1677491937-661001330-9999\system.exe
    Supprimé ! C:\Recycler\S-1-5-21-1482976101-1677491937-661001330-9999\Desktop.ini
    Supprimé ! C:\Recycler\S-1-5-21-1482976101-1677491937-661001330-9999
    Supprimé ! C:\Recycler\S-1-5-21-4103308845-1806644098-050974737-1723
    Supprimé ! C:\Recycler\S-1-5-21-57989841-1960408961-839522115-1004
    Supprimé ! E:\autorun.inf
    Supprimé ! E:\ARKBD.tmp
    Supprimé ! E:\$Recycle.Bin\S-1-5-21-1550349404-1714032347-3421821014-1000
    Supprimé ! E:\$Recycle.Bin\S-1-5-21-1664488852-2674422203-2300360505-1000
    Supprimé ! E:\$Recycle.Bin\S-1-5-21-2190174090-947901329-2293444995-1000
    Supprimé ! E:\$Recycle.Bin\S-1-5-21-3078038530-1427053535-84045008-1000
    Supprimé ! E:\$Recycle.Bin\S-1-5-21-3659630997-3535361395-2189188720-1000
    Supprimé ! E:\$Recycle.Bin\S-1-5-21-766839969-1542977872-527932864-1000
    Supprimé ! E:\Recycler\S-1-5-21-1409082233-1844823847-839522115-1004
    Supprimé ! E:\Recycler\S-1-5-21-1606980848-1682526488-725345543-1003
    Supprimé ! E:\Recycler\S-1-5-21-343818398-616249376-682003330-1004
    Supprimé ! E:\Recycler\S-1-5-21-57989841-1960408961-839522115-1004
    H:\autorun.inf -> fichier appelé : "H:\JOVANA/pojatar.exe" ( Absent ! )
    H:\autorun.inf -> fichier appelé : "H:\JOVANA/pojatar.exe" ( Absent ! )
    Supprimé ! H:\autorun.inf
    Supprimé ! H:\6ruaqx.exe
    Supprimé ! H:\ZRNO\desktop.ini
    Supprimé ! H:\ZRNO\soli.exe
    Supprimé ! H:\ZRNO

    ################## | Registre |

    Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\amva]
    Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"
    Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"
    Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{00476ad3-623f-11dd-ab86-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{100d6cf4-dff4-11dd-aca2-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{10ba1a60-5e41-11dd-be04-806d6172696f}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{241cbdec-341f-11de-ad54-001a92e12b07}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{345cac83-0b93-11de-ad10-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{3ab90596-9703-11de-ae04-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{4231ba78-7767-11dd-aba4-001a92e12b07}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{4f43fe71-7f6a-11dd-abb6-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{6740c6f7-d8c0-11de-ae87-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{6740c6fa-d8c0-11de-ae87-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{6740c6fb-d8c0-11de-ae87-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{a1186592-aa32-11de-ae2a-00179ad0ad47}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{d848f15d-9144-11de-adf2-00179ad0ad47}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [30/07/2008 16:03|--a------|0] C:\AUTOEXEC.BAT
    [14/02/2010 15:25|-r-hs----|228] C:\boot.ini
    [02/03/2006 14:00|-rahs----|4952] C:\Bootfont.bin
    [30/07/2008 16:03|-rahs----|0] C:\IO.SYS
    [30/07/2008 16:03|-rahs----|0] C:\MSDOS.SYS
    [02/03/2006 14:00|-rahs----|47564] C:\NTDETECT.COM
    [20/09/2008 11:43|-rahs----|252240] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [13/04/2010 20:13|--a------|4618] C:\UsbFix.txt
    [15/03/2010 19:08|--a------|147722] H:\corrige_analyse_2008.pdf
    [15/03/2010 19:00|--a------|288212] H:\corrige_analyse_vision2009.pdf
    [17/03/2010 18:35|--a------|1170197] H:\sujet_analyse_vision_2008.pdf
    [17/03/2010 18:36|--a------|717147] H:\corrige_optique_geo_2009.pdf
    [17/03/2010 18:39|--a------|1996850] H:\sujet_optique_geo_2009.pdf
    [17/03/2010 18:40|--a------|101861] H:\corrige_optique_geo_2008.pdf
    [17/03/2010 18:40|--a------|37429] H:\sujet_optique_geo_2008.pdf
    [17/03/2010 18:42|--a------|67729] H:\corr_analyse_vision06.pdf
    [17/03/2010 18:42|--a------|443781] H:\anvision06.pdf
    [17/03/2010 18:43|--a------|447273] H:\anvisession2007.pdf
    [17/03/2010 18:44|--a------|785788] H:\correctionanvis07.pdf
    [17/03/2010 18:45|--a------|177572] H:\optique-geo05.pdf
    [17/03/2010 18:49|--a------|111641] H:\OG2007.pdf
    [13/12/2008 15:20|---h-----|26624] H:\~WRL0001.tmp
    [17/03/2010 18:45|--a------|45409] H:\corr_optique06.pdf
    [17/03/2010 18:47|--a------|957831] H:\optique_geo06.pdf
    [17/03/2010 18:48|--a------|111801] H:\optiquegeo.pdf
    [08/04/2010 14:11|--a------|140800] H:\nutri.wps
    [01/04/2010 15:05|--a------|43892448] H:\setup_av_free_fre.exe
    [10/04/2010 15:05|--a------|4203944] H:\registrybooster.exe
    [09/04/2010 17:34|--a------|1429068] H:\ZHPDiag 1.25.13.exe
    [13/04/2010 20:03|--a------|1777501] H:\UsbFix.exe
    [09/04/2010 17:38|--a------|3376656] H:\ccsetup230.exe
    [09/04/2010 17:41|--a------|5918776] H:\mbam-setup.exe

