rootkit.win32.tdss.d

Question

comment s'en debarrasser? programme malveilant détecté par kaspersky sur windows vista. j'ai essayé de réparer comme le recommande l'antivirus mais la commande n'abouti pas.

gen-hackman · Answer

salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

k_ramel · Answer

Merci des instructions. Voici le rapport, si tu t'y retrouves tant mieux. J'aurai néanmoins voulu savoir si c'est bien un virus. List'em by g3n-h@ckm@n 1.7.1.0 User : mia (Administrateurs) Update on 13/04/2010 by g3n-h@ckm@n ::::: 17.10 Start at: 14:50:01 | 14/04/2010 Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1 Internet Explorer 8.0.6001.18904 Windows Firewall Status : Disabled AV : Norton Internet Security 2007 [ (!) Disabled | (!) Outdated ] FW : Norton Internet Security[ (!) Disabled ]2007 C:\ -> Disque fixe local | 149,05 Go (61,59 Go free) | NTFS E:\ -> Disque CD-ROM | 4,33 Go (0 Mo free) [sauveg_aurélie_1] | CDFS Boot: Normal ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe C:\Windows\system32 askeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32 askeng.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE C:\Windows\system32\SearchIndexer.exe C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\HP\QuickPlay\QPService.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe C:\Windows\System32 undll32.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Windows\System32 undll32.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\List_Kill'em\List_Kill'em.exe C:\Windows\system32\cmd.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Program Files\List_Kill'em\pv.exe ====================== Keys "Run" ====================== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe swg REG_SZ "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" qoyymuo REG_SZ "c:\users\mia\appdata\local\qoyymuo.exe" qoyymuo jnjnjnjm REG_SZ "c:\users\mia\appdata\local\jnjnjnjm.exe" jnjnjnjm HKEY_CURRENT_USER\software\microsoft\windows\currentversion un\AdobeUpdater [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] RtHDVCpl REG_SZ RtHDVCpl.exe IAAnotif REG_SZ C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe QPService REG_SZ "C:\Program Files\HP\QuickPlay\QPService.exe" QlbCtrl REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start HP Health Check Scheduler REG_SZ C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe hpWirelessAssistant REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe WAWifiMessage REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe PLFSet REG_SZ rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32 vsvc.dll,nvsvcStart NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" AVP REG_SZ "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Launcher REG_EXPAND_SZ %WINDIR%\SMINST\launcher.exe ===================== Other Keys ===================== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2) ConsentPromptBehaviorUser REG_DWORD 1 (0x1) EnableInstallerDetection REG_DWORD 1 (0x1) EnableLUA REG_DWORD 1 (0x1) EnableSecureUIAPaths REG_DWORD 1 (0x1) EnableVirtualization REG_DWORD 1 (0x1) PromptOnSecureDesktop REG_DWORD 1 (0x1) ValidateAdminCodeSignatures REG_DWORD 0 (0x0) dontdisplaylastusername REG_DWORD 0 (0x0) legalnoticecaption REG_SZ legalnoticetext REG_SZ scforceoption REG_DWORD 0 (0x0) shutdownwithoutlogon REG_DWORD 1 (0x1) undockwithoutlogon REG_DWORD 1 (0x1) FilterAdministratorToken REG_DWORD 0 (0x0) EnableUIADesktopToggle REG_DWORD 0 (0x0) =============== [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] NoDriveTypeAutoRun REG_DWORD 145 (0x91) =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLS REG_SZ C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ReportBootOk REG_SZ 1 Shell REG_SZ explorer.exe Userinit REG_SZ C:\Windows\system32\userinit.exe, VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl" AutoRestartShell REG_DWORD 1 (0x1) LegalNoticeCaption REG_SZ LegalNoticeText REG_SZ PowerdownAfterShutdown REG_SZ 0 ShutdownWithoutLogon REG_SZ 0 cachedlogonscount REG_SZ 10 forceunlocklogon REG_DWORD 0 (0x0) passwordexpirywarning REG_DWORD 14 (0xe) Background REG_SZ 0 0 0 DebugServerCommand REG_SZ no WinStationsDisabled REG_SZ 0 DisableCAD REG_DWORD 1 (0x1) scremoveoption REG_SZ 0 ShutdownFlags REG_DWORD 43 (0x2b) =============== [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\klogon] =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] =============== [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] =============== ActivX controls =============== [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}] =============== [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{233C1507-6A77-46A4-9443-F871F945D258}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2A202491-F00D-11cf-87CC-0020AFEECF20}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{85D421E4-383C-D639-CCE3-72A3A17145D5}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D1B18A00-DE51-42F4-157D-8D4651051091}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}] ============== BHO : ====== [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E33CF602-D945-461A-83F0-819F76A199F8}] === DNS === HKLM\SYSTEM\CCS\Services\Tcpip\..\{A0DED953-00FA-4DEE-97D4-42E7AEFF025B}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC6BAEC7-4593-48E8-B5E6-E59A1DED8B37}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CCS\Services\Tcpip\..\{D640882A-171C-409D-A35E-6303EA9991A7}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A0DED953-00FA-4DEE-97D4-42E7AEFF025B}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC6BAEC7-4593-48E8-B5E6-E59A1DED8B37}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\..\{D640882A-171C-409D-A35E-6303EA9991A7}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\..\{A0DED953-00FA-4DEE-97D4-42E7AEFF025B}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC6BAEC7-4593-48E8-B5E6-E59A1DED8B37}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\..\{D640882A-171C-409D-A35E-6303EA9991A7}: DhcpNameServer=192.168.10.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{A0DED953-00FA-4DEE-97D4-42E7AEFF025B}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS3\Services\Tcpip\..\{AC6BAEC7-4593-48E8-B5E6-E59A1DED8B37}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS3\Services\Tcpip\..\{D640882A-171C-409D-A35E-6303EA9991A7}: DhcpNameServer=192.168.10.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 ================ Internet Explorer : ================ [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF Local Page REG_SZ C:\Windows\System32\blank.htm Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF Default_Page_URL REG_SZ https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.google.fr/?gws_rd=ssl Local Page REG_SZ C:\Windows\system32\blank.htm Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF ======== Services ======== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] Ndisuio : 0x3 ( OK = 3 ) EapHost : 0x3 ( OK = 2 ) Wlansvc : 0x2 ( OK = 2 ) SharedAccess : 0x3 ( OK = 2 ) windefend : 0x2 ( OK = 2 ) wuauserv : 0x2 ( OK = 2 ) wscsvc : 0x2 ( OK = 2 ) ======== Safemode ======== "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot" : OK !! "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal" : OK !! "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network" : OK !! ========= Atapi.sys ========= C:\Windows\System32\drivers\atapi.sys : MD5 :: [2d9c903dc76a66813d350a562de40ed9] SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3] C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys : MD5 :: [b35cfcef838382ab6490b321c87edf17] SHA256 :: [a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0] C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys : MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f] SHA256 :: [6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896] C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys : MD5 :: [2d9c903dc76a66813d350a562de40ed9] SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3] C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys : MD5 :: [b35cfcef838382ab6490b321c87edf17] SHA256 :: [a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0] C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys : MD5 :: [e03e8c99d15d0381e02743c36afc7c6f] SHA256 :: [8217348674fc4d0c6d567ffc95b14dfd507f47c5a4728c2ba93d72c412e8527b] C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys : MD5 :: [2d9c903dc76a66813d350a562de40ed9] SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3] Référence : ========== Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867 Win XP_32b : a64013e98426e1877cb653685c5c0009 Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51 Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674 Vista_32b : e03e8c99d15d0381e02743c36afc7c6f Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9 Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4 Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e ======= Drive : ======= D'fragmenteur de disque Windows Copyright (c) 2006 Microsoft Corp. Rapport d'analyse pour le volume C: Taille du volume = 149 Go Espace libre = 61.60 Go tendue d'espace libre la plus grande = 26.50 Go Pourcentage de fragmentation des fichiers = 0 % Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation. Il n'est pas n'cessaire de d'fragmenter ce volume. ¤¤¤¤¤¤¤¤¤¤ Files/folders : Present !! : C:\ProgramData\ezsid.dat Present !! : C:\ProgramData\hpzinstall.log Present !! : C:\ProgramData\LauncherAccess.dt Present !! : C:\ProgramData\ezsid.dat Present !! : C:\ProgramData\hpzinstall.log Present !! : C:\ProgramData\LauncherAccess.dt Present !! : C:\ProgramData\ezsid.dat Present !! : C:\ProgramData\hpzinstall.log Present !! : C:\ProgramData\LauncherAccess.dt Present !! : C:\Program Files\BitLord Present !! : C:\Windows\System32\autorun.* Present !! : C:\Windows\System32\drivers\etc\hosts.msn Present !! : C:\Windows\System32 ezumatenoi.dat Present !! : C:\Users\mia\AppData\Local\mowya.bat Present !! : C:\Users\mia\AppData\Local\qufil.bat Present !! : C:\Users\mia\AppData\Local\d3d9caps.dat Present !! : C:\Users\mia\AppData\Local\GDIPFONTCACHEV1.DAT Present !! : C:\Users\mia\AppData\Local\jnjnjnjm.dat Present !! : C:\Users\mia\AppData\Local\jnjnjnjm_nav.dat Present !! : C:\Users\mia\AppData\Local\jnjnjnjm_navps.dat Present !! : C:\Users\mia\AppData\Local\qoyymuo.dat Present !! : C:\Users\mia\AppData\Local\qoyymuo_nav.dat Present !! : C:\Users\mia\AppData\Local\qoyymuo_navps.dat Present !! : C:\Users\mia\AppData\Local\wcukg_navps.dat Present !! : C:\Users\mia\AppData\Local\jnjnjnjm_nav.dat Present !! : C:\Users\mia\AppData\Local\jnjnjnjm_navps.dat Present !! : C:\Users\mia\AppData\Local\qoyymuo_nav.dat Present !! : C:\Users\mia\AppData\Local\qoyymuo_navps.dat Present !! : C:\Users\mia\AppData\Local\wcukg_navps.dat Present !! : C:\Users\mia\AppData\Local\jnjnjnjm_nav.dat Present !! : C:\Users\mia\AppData\Local\qoyymuo_nav.dat Present !! : C:\Users\mia\Local Settings\Temp\alm.log Present !! : C:\Users\mia\Local Settings\Temp\amt.log Present !! : C:\Users\mia\Local Settings\Temp\mia.bmp Present !! : C:\Users\mia\LOCAL Settings\Temp\_is96C2.exe Present !! : C:\Users\mia\LOCAL Settings\Temp\_isE704.exe ¤¤¤¤¤¤¤¤¤¤ Keys : Present !! : HKCU\SOFTWARE\fcn Present !! : HKCU\Software\Lanconfig ============ catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-04-14 15:32:51 Windows 6.0.6001 Service Pack 1 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x90089AC8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x84c771e8 \Driver\iaStor -> 0x84c761e8 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] cval REG_DWORD 1 (0x1) UacDisableNotify REG_DWORD 1 (0x1) InternetSettingsDisableNotify REG_DWORD 1 (0x1) AutoUpdateDisableNotify REG_DWORD 1 (0x1) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ End of scan : 15:32:56,16