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_DAO-15A48F7B287.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.103 ! |

    Merci encore
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok dans ce cas fais moi un nouveau rapport ZHPdiag, le tien précédait les suppression MBAM
    0
    1. psykoblate Messages postés 105 Statut Membre
       
      effectivement ^^ je fait ça tout de suite
      0
    2. psykoblate Messages postés 105 Statut Membre
       
      http://www.cijoint.fr/cjlink.php?file=cj201004/cijWtRVPVY.txt
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Program Files\MoodBook\mb.exe
    C:\WINDOWS\system32\drivers\mzxzsrwx.sys

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK
    0
    1. psykoblate Messages postés 105 Statut Membre
       
      cela necessite t il une bonne connexion internet car je capte tres mal la borne wifi avec mon ordi de bureau ?
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      honnêtement j'en sais rien...vu la taille des fichiers, je ne pense pas
      0
    3. psykoblate Messages postés 105 Statut Membre
       
      impossible de me connecter yaurai t il une autre solution?
      0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
    1. psykoblate Messages postés 105 Statut Membre
       
      je n'utilisais pas jusque la d'antiqpyware pourrais tu m'en recommendé un ?
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      pour l'instant on désinfecte....

      tous les conseils que tu veux dans la mesures de mes connaissances, à la fin du sujet si tu veux bien

      => combofix
      0
    3. psykoblate Messages postés 105 Statut Membre
       
      d'accord d'accord est ce qu'il me faut une connexion au net par cable car comme je t'ai expliqué je me connecte a une borne a distance .
      0
    4. psykoblate Messages postés 105 Statut Membre
       
      désolé mais mon ordi met tres longtemps a redemarrer surement a cause de l'infection !
      0
    5. psykoblate Messages postés 105 Statut Membre
       
      la console de recuperation se telecharge
      0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    combofix a shooté ce qui me dérangeait...

    on repasse derriere lui maintenant

    1)

    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Miroir:

    https://www.androidworld.fr/

    /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

    Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « NETTOYER »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    ........................

    2)

    vois si ce fichier existe et verifies le

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    c:\\WINDOWS\\system32\\wmicvrts.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK

    ........................................

    3)

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    Télécharge et installe List&Kill'em et enregistre le sur ton bureau

    http://sd-1.archive-host.com/...