k_ramel · Answer

J'attends la suite de tes instructions, et ton avis sur ce rapport. Merci d'avance.

gen-hackman · Answer

ok 

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

k_ramel · Answer

Entendu. @ tout de suite J'espere que ça ne sera pas aussi long que le 1er rapport. Merci de ta patience.

k_ramel · Answer

Voilà:

Kill'em by g3n-h@ckm@n 1.7.1.0 
 
User : mia (Administrateurs) 
Update on 13/04/2010 by g3n-h@ckm@n ::::: 17.10
Start at: 16:38:28 | 14/04/2010

Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled
AV : Norton Internet Security 2007 [ (!) Disabled | (!) Outdated ]
FW : Norton Internet Security[ (!) Disabled ]2007

C:\ -> Disque fixe local | 149,05 Go (61,6 Go free) | NTFS
E:\ -> Disque CD-ROM | 4,33 Go (0 Mo free) [sauveg_aurélie_1] | CDFS
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\system32\PresentationSettings.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\cmd.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\ProgramData\ezsid.dat 
Quarantined & Deleted !! : C:\ProgramData\hpzinstall.log 
Quarantined & Deleted !! : C:\ProgramData\LauncherAccess.dt 
Quarantined & Deleted !! : C:\Program Files\BitLord 
 
Quarantined & Deleted !! : C:\Windows\System32\autorun.inf 
Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\Windows\System32ezumatenoi.dat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\mowya.bat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\qufil.bat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\d3d9caps.dat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\GDIPFONTCACHEV1.DAT 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\jnjnjnjm.dat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\jnjnjnjm_nav.dat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\jnjnjnjm_navps.dat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\qoyymuo.dat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\qoyymuo_nav.dat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\qoyymuo_navps.dat 
Quarantined & Deleted !! : C:\Users\mia\AppData\Local\wcukg_navps.dat 
Quarantined & Deleted !! : C:\Users\mia\Local Settings\Temp\alm.log 
Quarantined & Deleted !! : C:\Users\mia\Local Settings\Temp\amt.log 
Quarantined & Deleted !! : C:\Users\mia\Local Settings\Temp\mia.bmp 
Quarantined & Deleted !! : C:\Users\mia\LOCAL Settings\Temp\_is96C2.exe 
Quarantined & Deleted !! : C:\Users\mia\LOCAL Settings\Temp\_isE704.exe 
Deleted !! : C:\$Recycle.bin\S-1-5-21-3057884284-2404259968-993642076-1000\$IULI4YE.zip   
Deleted !! : C:\$Recycle.bin\S-1-5-21-3057884284-2404259968-993642076-1000\$IV5NN8W.zip   
Deleted !! : C:\$Recycle.bin\S-1-5-21-3057884284-2404259968-993642076-1000\$RULI4YE.zip   
 
==============
host file OK !
==============

========
Registry
========

Deleted : HKCU\SOFTWARE\fcn  
Deleted : HKCU\Software\Lanconfig  
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	REG_DWORD      	1 (0x1) 
UacDisableNotify	REG_DWORD      	1 (0x1) 
InternetSettingsDisableNotify	REG_DWORD      	1 (0x1) 
AutoUpdateDisableNotify	REG_DWORD      	1 (0x1) 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
============
 
=================
anti-ver blaster : OK !! 
=================

================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 

Rootkit est toujours présent sur mon ordinateur, l'alerte de kaspersky s'est répétée à la fin du rapport.

k_ramel · Answer

Le message de l'alerte est le suivant "rootkit..quelque chose" est présent dans le system memory? 
Qu'est-ce que cela signifie?

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek)


&#9654 Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

k_ramel · Answer

Je sais pas si j'ai bien compris.
1. j'ai télécharger Gmer
2. je l'ai enregistré sur mon bureau
3. j'ai exécuté en tant qu'administrateur



GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-14 20:00:12
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\mia\AppData\Local\Temp\ugdiypog.sys


---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                    84BF61E8
Device          \FileSystem\fastfat \Fat                  86749790

AttachedDevice  \FileSystem\fastfat \Fat                  fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice  \Driver	dx \Device\Ip                    kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver	dx \Device\Tcp                   kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver	dx \Device\Udp                   kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver	dx \Device\RawIp                 kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0   eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

Device           -> \Driver\iaStor \Device\Harddisk0\DR0  906CBAC8

---- Files - GMER 1.0.15 ----

File            C:\Windows\system32\drivers\iaStor.sys    suspicious modification

---- EOF - GMER 1.0.15 ----


Je n'ai pas vu de lignes en rouge!

k_ramel · Answer

Du coup, je n'ai pas fait la suite:

"Ensuite 

? sur les lignes rouge: 

? Services:cliques droit delete service 
? Process:cliques droit kill process 
? Adl ,file:cliques droit delete files "

j'attends tes explications. merci

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

k_ramel · Answer

Au moment ou j'allais te répondre, les applications Gmer et Explorer ont planté.

Je commence donc la procedure de combofix.

Avant de suivre machinalement toutes ces explications j'aimerais de temps en temps que tu m'expliques pourquoi on  fait  tout ça, pourqoui sa ne marche pas toujours et où se trouve réellemnt le virus.