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "creer une icone sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancer seul

    choisis la langue puis choisis l'option SEARCH

    laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.

    0
    1. psykoblate Messages postés 105 Statut Membre
       
      http://www.cijoint.fr/cjlink.php?file=cj201004/cijye2XwJ9.txt
      http://www.cijoint.fr/cjlink.php?file=cj201004/cijyjhIeoV.txt
      http://www.cijoint.fr/cjlink.php?file=cj201004/cij0DjkRwY.txt
      0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bien

    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option CLEAN
    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta reponse

    Tu peux le désinstaller ensuite

    .............................

    tu redemarres ensuite le pc et me dit s'il se comporte bien

    0
    1. psykoblate Messages postés 105 Statut Membre
       
      Kill'em by g3n-h@ckm@n 1.7.1.0

      User : DAO (Administrateurs)
      Update on 13/04/2010 by g3n-h@ckm@n ::::: 17.10
      Start at: 10:13:24 | 14/04/2010

      Intel(R) Core(TM)2 CPU 6420 @ 2.13GHz
      Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 7.0.5730.13
      Windows Firewall Status : Disabled
      AV : avast! Antivirus 5.0.83886542 [ (!) Disabled | Updated ]

      C:\ -> Disque fixe local | 298,08 Go (92,76 Go free) | NTFS
      D:\ -> Disque CD-ROM
      E:\ -> Disque fixe local | 465,76 Go (58,36 Go free) [My Book] | NTFS
      F:\ -> Disque CD-ROM


      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\logonui.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Google\Update\GoogleUpdate.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\userinit.exe
      C:\Program Files\Google\Update\GoogleUpdate.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\List_Kill'em\ERUNT.EXE
      C:\Program Files\List_Kill'em\pv.exe

      ¤¤¤¤¤¤¤¤¤¤ Files/folders :

      Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
      Quarantined & Deleted !! : C:\Program Files\DAEMON Tools Toolbar
      Quarantined & Deleted !! : C:\WINDOWS\002557_.tmp
      Quarantined & Deleted !! : C:\WINDOWS\SET25.tmp
      Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
      Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
      Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp

      Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
      Quarantined & Deleted !! : C:\WINDOWS\System32\ealregsnapshot1.reg
      Quarantined & Deleted !! : C:\WINDOWS\System32\MSINET.oca
      Quarantined & Deleted !! : C:\WINDOWS\System32\SETB6.tmp
      Quarantined & Deleted !! : C:\WINDOWS\System32\SETBA.tmp
      Quarantined & Deleted !! : C:\WINDOWS\System32\SETC2.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\DAO\Application Data\pcouffin.inf
      Quarantined & Deleted !! : C:\Documents and Settings\DAO\Application Data\pcouffin.log
      Quarantined & Deleted !! : C:\Documents and Settings\DAO\Mes documents\ZbThumbnail.info
      Deleted !! : C:\RECYCLER\S-1-5-21-57989841-1960408961-839522115-1004\Dc1.zip

      ==============
      host file OK !
      ==============

      ========
      Registry
      ========

      Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
      Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
      Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
      Deleted : HKCR\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}
      =================
      Internet Explorer
      =================

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.google.com/?gws_rd=ssl
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

      ===============
      Security Center
      ===============

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
      FirstRunDisabled REG_DWORD 1 (0x1)
      AntiVirusDisableNotify REG_DWORD 0 (0x0)
      FirewallDisableNotify REG_DWORD 0 (0x0)
      UpdatesDisableNotify REG_DWORD 0 (0x0)
      AntiVirusOverride REG_DWORD 1 (0x1)
      FirewallOverride REG_DWORD 1 (0x1)

      ========
      Services
      =========

      Ndisuio : Start = 3
      EapHost : Start = 2
      SharedAccess : Start = 2
      wuauserv : Start = 2
      wscsvc : Start = 2

      ============
      Disk Cleaned
      ============

      =================
      anti-ver blaster : OK !!
      =================

      ================
      Prefetch cleaned
      ================



      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
    2. psykoblate Messages postés 105 Statut Membre
       