Merci de ta patience.

gen-hackman · Answer

apparrement on est devant un rootkit encore pas tres connu

k_ramel · Answer

Daccord, merci d'avoir répondu. Je te transmets le rapport. ComboFix 10-04-14.01 - mia 14/04/2010 20:42:34.1.2 - x86 Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2046.1151 [GMT 2:00] Lancé depuis: c:\users\mia\Desktop\kramel.exe AV: Norton Internet Security *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8} FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220} SP: Norton Internet Security *disabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A} SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-1638992271-1691765578-3997248754-500 c:\$recycle.bin\S-1-5-21-3057884284-2404259968-993642076-500 C:\DFR50AF.tmp . ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-14 au 2010-04-14 )))))))))))))))))))))))))))))))))))) . 2010-04-14 18:55 . 2010-04-14 18:56 -------- d-----w- c:\users\mia\AppData\Local emp 2010-04-14 18:55 . 2010-04-14 18:55 -------- d-----w- c:\users\Default\AppData\Local emp 2010-04-14 15:38 . 2010-04-14 15:38 74008 ----a-w- c:\users\mia\AppData\Local\GDIPFONTCACHEV1.DAT 2010-04-14 12:49 . 2010-04-14 14:38 -------- dc----w- C:\Kill'em 2010-04-14 12:49 . 2010-04-14 15:26 -------- d-----w- c:\program files\List_Kill'em 2010-04-13 19:32 . 2010-02-20 23:39 24064 ----a-w- c:\windows\system32 shhttp.dll 2010-04-13 19:32 . 2010-02-20 23:37 31232 ----a-w- c:\windows\system32\httpapi.dll 2010-04-13 19:32 . 2010-02-20 21:18 411136 ----a-w- c:\windows\system32\drivers\http.sys 2010-04-13 19:27 . 2010-01-23 09:44 2048 ----a-w- c:\windows\system32 zres.dll 2010-04-13 19:26 . 2010-01-25 08:35 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe 2010-04-13 19:26 . 2010-01-25 08:34 511488 ----a-w- c:\windows\system32\RMActivate.exe 2010-04-13 19:26 . 2010-01-25 08:34 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe 2010-04-13 19:26 . 2010-01-25 12:48 472576 ----a-w- c:\windows\system32\secproc_isv.dll 2010-04-13 19:26 . 2010-01-25 12:48 472064 ----a-w- c:\windows\system32\secproc.dll 2010-04-13 19:26 . 2010-01-25 08:35 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe 2010-04-13 19:26 . 2010-01-25 12:48 151040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll 2010-04-13 19:26 . 2010-01-25 12:48 151040 ----a-w- c:\windows\system32\secproc_ssp.dll 2010-04-13 19:26 . 2010-01-25 12:45 329216 ----a-w- c:\windows\system32\msdrm.dll 2010-04-13 19:25 . 2010-02-18 14:49 898952 ----a-w- c:\windows\system32\drivers cpip.sys 2010-04-13 19:25 . 2010-02-18 14:11 190464 ----a-w- c:\windows\system32\iphlpsvc.dll 2010-04-13 19:25 . 2010-02-18 11:52 25088 ----a-w- c:\windows\system32\drivers unnel.sys 2010-04-10 17:48 . 2010-04-10 17:48 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-03-20 19:27 . 2010-03-20 19:27 -------- d-----w- c:\programdata\McAfee 2010-03-19 20:04 . 2010-03-19 20:04 -------- d-----w- c:\users\mia\AppData\Local\Mozilla . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-14 18:14 . 2009-12-16 17:47 -------- d-----w- c:\programdata\Kaspersky Lab 2010-04-13 21:27 . 2008-12-11 12:55 -------- d-----w- c:\programdata\Google Updater 2010-04-13 20:07 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-04-13 19:44 . 2007-06-25 20:49 -------- d-----w- c:\programdata\Microsoft Help 2010-04-01 13:36 . 2006-11-02 15:48 678956 ----a-w- c:\windows\system32\perfh00C.dat 2010-04-01 13:36 . 2006-11-02 15:48 128004 ----a-w- c:\windows\system32\perfc00C.dat 2010-03-22 23:27 . 2008-03-31 15:34 -------- d-----w- c:\programdata\Skype 2010-03-22 23:25 . 2007-10-28 11:49 -------- d-----w- c:\users\mia\AppData\Roaming\Samsung 2010-03-05 14:01 . 2010-04-13 19:29 420352 ----a-w- c:\windows\system32\vbscript.dll 2010-02-24 08:16 . 2009-10-03 13:03 181632 ------w- c:\windows\system32\MpSigStub.exe 2010-02-23 11:32 . 2010-04-13 19:29 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys 2010-02-23 11:32 . 2010-04-13 19:29 78848 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys 2010-02-23 11:32 . 2010-04-13 19:29 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2010-02-23 06:39 . 2010-04-13 19:29 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-23 06:33 . 2010-04-13 19:29 109056 ----a-w- c:\windows\system32\iesysprep.dll 2010-02-23 06:33 . 2010-04-13 19:29 71680 ----a-w- c:\windows\system32\iesetup.dll 2010-02-23 04:55 . 2010-04-13 19:29 133632 ----a-w- c:\windows\system32\ieUnatt.exe 2010-02-18 14:49 . 2010-04-13 19:29 3598216 ----a-w- c:\windows\system32 tkrnlpa.exe 2010-02-18 14:49 . 2010-04-13 19:29 3545992 ----a-w- c:\windows\system32 toskrnl.exe 2010-02-15 18:22 . 2010-02-15 18:20 -------- d-----w- c:\program files\iTunes 2010-02-15 18:20 . 2010-02-15 18:20 -------- d-----w- c:\program files\iPod 2010-02-15 18:20 . 2009-01-03 11:50 -------- d-----w- c:\program files\Common Files\Apple 2010-02-15 18:09 . 2010-02-15 18:09 72488 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe 2010-02-12 14:19 . 2010-02-12 14:19 311312 ----a-w- c:\programdata\Kaspersky Lab\AVP9\Data\Updater\Temporary Files ollback\patch\AutoPatches\kav9exec\9.0.0.736\sys\i386\6.0\klif.sys 2010-01-31 11:40 . 2010-01-31 11:40 509552 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbA8AF.tmp.exe 2010-01-28 21:31 . 2007-10-01 20:10 27145 ----a-w- c:\users\mia\AppData\Roaming vModes.dat 2010-01-21 23:21 . 2010-01-21 23:21 56 ---ha-w- c:\programdata\ezsidmv.dat 2007-09-29 19:22 . 2007-09-29 19:22 22 --sha-w- c:\windows\SMINST\HPCD.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-11 39408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872] "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-04-23 176128] "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-02-13 159744] "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696] "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776] "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128] "PLFSet"="c:\windows\PLFSet.dll" [2007-04-24 45056] "NvSvc"="c:\windows\system32 vsvc.dll" [2007-05-01 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-01 8429568] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-01 81920] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-10-20 340456] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-01-22 141608] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusOverride"=dword:00000001 R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2007-11-10 685816] R1 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20071020.002\IDSvix86.sys [x] R2 gupdate1ca81b1657dd7ab;Service Google Update (gupdate1ca81b1657dd7ab);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-20 133104] R3 athrusb;Atheros Wireless LAN USB device driver;c:\windows\system32\DRIVERS\athrusb.sys [2006-12-22 449536] R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344] S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2009-10-14 36880] S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2009-09-14 21520] S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-10-02 19472] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 . Contenu du dossier 'Tâches planifiées' 2010-04-14 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-11 14:49] 2010-04-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-20 20:16] 2010-04-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-20 20:16] 2010-04-14 c:\windows\Tasks\User_Feed_Synchronization-{DCA7EED6-203A-40E4-A7C5-ECDCF5A1B508}.job - c:\windows\system32\msfeedssync.exe [2010-04-13 04:54] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.com/ uInternet Settings,ProxyOverride = *.local IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-qoyymuo - c:\users\mia\appdata\local\qoyymuo.exe HKCU-Run-jnjnjnjm - c:\users\mia\appdata\local\jnjnjnjm.exe AddRemove-mowya - c:\users\mia\appdata\local\mowya.bat ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-04-14 20:55 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... c:\users\mia\AppData\Local\Temp\catchme.dll 53248 bytes executable Scan terminé avec succès Fichiers cachés: 1 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x90263AC8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0x88fa7322 \Driver\ACPI -> acpi.sys @ 0x88697d4c \Driver\atapi -> ataport.SYS @ 0x888cb9a8 \Driver\iaStor -> iaStor.sys @ 0x8880ac1a IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:000000b5 [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:00000000 [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:00000000 [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . Heure de fin: 2010-04-14 21:01:19 ComboFix-quarantined-files.txt 2010-04-14 19:01 Avant-CF: 65 886 130 176 octets libres Après-CF: 65 916 444 672 octets libres Current=1 Default=1 Failed=0 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8 - - End Of File - - BE58737C16E3B188841A1F3EF1AD97F2

k_ramel · Answer

quand dis-tu?

gen-hackman · Answer

Télécharge SF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre "cmd" va s'ouvrir .