      Je redemarre mon pc :
      1) AirPlusCFG.exe Point d'entrée introuvable click OK
      2) WZCSLDR2.exe Point d'entrée introuvable Click OK
      3) Ma barre Windows reste bloqué (Sablier quand je passe dessus) pendant assez longtemps jusqu'a ce que la petite musique de démarrage ait lieu

      sinon plus de fenetre qui s'ouvre toute seule ect ...
      0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    comment va le pc ?
    0
    1. psykoblate Messages postés 105 Statut Membre
       
      a prioris bien puisque ces probleme etaient deja présent avant les manip
      0
    2. psykoblate Messages postés 105 Statut Membre
       
      veux tu que je le test avec un programme ?
      0
    3. psykoblate Messages postés 105 Statut Membre
       
      As tu des solutions pour les 3problemes cités au dessus ?
      Il ne proviennent donc pas d'infection ?
      0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    0
    1. psykoblate Messages postés 105 Statut Membre
       
      http://www.cijoint.fr/cjlink.php?file=cj201004/cijN2APP6o.txt
      0
    2. psykoblate Messages postés 105 Statut Membre
       
      ça dépend des moments. Par exemple aujourd'hui je t'ai envoyé le rapport de virustotal alors qu'hier impossible d'aller sur ce site pourtant google fonctionnait.
      0
  12. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    Télécharge et installe List&Kill'em et enregistre le sur ton bureau

    http://sd-1.archive-host.com/...

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "creer une icone sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancer seul

    choisis la langue puis choisis l'option SEARCH

    laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.

    0
    1. psykoblate Messages postés 105 Statut Membre
       
      ok je recommence
      0
    2. psykoblate Messages postés 105 Statut Membre
       
      http://www.cijoint.fr/cjlink.php?file=cj201004/cijG1ENhWg.txt
      0
    3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      non oublies killem

      je viens de relire le sujet et vu que tu l'avais déjà fait
      0
    4. psykoblate Messages postés 105 Statut Membre
       
      ah je pensais que tu voulais voir les effets de l'option clean ...
      0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    regardes si il est encore là celui ci

    C:\WINDOWS\system32\wmicvrts.exe
    0
    1. psykoblate Messages postés 105 Statut Membre
       
      oui il est bien là :s
      Mais il n'ouvre plus de fenetre avec son petit nom !
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      passes le sur Virus Total stp
      0
    3. psykoblate Messages postés 105 Statut Membre
       
      euh en fait je l'ai deja analyser avec virustotal c'est la premiere chose qu'on a fait aujourd'hui
      0
    4. psykoblate Messages postés 105 Statut Membre
       
      Antivirus Version Dernière mise à jour Résultat
      a-squared 4.5.0.50 2010.04.14 -
      AhnLab-V3 5.0.0.2 2010.04.13 -
      AntiVir 7.10.6.72 2010.04.14 -
      Antiy-AVL 2.0.3.7 2010.04.14 -
      Authentium 5.2.0.5 2010.04.14 -
      Avast 4.8.1351.0 2010.04.14 -
      Avast5 5.0.332.0 2010.04.14 -
      AVG 9.0.0.787 2010.04.14 -
      BitDefender 7.2 2010.04.14 -
      CAT-QuickHeal 10.00 2010.04.14 -
      ClamAV 0.96.0.3-git 2010.04.14 -
      Comodo 4595 2010.04.14 -
      DrWeb 5.0.2.03300 2010.04.14 -
      eSafe 7.0.17.0 2010.04.13 -
      eTrust-Vet 35.2.7423 2010.04.13 -
      F-Prot 4.5.1.85 2010.04.13 -
      F-Secure 9.0.15370.0 2010.04.14 -
      Fortinet 4.0.14.0 2010.04.12 -
      GData 19 2010.04.14 -
      Ikarus T3.1.1.80.0 2010.04.14 -
      Jiangmin 13.0.900 2010.04.13 -
      Kaspersky 7.0.0.125 2010.04.14 -
      McAfee 5.400.0.1158 2010.04.14 -
      McAfee-GW-Edition 6.8.5 2010.04.14 -
      Microsoft 1.5605 2010.04.14 -
      NOD32 5027 2010.04.14 -
      Norman 6.04.11 2010.04.14 -
      nProtect 2010-04-14.01 2010.04.14 -
      Panda 10.0.2.7 2010.04.13 -
      PCTools 7.0.3.5 2010.04.14 -
      Prevx 3.0 2010.04.14 -
      Rising 22.43.02.04 2010.04.14 -
      Sophos 4.52.0 2010.04.14 -
      Sunbelt 6175 2010.04.14 -
      Symantec 20091.2.0.41 2010.04.14 -
      TheHacker 6.5.2.0.261 2010.04.14 -
      TrendMicro 9.120.0.1004 2010.04.14 -
      VBA32 3.12.12.4 2010.04.09 -
      ViRobot 2010.4.14.2275 2010.04.14 -
      VirusBuster 5.0.27.0 2010.04.13 -
      Information additionnelle
      File size: 37872 bytes
      MD5...: 0544ea9c780f0938328835f9ceb18c1b
      SHA1..: c0393aca57f38caebe8179c705495d8d8651e99c
      SHA256: a714a0af83a498602176a68ac5c4cd437be5c959c807af39c5b698b8af75ae71
      ssdeep: 768:fHcjzA9CiXdjGKW3yUI8SeJGweC5a/pVOhIaTkBr2xJFh2Ffzub1hJDinCCZ
      FYkJ:f0XKW3yUI8SeJ5va/pWBlPlinC4Iz2zX