*Tape iaStor.sys dans cette fenêtre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

k_ramel · Answer

Les alertes de kaspersky sur la présence de rootkit persistent, je continue et suis tes instructions.

k_ramel · Answer

Le rapport:

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 21:41:14 le 14/04/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. iaStor.sys
8. 
9. 
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11. 
12. "c:\Windows\System32\DriverStore\FileRepository\iaahci.inf_1cb29a96\iaStor.sys" [ ----A---- | 277784 ]
13. TC: 12/02/2007,16:36:54 | TM: 12/02/2007,16:36:54 | DA: 26/06/2007,10:01:52
14. 
15. =========================
16. 
17. "c:\Windows\System32\drivers\iaStor.sys" [ ----A---- | 277784 ]
18. TC: 12/02/2007,16:36:54 | TM: 12/02/2007,16:36:54 | DA: 26/06/2007,10:01:43
19. 
20. =========================
21. 
22. "c:\SwSetup\Robson\Winall\Driver64\IaStor.sys" [ ----A---- | 537368 ]
23. TC: 12/02/2007,16:37:22 | TM: 12/02/2007,16:37:22 | DA: 26/06/2007,09:58:29
24. 
25. =========================
26. 
27. "c:\SwSetup\Robson\Winall\Driver\iaStor.sys" [ ----A---- | 277784 ]
28. TC: 12/02/2007,16:36:54 | TM: 12/02/2007,16:36:54 | DA: 26/06/2007,09:58:29
29. 
30. =========================
31. 
32. "c:\Program Files\Intel\Intel Matrix Storage Manager\driver64\IaStor.sys" [ ----A---- | 537368 ]
33. TC: 25/06/2007,22:16:44 | TM: 12/02/2007,16:37:22 | DA: 26/06/2007,09:55:58
34. 
35. =========================
36. 
37. "c:\Program Files\Intel\Intel Matrix Storage Manager\driver\iaStor.sys" [ ----A---- | 277784 ]
38. TC: 25/06/2007,22:16:44 | TM: 12/02/2007,16:36:54 | DA: 26/06/2007,09:55:58
39. 
40. =========================
41. 
42. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
43. 
44. Aucun dossier trouvé
45. 
46. =========================
47. 
48. Fin à: 21:44:36 le 14/04/2010 ( E.O.F )

gen-hackman · Answer

tu peux m'en dire + sur les alertes de kaspersky ?

k_ramel · Answer

Le message de l'alerte "rootkit..quelque chose" est présent dans le system memory. 
1.réparé(recommandé)
2.supprimé
3.ignoré

Le problème s'est que je n'ai pas accès aux messages, ils s'affichent et disparaissent. D'ailleurs depuis la découverte de ce virus il ya un processus dit de fishing qui s'execute de plus en plus régulierement.

ça m'inquiète il y a-t-il réelement quelque choses qu'on puisse faire?
État : Absent   (événements : 4)	
29/01/2010 11:53:33	Introuvable	cheval de Troie Trojan.Win32.C4DLMedia.c	C:\Documents and Settings\mia\Downloads\eMule\Incoming\(Multilanguage) professeur layton et la boite de pandore nds .rar/Setup32.exe/Setup_00.exe/TorrentSpeederSU.exe//TorentSilentInstall.exe//TorrentSpeeder-1.0.0.1-setup.exe	Elevées	
29/01/2010 11:53:33	Introuvable	cheval de Troie Trojan.Win32.C4DLMedia.c	C:\Documents and Settings\mia\Downloads\eMule\Incoming\(Multilanguage) professeur layton et la boite de pandore nds .rar/Setup32.exe/Setup_00.exe/TorrentSpeederSU.exe//TorentSilentInstall.exe	Elevées	
29/01/2010 11:53:33	Introuvable	cheval de Troie Trojan.Win32.C4DLMedia.c	C:\Documents and Settings\mia\Downloads\eMule\Incoming\(Multilanguage) professeur layton et la boite de pandore nds .rar/Setup32.exe/Setup_00.exe/TorrentSpeederSU.exe	Elevées	
29/01/2010 11:53:33	Introuvable	cheval de Troie Trojan.Win32.Vapsup.vjp	C:\Documents and Settings\mia\Downloads\eMule\Incoming\( 2008) christophe willem cafeine.rar/Install.exe/Setup_02.exe/Setup_01.exe/Setup_00.exe/LINKOP~1.EXE	Elevées	
État : Infecté   (événements : 4)	
02/02/2010 06:54:36	Infecté	virus HEUR:Trojan-Downloader.Script.Generic	http://jscf.alenty.com/adsgeneric/l/adtrk.js	Elevées	
02/02/2010 06:45:53	Infecté	virus HEUR:Trojan-Downloader.Script.Generic	http://js.alenty.com/adsgeneric/l/adtrk.js?alenty_customer_id=zed&alenty_ad_placement=rgsitevideo&alenty_ad_campaign=mms&alenty_ad_format=pave&alenty_ad_advertiser=mars&alenty_ad_site=dailymotion//adtrk	Elevées	
25/01/2010 08:48:43	Infecté	cheval de Troie Trojan.JS.Redirector.ar	http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads	Elevées	
31/12/2009 06:47:23	Infecté	cheval de Troie Trojan-Downloader.JS.Agent.clv	https://www.lacoccinelle.net/258945.html[13]	Elevées	
État : Suspect   (événements : 42)	
14/04/2010 21:18:38	Suspect	un lien vers un site de phishing http://clkh71yhks66.com/...	http://clkh71yhks66.com/...	Elevées	
14/04/2010 14:39:47	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/ZKM1CZCD7l6yziC5dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k27k	http://m01n83kjf7.com/ZKM1CZCD7l6yziC5dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k27k	Elevées	
14/04/2010 14:39:47	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/EKD3CuXD694ymSs1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k17c	http://m01n83kjf7.com/EKD3CuXD694ymSs1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k17c	Elevées	
14/04/2010 14:39:46	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/EKD3CuXD694ymSs1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k17c	http://30xc1cjh91.com/EKD3CuXD694ymSs1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k17c	Elevées	
14/04/2010 14:39:46	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/7aK0RMdx755YlrC8dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k26c	http://m01n83kjf7.com/7aK0RMdx755YlrC8dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k26c	Elevées	
14/04/2010 14:39:45	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/7aK0RMdx755YlrC8dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k26c	http://30xc1cjh91.com/7aK0RMdx755YlrC8dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k26c	Elevées	
14/04/2010 14:39:43	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/ZKM1CZCD7l6yziC5dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k27k	http://30xc1cjh91.com/ZKM1CZCD7l6yziC5dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmNvbSZxPXJvb3RraXQud2luMzIudGRzcy5k27k	Elevées	
14/04/2010 14:16:59	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/wkA3pfWL635yoms1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9cm9vdGtpdC53aW4zMg==05x	http://m01n83kjf7.com/wkA3pfWL635yoms1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9cm9vdGtpdC53aW4zMg==05x	Elevées	
14/04/2010 14:16:37	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/wkA3pfWL635yoms1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9cm9vdGtpdC53aW4zMg==05x	http://30xc1cjh91.com/wkA3pfWL635yoms1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9cm9vdGtpdC53aW4zMg==05x	Elevées	
14/04/2010 14:10:02	Suspect	un lien vers un site de phishing http://clkh71yhks66.com/...	http://clkh71yhks66.com/...	Elevées	
14/04/2010 14:10:00	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/UVi0Mbwl6C4mSHU1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9cm9vdGtpdC53aW4zMi5hZ2VudC5wcA==05A	http://m01n83kjf7.com/UVi0Mbwl6C4mSHU1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9cm9vdGtpdC53aW4zMi5hZ2VudC5wcA==05A	Elevées	
14/04/2010 14:03:14	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/UVi0Mbwl6C4mSHU1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9cm9vdGtpdC53aW4zMi5hZ2VudC5wcA==05A	http://30xc1cjh91.com/UVi0Mbwl6C4mSHU1dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9cm9vdGtpdC53aW4zMi5hZ2VudC5wcA==05A	Elevées	
14/04/2010 13:15:12	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/mAe1Mmrl5n4yDxC4dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9Ym9pdGVzKyVjMyVhMCtzbGlkZXM=17g	http://m01n83kjf7.com/mAe1Mmrl5n4yDxC4dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9Ym9pdGVzKyVjMyVhMCtzbGlkZXM=17g	Elevées	
14/04/2010 13:15:10	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/mAe1Mmrl5n4yDxC4dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9Ym9pdGVzKyVjMyVhMCtzbGlkZXM=17g	http://30xc1cjh91.com/mAe1Mmrl5n4yDxC4dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9Ym9pdGVzKyVjMyVhMCtzbGlkZXM=17g	Elevées	
14/04/2010 09:40:51	Suspect	un lien vers un site de phishing http://clkh71yhks66.com/...	http://clkh71yhks66.com/...	Elevées	
13/04/2010 22:46:06	Suspect	un lien vers un site de phishing http://clkh71yhks66.com/...	http://clkh71yhks66.com/...	Elevées	
13/04/2010 22:46:06	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/RaD37Zmd7B6mIpS0dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9bWFnYXppbmU=17c	http://m01n83kjf7.com/RaD37Zmd7B6mIpS0dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9bWFnYXppbmU=17c	Elevées	
13/04/2010 22:46:01	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/RaD37Zmd7B6mIpS0dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9bWFnYXppbmU=17c	http://30xc1cjh91.com/RaD37Zmd7B6mIpS0dmVyPTMuNzImYmlkPWQ1M2FkZDk0LTVkMDctNGQ5MC1iOGRmLWYyZmI5NTVhZjhjZCZhaWQ9MjAzNzkmc2lkPTAmcmQ9MTMuNC4yMDEwJmVuZz13d3cuZ29vZ2xlLmZyJnE9bWFnYXppbmU=17c	Elevées	
13/04/2010 19:08:44	Suspect	un lien vers un site de phishing http://clkh71yhks66.com/...	http://clkh71yhks66.com/...	Elevées	
13/04/2010 18:58:31	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/DVx0VIRx6o6JZPc8dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlOisudG9ycmVudA==26x	http://m01n83kjf7.com/DVx0VIRx6o6JZPc8dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlOisudG9ycmVudA==26x	Elevées	
13/04/2010 18:58:30	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/DVx0VIRx6o6JZPc8dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlOisudG9ycmVudA==26x	http://30xc1cjh91.com/DVx0VIRx6o6JZPc8dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlOisudG9ycmVudA==26x	Elevées	
13/04/2010 18:58:19	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/waD37nue5n6Y2Ls5dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlOisudG9ycmVudA==17A	http://m01n83kjf7.com/waD37nue5n6Y2Ls5dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlOisudG9ycmVudA==17A	Elevées	
13/04/2010 18:58:18	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/waD37nue5n6Y2Ls5dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlOisudG9ycmVudA==17A	http://30xc1cjh91.com/waD37nue5n6Y2Ls5dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlOisudG9ycmVudA==17A	Elevées	
13/04/2010 18:58:07	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/2aH3ltxL6z5qHOC7dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlJTNBKy50b3JyZW5016h	http://m01n83kjf7.com/2aH3ltxL6z5qHOC7dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlJTNBKy50b3JyZW5016h	Elevées	
13/04/2010 18:58:06	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/2aH3ltxL6z5qHOC7dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlJTNBKy50b3JyZW5016h	http://30xc1cjh91.com/2aH3ltxL6z5qHOC7dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFsK2ZpbGV0eXBlJTNBKy50b3JyZW5016h	Elevées	
13/04/2010 18:57:36	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/oAi3IoDE5m4mrko2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFs15h	http://m01n83kjf7.com/oAi3IoDE5m4mrko2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFs15h	Elevées	
13/04/2010 18:57:35	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/oAi3IoDE5m4mrko2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFs15h	http://30xc1cjh91.com/oAi3IoDE5m4mrko2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1NaWNyb3NvZnQrT2ZmaWNlKzIwMDcrS2V5Z2VuK0FjdGl2YXRpb24rU2VyaWFs15h	Elevées	
13/04/2010 18:56:58	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/uaR3y7ox7S4QbUC3dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT10cGI=27c	http://m01n83kjf7.com/uaR3y7ox7S4QbUC3dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT10cGI=27c	Elevées	
13/04/2010 18:56:56	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/uaR3y7ox7S4QbUC3dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT10cGI=27c	http://30xc1cjh91.com/uaR3y7ox7S4QbUC3dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT10cGI=27c	Elevées	
13/04/2010 18:54:39	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/3Kx3CQeD6t4QbfS2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1hY3RpdmF0aW9uK2tleStvZmZpY2UrMjAwNys=26A	http://m01n83kjf7.com/3Kx3CQeD6t4QbfS2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1hY3RpdmF0aW9uK2tleStvZmZpY2UrMjAwNys=26A	Elevées	
13/04/2010 18:54:37	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/3Kx3CQeD6t4QbfS2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1hY3RpdmF0aW9uK2tleStvZmZpY2UrMjAwNys=26A	http://30xc1cjh91.com/3Kx3CQeD6t4QbfS2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1hY3RpdmF0aW9uK2tleStvZmZpY2UrMjAwNys=26A	Elevées	
13/04/2010 18:26:41	Suspect	un lien vers un site de phishing http://clkh71yhks66.com/...	http://clkh71yhks66.com/...	Elevées	
13/04/2010 17:19:32	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/Sao2f8De5R5MUbc6dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1wciVDMyVBOXNlbnRhdGlvbiUyMHBvd2VycG9pbnQ=27A	http://m01n83kjf7.com/Sao2f8De5R5MUbc6dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1wciVDMyVBOXNlbnRhdGlvbiUyMHBvd2VycG9pbnQ=27A	Elevées	
13/04/2010 17:19:31	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/Sao2f8De5R5MUbc6dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1wciVDMyVBOXNlbnRhdGlvbiUyMHBvd2VycG9pbnQ=27A	http://30xc1cjh91.com/Sao2f8De5R5MUbc6dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1wciVDMyVBOXNlbnRhdGlvbiUyMHBvd2VycG9pbnQ=27A	Elevées	
13/04/2010 17:18:18	Suspect	un lien vers un site de phishing http://clkh71yhks66.com/...	http://clkh71yhks66.com/...	Elevées	
13/04/2010 17:18:05	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/cZd3yufe7R4q3XS5dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1wciVDMyVBOXNlbnRhdGlvbitwb3dlcnBvaW5007c	http://m01n83kjf7.com/cZd3yufe7R4q3XS5dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1wciVDMyVBOXNlbnRhdGlvbitwb3dlcnBvaW5007c	Elevées	
13/04/2010 17:18:02	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/cZd3yufe7R4q3XS5dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1wciVDMyVBOXNlbnRhdGlvbitwb3dlcnBvaW5007c	http://30xc1cjh91.com/cZd3yufe7R4q3XS5dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1wciVDMyVBOXNlbnRhdGlvbitwb3dlcnBvaW5007c	Elevées	
13/04/2010 17:14:58	Suspect	un lien vers un site de phishing http://m01n83kjf7.com/HzY0HNBd5Z3JriS2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1lY3YrcGFyaXM=07A	http://m01n83kjf7.com/HzY0HNBd5Z3JriS2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1lY3YrcGFyaXM=07A	Elevées	
13/04/2010 17:14:53	Suspect	un lien vers un site de phishing http://30xc1cjh91.com/HzY0HNBd5Z3JriS2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1lY3YrcGFyaXM=07A	http://30xc1cjh91.com/HzY0HNBd5Z3JriS2dmVyPTMuNyZiaWQ9ZDUzYWRkOTQtNWQwNy00ZDkwLWI4ZGYtZjJmYjk1NWFmOGNkJmFpZD0yMDM3OSZzaWQ9MCZyZD0xMy40LjIwMTAmZW5nPXd3dy5nb29nbGUuZnImcT1lY3YrcGFyaXM=07A	Elevées	
07/01/2010 23:04:38	Suspect	lien malveillant http://download.gameraving.com/toolbar/gameraving/download/installer/2.2.104.r8460/000002_tiE/gameraving_installer.exe	http://download.gameraving.com/toolbar/gameraving/download/installer/2.2.104.r8460/000002_tiE/gameraving_installer.exe	Elevées	
04/01/2010 01:40:02	Suspect	programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou à vos données PDM.DNS Query	C:\USERS\MIA\APPDATA\LOCAL\TEMP\IDC2.TMP\GETPLUSPLUS_ADOBE_REG.EXE	Faibles	
30/03/2010 15:37:50	Suspect	programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou à vos données PDM.Invader		Moyenne	
État : Réparés   (événements : 1)	
22/03/2010 22:15:01	Réparés	cheval de Troie Trojan.Win32.Monder.cgyn	C:\Users\mia\Downloads\eMule\Incoming\( 2008) superbus lova lova.zip	Elevées	
État : Supprimés   (événements : 2)	
22/03/2010 22:15:01	Supprimés	cheval de Troie Trojan.Win32.Monder.cgyn	C:\Users\mia\Downloads\eMule\Incoming\( 2008) superbus lova lova.zip/Setup.exe/Setup_00.exe/GL1.exe	Elevées	
22/03/2010 22:15:01	Supprimés	cheval de Troie Trojan.Win32.Monder.cgyn	C:\Users\mia\Downloads\eMule\Incoming\( 2008) superbus lova lova.zip/Setup.exe/Setup_00.exe	Elevées	