      PEiD..: -
      PEInfo: -
      RDS...: NSRL Reference Data Set
      -
      pdfid.: -
      trid..: file seems to be plain text/ASCII (0.0%)
      sigcheck:
      publisher....: n/a
      copyright....: n/a
      product......: n/a
      description..: n/a
      original name: n/a
      internal name: n/a
      file version.: n/a
      comments.....: n/a
      signers......: -
      signing date.: -
      verified.....: Unsigned
      0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    (sourire)

    c'est vrai

    je ne vois plus d'infection

    pour en être sûr

    Télécharge Superantispyware (SAS)

    https://www.superantispyware.com/superantispywarefreevspro.html

    Choisis "enregistrer" et enregistre-le sur ton bureau.

    Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

    Créé une icône sur le bureau.

    Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

    Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.

    Sous Configuration and Preferences, clique sur le bouton "Preferences"

    Clique sur l'onglet "Scanning Control "
    Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

    * Close browsers before scanning
    * Scan for tracking cookies
    * Terminate memory threats before quarantining

    Laisse les autres lignes décochées.

    Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

    Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

    Dans la colonne de gauche, coche C:\Fixed Drive.

    Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

    Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

    A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

    Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

    Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

    Pour recopier les informations sur le forum, fais ceci :

    - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
    - Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
    - Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

    - Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

    - Copie son contenu dans ta réponse.

    tutoriel en image :

    https://www.malekal.com/?s=SUPERAntiSpyware
    0
    1. psykoblate Messages postés 105 Statut Membre
       
      "Clique sur l'onglet "Scanning Control "
      Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

      * Close browsers before scanning
      * Scan for tracking cookies
      * Terminate memory threats before quarantining
      "
      toutes les autres lignes doivent etre décochés ou seulement celle qui l'était auparavant ?
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      elles doivent être normalement cochées..à défaut les cocher
      0
    3. psykoblate Messages postés 105 Statut Membre
       
      d'accord je travaille pour l'instant je te tiens au courant ce soir
      0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    SUPERAntiSpyware Scan Log
    https://www.superantispyware.com/

    Generated 04/18/2010 at 12:13 PM

    Application Version : 4.35.1002

    Core Rules Database Version : 4804
    Trace Rules Database Version: 2616

    Scan type : Complete Scan
    Total Scan Time : 00:22:53

    Memory items scanned : 409
    Memory threats detected : 0
    Registry items scanned : 5714
    Registry threats detected : 10
    File items scanned : 22182
    File threats detected : 29