C'est un des derniers rapports, c'est un peu long et fastidieux. donne moi ton avis. J'ai supprimé des choses savoir ce qui est resté ou a été détruit j'y comprends pas grand chose.

gen-hackman · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

k_ramel · Answer

Comment redemarrer en mode sans échec?

k_ramel · Answer

Et tous les autres programmes je les désinstalle? Comment les effacer definitivement de mon disque dur?

k_ramel · Answer

J'ai lancé le programme en mode normal, je t'envoie bientot le rapport.

gen-hackman · Answer

re , impatiente !!  ^^

Comment aller en Mode sans échec :

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la première option : Sans Échec, et valide avec "Entrée" 
&#9654 Choisis ton compte habituel, et non Administrateur (si besoin ... )

k_ramel · Answer

C'est un vrai parcours du combattant ou c'est moi qui ne m'y connais pas. Alors j'ai effectué la premiere étape mais en mode normal (puisque j'arraivais pas a lancé l'ordinateur en mode sans echec). "?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . " Et arrivé à la seconde étape, l'analyse complete en mode sans echec en suivant toutes les indications, l'ordi a tourné plus de 10 heures!! Je sais plus koi faire recommencé? et au moment de sauver le rapport, tout a planté et redemarrer! ! ! Voici le rapport de la 1ere etape: http://www.cijoint.fr/cjlink.php?file=cj201004/cijdPyFfZ6.zip

k_ramel · Answer

j'ai oublié de dire bonjour, donc bonjour et merci de ton aide.

gen-hackman · Answer

bonjour lol

explique "je n'ai pas pu redemarrer en mode sans echec... 
?G3?-?@¢??@?(TM)©®?

k_ramel · Answer

Hier quand j'ai recu ton message je n'arrivais pas a lancer l'ordi en mode sans echec, donc j'ai quand meme lancé l'application Dr Web CureIt. Le scan a détecté un virus et l'a éradiqué. J'ai sauvegardé un 1er rapport que je t'ai envoyé.

Quelques minutes apres revenant sur le forum j'ai redemarré en mode sans echec. J'ai lancé le scan en analyse complete, ça a tourné pendant DIX HEURES (et c'etait pas terminé) détecté les logiciels que tu m'as envoyé en tant que virus et quand j'ai voulu a nouveau sauvé un rapport ça a planté: écran bleu et redemarrage.

J'en  ai eu assez je suis revenu sur le forum. ON en est où pour le nettoyage de mon ordi?

J'espeere que j'ai été clair: help me!

k_ramel · Answer

verdict?

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

k_ramel · Answer

J'ai suivi tes instructions ça a pris du temps, mais voici le rapport:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3990

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18904

15/04/2010 17:40:57
mbam-log-2010-04-15 (17-40-57).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 316986
Temps écoulé: 3 heure(s), 26 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

k_ramel · Answer

Je redemarre pour cloturer le nettoyage et j'attends ta réponse.

gen-hackman · Answer

ok refais gMer stp ?

k_ramel · Answer

oh non ça va prendre 100 ans! :(
en mode sans echec ? avec les memes instructions qu'auparavant?

gen-hackman · Answer

comme ceci :

https://forums.commentcamarche.net/forum/affich-17373092-rootkit-win32-tdss-d?full#9

k_ramel · Answer

entendu.

k_ramel · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-15 19:35:27
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\mia\AppData\Local\Temp\ugdiypog.sys


---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                   84C751E8

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

---- EOF - GMER 1.0.15 ----

k_ramel · Answer

il n'y a pas de lignes rouges comment les supprimer dans services?

gen-hackman · Answer

installe le service pack2

k_ramel · Answer

le service pack2? c 'est le CD2 de restauration/sauvegarde?

k_ramel · Answer

je suis sur vista.

gen-hackman · Answer

non le service pack 2 de windows vista

k_ramel · Answer

je ne connais pas tu peux m'expliquer la demarche a suivre. je dois sortir.
j'effectuerai les demarches a mon retour.

merci de ton aide, bonne soiree.

gen-hackman · Answer

https://www.clubic.com/telecharger-fiche286802-windows-vista-service-pack-2-server-2008.html

k_ramel · Answer

re,
une fois installé je relance gmer? et supprime les lignes en rouge?

k_ramel · Answer

mais on en est où du nettoyage? 
j'ai plus d'alertes kaspersky et je dois continuer gmer, le virus s'est developpé?

gen-hackman · Answer

non installe-le et previens moi quand c'est fait.....ca risque d'etre un peu long c'est un gros fichier

k_ramel · Answer

d'accord, je venais te t'envoyer un message.
je finis l'installation et je reviens te voir.

gen-hackman · Answer

j'ai vu mais je prefere qu'on communique ici si ca te derange pas

k_ramel · Answer

pas de soucis.

c'est juste quand occupé. j'essaierai de faire preuve de plus de patience.

je continue l'installation et te tiens au courant.

par contre tu ne m'as rien dit pour: "mais on en est où du nettoyage? 
j'ai plus d'alertes kaspersky et je dois continuer la désinfection, le virus s'est developpé?"

gen-hackman · Answer

on a super bien avancé !!

k_ramel · Answer

^^ ça s'est précis. merci.

gen-hackman · Answer

;)

k_ramel · Answer

ça y est, le pack 2 est maintenant installé. 
qu'est-ce qui suis?

gen-hackman · Answer

bien relance List_Kill'em avec le clic droit "executer en tant que" option search stp