    Adware.Tracking Cookie
    C:\Documents and Settings\DAO\Cookies\dao@apmebf[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@bs.serving-sys[2].txt
    C:\Documents and Settings\DAO\Cookies\dao@advertising[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@statse.webtrendslive[2].txt
    C:\Documents and Settings\DAO\Cookies\dao@doubleclick[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@smartadserver[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@content.yieldmanager[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@mediaplex[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@msnportal.112.2o7[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@atdmt[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@pornhub[2].txt
    C:\Documents and Settings\DAO\Cookies\dao@boursoramabanque.solution.weborama[2].txt
    C:\Documents and Settings\DAO\Cookies\dao@fr.partypoker[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@cetelem.solution.weborama[2].txt
    C:\Documents and Settings\DAO\Cookies\dao@ad.zanox[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@ad.yieldmanager[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@fr.at.atwola[2].txt
    C:\Documents and Settings\DAO\Cookies\dao@weborama[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@xiti[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@adfarm1.adition[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@adserver.aol[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@yadro[2].txt
    C:\Documents and Settings\DAO\Cookies\dao@partypoker[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@serving-sys[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@adserver.adreactor[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@rts.pgmediaserve[1].txt
    C:\Documents and Settings\DAO\Cookies\dao@atdmt[2].txt
    C:\Documents and Settings\DAO\Cookies\dao@fr.at.atwola[1].txt

    Browser Hijacker.Deskbar
    HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}
    HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\ProxyStubClsid
    HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\ProxyStubClsid32
    HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\TypeLib
    HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\TypeLib#Version
    HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}
    HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\ProxyStubClsid
    HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\ProxyStubClsid32
    HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\TypeLib
    HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\TypeLib#Version

    Rogue.Agent/Gen-Nullo[EXE]
    C:\WINDOWS\SYSTEM32\WMICVRTS.EXE


    .....................................................

    je vois que SAS ne l'aime pas non plus celui là...

    il doit y avoir une quarantaine dedans, vides là

    côté pc, comment ca va ?
    0
    1. psykoblate Messages postés 105 Statut Membre
       
      Bien ça va beaucoup mieux !!!
      Par contre le démarrage est toujours super long, mais peut etre que ça n'a aucun rapport.
      0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    le démarrage est toujours super long

    ca peut être tellement de chose....

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

    ? Télécharge : Gmer (by Przemyslaw Gmerek)

    http://www.gmer.net/

    ? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

    ? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

    0
    1. psykoblate Messages postés 105 Statut Membre
       
      http://www.cijoint.fr/cjlink.php?file=cj201004/cij2hIIx7w.txt
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      si le rapport n'est pas trop long, peux tu le poster ici (pas acces pour l'instant à ton lien)
      0
    3. psykoblate Messages postés 105 Statut Membre
       
      il est assez long ça ne passe pas
      0
    4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      passer par "j'ai une réponse".....sinon en 2 fois
      0
  17. psykoblate Messages postés 105 Statut Membre
     
    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-04-18 16:45:07
    Windows 5.1.2600 Service Pack 3
    Running: qud9wid9.exe; Driver: C:\DOCUME~1\DAO\LOCALS~1\Temp\afqcypow.sys

    ---- System - GMER 1.0.15 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB5FF2C56]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB5FF2B12]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB5FF30C6]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB5FF2FF0]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB5FF26E8]
    SSDT spao.sys ZwEnumerateKey [0xB9EC6CA2]
    SSDT spao.sys ZwEnumerateValueKey [0xB9EC7030]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB5FF2BEC]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB5FF2628]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB5FF268C]
    SSDT spao.sys ZwQueryKey [0xB9EC7108]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB5FF2D0C]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB5FF3194]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB5FF2CCC]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB5FF2E4C]
    SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB6156320]

    INT 0x63 ? 8AA38BF8
    INT 0x73 ? 8AC53BF8
    INT 0x73 ? 8AC53BF8
    INT 0x73 ? 8AC53BF8
    INT 0x73 ? 8AC53BF8
    INT 0x73 ? 8AA38BF8
    INT 0x73 ? 8AC53BF8
    INT 0x83 ? 8AC55BF8
    INT 0x83 ? 8AA38BF8
    INT 0x83 ? 8AC55BF8
    INT 0x94 ? 8AA38BF8
    INT 0xB4 ? 8AA38BF8

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB5FFF4FE]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB5FFF322]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB5FFF45C]

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntkrnlpa.exe!ZwCallbackReturn + 2CE0 8050457C 4 Bytes CALL ED0644A7
    PAGE ntkrnlpa.exe!ZwLoadDriver 8058413A 7 Bytes JMP B5FFF460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!NtCreateSection 805AB38E 7 Bytes JMP B5FFF326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805BC502 5 Bytes JMP B5FFB4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ObInsertObject 805C2F86 5 Bytes JMP B5FFC972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ZwCreateProcessEx 805D1134 7 Bytes JMP B5FFF502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    ? spao.sys Le fichier spécifié est introuvable. !
    .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB8F3B360, 0x35483F, 0xE8000020]
    .text USBPORT.SYS!DllUnload B8F1B8AC 5 Bytes JMP 8AA381D8
    .text a6zi6i9u.SYS B8E6A386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
    .text a6zi6i9u.SYS B8E6A3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
    .text a6zi6i9u.SYS B8E6A3C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
    .text a6zi6i9u.SYS B8E6A3C9 1 Byte [2E]
    .text a6zi6i9u.SYS B8E6A3C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
    .text ...
    init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB6311A00]

    ---- Kernel IAT/EAT - GMER 1.0.15 ----

    IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA9040] spao.sys
    IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA913C] spao.sys
    IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA90BE] spao.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spao.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA96D2] spao.sys
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KeGetCurrentIrql] 57B80974
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KfRaiseIrql] 8B000000
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KfLowerIrql] 56C35DE5
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!HalGetInterruptVector] 8D08758B
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520
    IAT \SystemRoot\System32\Drivers\a6zi6i9u.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\services.exe[708] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
    IAT C:\WINDOWS\system32\services.exe[708] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
    Device \FileSystem\Ntfs \Ntfs 8ABE31F8

    AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

    Device \FileSystem\Fastfat \FatCdrom aswSP.SYS (avast! self protection module/ALWIL Software)
    Device \FileSystem\Fastfat \FatCdrom 89EFC1F8

    AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    Device \Driver\usbuhci \Device\USBPDO-0 8AA2C1F8
    Device \Driver\usbuhci \Device\USBPDO-1 8AA2C1F8
    Device \Driver\usbehci \Device\USBPDO-2 8A9EA1F8
    Device \Driver\usbuhci \Device\USBPDO-3 8AA2C1F8
    Device \Driver\PCI_PNP2726 \Device\00000048 spao.sys
    Device \Driver\usbuhci \Device\USBPDO-4 8AA2C1F8

    AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    Device \Driver\usbuhci \Device\USBPDO-5 8AA2C1F8
    Device \Driver\usbehci \Device\USBPDO-6 8A9EA1F8
    Device \Driver\Ftdisk \Device\HarddiskVolume1 8ABE51F8
    Device \Driver\Ftdisk \Device\HarddiskVolume2 8ABE51F8
    Device \Driver\Cdrom \Device\CdRom0 8A9DE1F8
    Device \Driver\Cdrom \Device\CdRom1 8A9DE1F8
    Device \Driver\atapi \Device\Ide\IdePort0 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
    Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
    Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\atapi \Device\Ide\IdePort1 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
    Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\atapi \Device\Ide\IdePort2
    0
  18. psykoblate Messages postés 105 Statut Membre
     
    [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
    Device \Driver\atapi \Device\Ide\IdePort2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\atapi \Device\Ide\IdePort3 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
    Device \Driver\atapi \Device\Ide\IdePort3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\NetBT \Device\NetBT_Tcpip_{8D98C98F-44E7-4627-86D3-A77E7AA3315B} 8A16E1F8
    Device \Driver\NetBT \Device\NetBt_Wins_Export 8A16E1F8
    Device \Driver\usbstor \Device\00000083 8A15F1F8
    Device \Driver\usbstor \Device\00000083 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\usbstor \Device\00000084 8A15F1F8
    Device \Driver\usbstor \Device\00000084 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\usbstor \Device\00000092 8A15F1F8
    Device \Driver\usbstor \Device\00000092 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\NetBT \Device\NetbiosSmb 8A16E1F8
    Device \Driver\usbstor \Device\00000093 8A15F1F8
    Device \Driver\usbstor \Device\00000093 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\sptd \Device\888572726 spao.sys

    AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    Device \Driver\usbuhci \Device\USBFDO-0 8AA2C1F8
    Device \Driver\usbuhci \Device\USBFDO-1 8AA2C1F8
    Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A16A1F8
    Device \Driver\usbehci \Device\USBFDO-2 8A9EA1F8
    Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A16A1F8
    Device \Driver\usbuhci \Device\USBFDO-3 8AA2C1F8
    Device \Driver\usbuhci \Device\USBFDO-4 8AA2C1F8
    Device \Driver\Ftdisk \Device\FtControl 8ABE51F8
    Device \Driver\usbuhci \Device\USBFDO-5 8AA2C1F8
    Device \Driver\usbehci \Device\USBFDO-6 8A9EA1F8
    Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8ABE41F8
    Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\a6zi6i9u \Device\Scsi\a6zi6i9u1 8A9A51F8
    Device \Driver\a6zi6i9u \Device\Scsi\a6zi6i9u1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\JRAID \Device\Scsi\JRAID1 8ABE41F8
    Device \Driver\JRAID \Device\Scsi\JRAID1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\a6zi6i9u \Device\Scsi\a6zi6i9u1Port5Path0Target0Lun0 8A9A51F8
    Device \Driver\a6zi6i9u \Device\Scsi\a6zi6i9u1Port5Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \FileSystem\Fastfat \Fat aswSP.SYS (avast! self protection module/ALWIL Software)
    Device \FileSystem\Fastfat \Fat 89EFC1F8

    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
    AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

    Device \FileSystem\Cdfs \Cdfs 8A1C31F8

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x80 0xC5 0x3B ...
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE0 0x4B 0x98 0x75 ...
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x33 0xF1 0xC0 0xE4 ...
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x31 0x0B 0xD2 0xCE ...
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x82 0xC9 0x6B 0x99 ...
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x82 0xC9 0x6B 0x99 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x93 0x7B 0x3A 0xE0 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE0 0x4B 0x98 0x75 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x49 0x31 0x89 0x4B ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x80 0xC5 0x3B ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE0 0x4B 0x98 0x75 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x70 0x08 0x27 0x01 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x31 0x0B 0xD2 0xCE ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x82 0xC9 0x6B 0x99 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x82 0xC9 0x6B 0x99 ...
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x80 0xC5 0x3B ...
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xE0 0x4B 0x98 0x75 ...
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x70 0x08 0x27 0x01 ...
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x31 0x0B 0xD2 0xCE ...
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x82 0xC9 0x6B 0x99 ...
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x82 0xC9 0x6B 0x99 ...

    ---- EOF - GMER 1.0.15 ----
    0
    1. psykoblate Messages postés 105 Statut Membre
       
      pas bête ^^ !!!
      0
  19. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    pas bête ...mais pas ca

    avais tu bien désactiver ton antivirus ?
    si non à refaire stp

    0
    1. psykoblate Messages postés 105 Statut Membre
       
      je l'ai desactivé cependant je le relancerais demain !
      0
  20. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    non pas utile dans ce cas

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
    * Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
    * Merci à Malekal pour le tutoriel
    * Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    * Double clique sur mbr.exe
    * Un rapport sera généré : mbr.log
    * En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
    * Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: "%userprofile%\Bureau\mbr" -f
    * (veuillez à bien respecter les guillemets)
    * Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
    * Réactive tes protections .Poste ce rapport et supprime le ensuite.

    o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    o Relance mbr.exe
    o Réactive tes protections.
    o Le nouveau mbr.log devrait être celui-ci :
    o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    o device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK


    Je cherche beaucoup...et maintenant je trouve !
    (sourire)
    0