k_ramel · Answer

Très bien, voici le dernier rapport: List'em by g3n-h@ckm@n 1.7.1.0 User : mia (Administrateurs) Update on 13/04/2010 by g3n-h@ckm@n ::::: 17.10 Start at: 02:42:26 | 16/04/2010 Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2 Internet Explorer 8.0.6001.18904 Windows Firewall Status : Disabled AV : Norton Internet Security 2007 [ (!) Disabled | (!) Outdated ] FW : Norton Internet Security[ (!) Disabled ]2007 C:\ -> Disque fixe local | 149,05 Go (60,05 Go free) | NTFS E:\ -> Disque CD-ROM Boot: Normal ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE C:\Windows\system32\SearchIndexer.exe C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe C:\Windows\system32 askeng.exe C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Windows\system32 askeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\HP\QuickPlay\QPService.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Windows\System32 undll32.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Windows\System32 undll32.exe C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\List_Kill'em\List_Kill'em.exe C:\Windows\system32\cmd.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Program Files\List_Kill'em\pv.exe ====================== Keys "Run" ====================== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe swg REG_SZ "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" HKEY_CURRENT_USER\software\microsoft\windows\currentversion un\AdobeUpdater [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] RtHDVCpl REG_SZ RtHDVCpl.exe IAAnotif REG_SZ C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe QPService REG_SZ "C:\Program Files\HP\QuickPlay\QPService.exe" QlbCtrl REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start HP Health Check Scheduler REG_SZ C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe hpWirelessAssistant REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe WAWifiMessage REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe PLFSet REG_SZ rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" AVP REG_SZ "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe" NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32 vsvc.dll,nvsvcStart NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Launcher REG_EXPAND_SZ %WINDIR%\SMINST\launcher.exe ===================== Other Keys ===================== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2) ConsentPromptBehaviorUser REG_DWORD 1 (0x1) EnableInstallerDetection REG_DWORD 1 (0x1) EnableLUA REG_DWORD 1 (0x1) EnableSecureUIAPaths REG_DWORD 1 (0x1) EnableVirtualization REG_DWORD 1 (0x1) PromptOnSecureDesktop REG_DWORD 1 (0x1) ValidateAdminCodeSignatures REG_DWORD 0 (0x0) dontdisplaylastusername REG_DWORD 0 (0x0) legalnoticecaption REG_SZ legalnoticetext REG_SZ scforceoption REG_DWORD 0 (0x0) shutdownwithoutlogon REG_DWORD 1 (0x1) undockwithoutlogon REG_DWORD 1 (0x1) FilterAdministratorToken REG_DWORD 0 (0x0) EnableUIADesktopToggle REG_DWORD 0 (0x0) DisableRegistryTools REG_DWORD 0 (0x0) =============== [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] NoDriveTypeAutoRun REG_DWORD 145 (0x91) NoDrives REG_DWORD 0 (0x0) =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] NoDrives REG_DWORD 0 (0x0) BindDirectlyToPropertySetStorage REG_DWORD 0 (0x0) =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLS REG_SZ C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ReportBootOk REG_SZ 1 Shell REG_SZ Explorer.exe Userinit REG_SZ C:\Windows\system32\userinit.exe, VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl" AutoRestartShell REG_DWORD 1 (0x1) LegalNoticeCaption REG_SZ LegalNoticeText REG_SZ PowerdownAfterShutdown REG_SZ 0 ShutdownWithoutLogon REG_SZ 0 cachedlogonscount REG_SZ 10 forceunlocklogon REG_DWORD 0 (0x0) passwordexpirywarning REG_DWORD 14 (0xe) Background REG_SZ 0 0 0 DebugServerCommand REG_SZ no WinStationsDisabled REG_SZ 0 DisableCAD REG_DWORD 1 (0x1) scremoveoption REG_SZ 0 ShutdownFlags REG_DWORD -2147483609 (0x80000027) SFCDisable REG_DWORD 0 (0x0) System REG_SZ =============== [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\klogon] =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ =============== [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] =============== ActivX controls =============== [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}] =============== [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{233C1507-6A77-46A4-9443-F871F945D258}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2A202491-F00D-11cf-87CC-0020AFEECF20}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{391CB487-2232-721A-FE88-397DA57D39C2}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D1B18A00-DE51-42F4-157D-8D4651051091}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}] ============== BHO : ====== [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E33CF602-D945-461A-83F0-819F76A199F8}] === DNS === HKLM\SYSTEM\CCS\Services\Tcpip\..\{A0DED953-00FA-4DEE-97D4-42E7AEFF025B}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC6BAEC7-4593-48E8-B5E6-E59A1DED8B37}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A0DED953-00FA-4DEE-97D4-42E7AEFF025B}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC6BAEC7-4593-48E8-B5E6-E59A1DED8B37}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\..\{A0DED953-00FA-4DEE-97D4-42E7AEFF025B}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC6BAEC7-4593-48E8-B5E6-E59A1DED8B37}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 ================ Internet Explorer : ================ [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Local Page REG_SZ C:\WINDOWS\system32\blank.htm Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.google.com/?gws_rd=ssl Local Page REG_SZ C:\WINDOWS\system32\blank.htm Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch ======== Services ======== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] Ndisuio : 0x3 ( OK = 3 ) EapHost : 0x2 ( OK = 2 ) Wlansvc : 0x2 ( OK = 2 ) SharedAccess : 0x2 ( OK = 2 ) windefend : 0x2 ( OK = 2 ) wuauserv : 0x2 ( OK = 2 ) wscsvc : 0x2 ( OK = 2 ) ======== Safemode ======== "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot" : OK !! "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal" : OK !! "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network" : OK !! ========= Atapi.sys ========= C:\Windows\ERDNT\cache\atapi.sys : MD5 :: [2d9c903dc76a66813d350a562de40ed9] SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3] C:\Windows\System32\drivers\atapi.sys : MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4] SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd] C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys : MD5 :: [b35cfcef838382ab6490b321c87edf17] SHA256 :: [a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0] C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys : MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4] SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd] C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys : MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f] SHA256 :: [6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896] C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys : MD5 :: [2d9c903dc76a66813d350a562de40ed9] SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3] C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys : MD5 :: [b35cfcef838382ab6490b321c87edf17] SHA256 :: [a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0] C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys : MD5 :: [e03e8c99d15d0381e02743c36afc7c6f] SHA256 :: [8217348674fc4d0c6d567ffc95b14dfd507f47c5a4728c2ba93d72c412e8527b] C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys : MD5 :: [2d9c903dc76a66813d350a562de40ed9] SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3] C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys : MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4] SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd] Référence : ========== Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867 Win XP_32b : a64013e98426e1877cb653685c5c0009 Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51 Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674 Vista_32b : e03e8c99d15d0381e02743c36afc7c6f Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9 Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4 Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e ======= Drive : ======= D'fragmenteur de disque Windows Copyright (c) 2006 Microsoft Corp. Rapport d'analyse pour le volume C: Taille du volume = 149 Go Espace libre = 60.06 Go tendue d'espace libre la plus grande = 26.50 Go Pourcentage de fragmentation des fichiers = 2 % Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation. Il n'est pas n'cessaire de d'fragmenter ce volume. ¤¤¤¤¤¤¤¤¤¤ Files/folders : Present !! : C:\Windows\System32\drivers\etc\hosts.msn Present !! : C:\Users\mia\AppData\Local\GDIPFONTCACHEV1.DAT Present !! : C:\Users\mia\Local Settings\Temp\alm.log Present !! : C:\Users\mia\Local Settings\Temp\amt.log Present !! : C:\Users\mia\Local Settings\Temp\mia.bmp Present !! : C:\Users\mia\LOCAL Settings\Temp\D451Ef8z.dll Present !! : C:\Users\mia\LOCAL Settings\Temp\Gm8lZ7zT.dll ¤¤¤¤¤¤¤¤¤¤ Keys : Present !! : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives Present !! : HKEY_USERS\S-1-5-21-3057884284-2404259968-993642076-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives ============ catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-04-16 03:06:37 Windows 6.0.6002 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84C711E8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x84c721e8 \Driver\iaStor -> 0x84c711e8 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] cval REG_DWORD 1 (0x1) FirstRunDisabled REG_DWORD 1 (0x1) AntiVirusDisableNotify REG_DWORD 0 (0x0) FirewallDisableNotify REG_DWORD 0 (0x0) UpdatesDisableNotify REG_DWORD 0 (0x0) AntiVirusOverride REG_DWORD 1 (0x1) FirewallOverride REG_DWORD 1 (0x1) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ End of scan : 3:06:40,61

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\Windows\system32
tkrnlpa.exe 
C:\Windows\system32\Drivers\CLASSPNP.SYS 
C:\Windows\system32\Drivers\disk.sys 
C:\Windows\system32\Drivers\acpi.sys 
C:\Windows\system32\hal.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

k_ramel · Answer

J'ai commencé par analyser C:\Windows\system32
tkrnlpa.exe  et le msg suivant c'est affiché:

Exception
Please report failure as: ErrorTime= "Apr 16 03:47:43"

Qu'est-ce que ça signifie?

gen-hackman · Answer

fais les autres

k_ramel · Answer

- C:\Windows\system32\Drivers\CLASSPNP.SYS  
message "Please report failure as: ErrorTime= "Apr 16 03:59:24"



- C:\Windows\system32\Drivers\disk.sys
message idem

- C:\Windows\system32\Drivers\acpi.sys
Please report failure as: ErrorTime= "Apr 16 04:01:01"

 
- C:\Windows\system32\hal.dll 
Please report failure as: ErrorTime= "Apr 16 04:01:57"

alors?

gen-hackman · Answer

peux-tu refaire ceci en rajoutant le MD5 ?

https://forums.commentcamarche.net/forum/affich-17373092-rootkit-win32-tdss-d?full#17

k_ramel · Answer

MD5?

k_ramel · Answer

avançons réellement..?

gen-hackman · Answer

tu as un fichier infecté , vital à windows malheureusement

k_ramel · Answer

j"ai trouvé MD5.

ma question est toujours d'actualité: avançons nous reellement?

ce virus est il tres dangeureux? s'est il développé dans mon ordi?

k_ramel · Answer

Le rapport:

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 04:10:10 le 16/04/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. iaStor.sys
8. 
9. (!) --- Calcul du Hash "MD5"
10. 
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12. 
13. "c:\Windows\System32\DriverStore\FileRepository\iaahci.inf_1cb29a96\iaStor.sys" [ ----A---- | 277784 ]
14. TC: 12/02/2007,16:36:54 | TM: 12/02/2007,16:36:54 | DA: 26/06/2007,10:01:52
15. MD5: fd7f9d74c2b35dbda400804a3f5ed5d8
16. 
17. 
18. =========================
19. 
20. "c:\Windows\System32\drivers\iaStor.sys" [ ----A---- | 277784 ]
21. TC: 12/02/2007,16:36:54 | TM: 12/02/2007,16:36:54 | DA: 26/06/2007,10:01:43
22. MD5: fd7f9d74c2b35dbda400804a3f5ed5d8
23. 
24. 
25. =========================
26. 
27. "c:\SwSetup\Robson\Winall\Driver64\IaStor.sys" [ ----A---- | 537368 ]
28. TC: 12/02/2007,16:37:22 | TM: 12/02/2007,16:37:22 | DA: 26/06/2007,09:58:29
29. MD5: 2ee127d5407da3957ee54711c9aed6ec
30. 
31. 
32. =========================
33. 
34. "c:\SwSetup\Robson\Winall\Driver\iaStor.sys" [ ----A---- | 277784 ]
35. TC: 12/02/2007,16:36:54 | TM: 12/02/2007,16:36:54 | DA: 26/06/2007,09:58:29
36. MD5: fd7f9d74c2b35dbda400804a3f5ed5d8
37. 
38. 
39. =========================
40. 
41. "c:\Program Files\Intel\Intel Matrix Storage Manager\driver64\IaStor.sys" [ ----A---- | 537368 ]
42. TC: 25/06/2007,22:16:44 | TM: 12/02/2007,16:37:22 | DA: 26/06/2007,09:55:58
43. MD5: 2ee127d5407da3957ee54711c9aed6ec
44. 
45. 
46. =========================
47. 
48. "c:\Program Files\Intel\Intel Matrix Storage Manager\driver\iaStor.sys" [ ----A---- | 277784 ]
49. TC: 25/06/2007,22:16:44 | TM: 12/02/2007,16:36:54 | DA: 26/06/2007,09:55:58
50. MD5: fd7f9d74c2b35dbda400804a3f5ed5d8
51. 
52. 
53. =========================
54. 
55. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
56. 
57. Aucun dossier trouvé
58. 
59. =========================
60. 
61. Fin à: 04:11:15 le 16/04/2010 ( E.O.F )

gen-hackman · Answer

d'un coté ca dit que ca va pas , et de l'autre , que tout va bien....je suis assez troublé par ces resultats

k_ramel · Answer

consternant!.. ce commentaire, je n'ai rien lu.

k_ramel · Answer

que fait on?

gen-hackman · Answer

je vais aller dormir on continuera demain.....il est 4.30 ici je sais pas ou tu te trouves mais ici il est tard lol ^^

k_ramel · Answer

Oui je suis sur paris, (mais tout ça me travaille d'ou mon intéret meme tard cette nuit) merci d'etre resté.
J'espere te retrouver demain, peut etre que cette nuit de sommeil nous apportera une réponse positive.

Bonne nuit^.

gen-hackman · Answer

certes..

k_ramel · Answer

salut,

des informations sur la nouvelle marche a suivre?

Destrio5 · Answer

Bonjour,

Juste pour prévenir :
http://www.infos-du-net.com/forum/292985-11-rootkit-win32-tdss

k_ramel · Answer

Oui et donc?

Tu t'y connais tu aurais des solutions à me proposer?

Destrio5 · Answer

Vu toutes les manip' proposées et le résultat, la réinstallation système est à envisager.

k_ramel · Answer

Aie, c'est à dire?

Il faut reformater?

gen-hackman · Answer

merci salut willy

k_ramel · Answer

Bonjour gen hackman.

Vous vous y connaissez bien  si vous est d'accord sur le protocole, passons au vif du sujet.

Comment dois-je faire "la réinstallation système"?

Destrio5 · Answer

Fais cette manip' et dis-moi ce qu'il se passe :
https://forum.malekal.com/viewtopic.php?t=22358&start=

k_ramel · Answer

Je suis tout attentive à vos conseils, destrior5 ou gen hackman.

gen-hackman · Answer

tu as un cd de windows ?

Destrio5 · Answer

Ça a l'air d'être un PC HP donc avec une partition Recovery.

gen-hackman · Answer

je suis pas trop branché recovery , j'en ai jamais eu ^^

k_ramel · Answer

Oui, j'ai tout ça, deux CD de restauration.

Voici les infos de mon ordinateur.

Système   
--------------------------------------------------------------------------------
 
  Fabricant Hewlett-Packard 
  Modèle HP Pavilion dv9500 Notebook PC  
  Quantité totale de mémoire système Mémoire vive 2,00 Go 
  Type du système Système d'exploitation 32 bits 
  Nombre de coeurs de processeur 2 
  Compatible 64 bits Oui 
 
Stockage   
--------------------------------------------------------------------------------
 
  Taille totale des disques durs 149 Go 
  Partition de disque (C:) 62 Go libre (149 Go au total) 
  Lecteur multimédia (E:) CD/DVD 
 
Graphiques   
--------------------------------------------------------------------------------
 
  Afficher le type de carte NVIDIA GeForce 8600M GS 
  Mémoire graphique totale disponible 1023 Mo 
        Mémoire graphique dédiée 256 Mo 
        Mémoire système dédiée 0 Mo 
        Mémoire système partagée 767 Mo 
  Afficher la version du pilote de la carte 7.15.11.123 
  Résolution du moniteur principal 1440x900 
  Version DirectX DirectX 10 
 
Réseau   
--------------------------------------------------------------------------------
 
  Carte réseau Realtek RTL8168/8111 Family PCI-E Gigabit Ethernet NIC (NDIS 6.0) 
  Carte réseau Carte miniport Microsoft Tun 
  Carte réseau Intel(R) Wireless WiFi Link 4965AGN

k_ramel · Answer

Destrio5, j'ai lancé ton application, je continue?

Destrio5 · Answer

Ça dit quoi ?

k_ramel · Answer

Hmm, pas grand chose une fenetre a fonf noir s'est ouverte, puis une deuxième avec le message appuyer sur entrer pour continuer.

J'ai fait entrer, bloc notes s'est ouvert puis rien, fenetre vierge.

k_ramel · Answer

Il faut que je fasse une capture?

k_ramel · Answer

Fenetre1

off*color 3F

C:\Users\mia\AppData\Local\Temp\RarSFX3>set L-td=Load-tdsskiller Version 1.1  pa
r Loup blanc (Zebulon.fr)

C:\Users\mia\AppData\Local\Temp\RarSFX3>echo Load-tdsskiller Version 1.1  par Lo
up blanc (Zebulon.fr)
Load-tdsskiller Version 1.1  par Loup blanc (Zebulon.fr)

C:\Users\mia\AppData\Local\Temp\RarSFX3>echo.


C:\Users\mia\AppData\Local\Temp\RarSFX3>echo.


C:\Users\mia\AppData\Local\Temp\RarSFX3>set name=tdsskiller

C:\Users\mia\AppData\Local\Temp\RarSFX3>set name-zip=tdsskiller.zip

C:\Users\mia\AppData\Local\Temp\RarSFX3>set name-exe=tdsskiller.exe

C:\Users\mia\AppData\Local\Temp\RarSFX3>MD C:	dsskiller
Un sous-répertoire ou un fichier C:	dsskiller existe déjà.

C:\Users\mia\AppData\Local\Temp\RarSFX3>"C:\Users\mia\AppData\Local\Temp\RarSFX3
\wget.exe"  -N --output-document="C:	dsskiller	dsskiller.zip" http://support.k
aspersky.com/downloads/utils/tdsskiller.zip
WARNING: timestamping does nothing in combination with -O. See the manual
for details.

--2010-04-16 16:04:21--  http://support.kaspersky.com/downloads/utils/tdsskiller
.zip
Resolving support.kaspersky.com... 85.12.57.118
Connecting to support.kaspersky.com|85.12.57.118|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 154469 (151K) [application/zip]
Saving to: 'C:/tdsskiller/tdsskiller.zip'

100%[======================================>] 154,469      431K/s   in 0.4s

2010-04-16 16:04:22 (431 KB/s) - 'C:/tdsskiller/tdsskiller.zip' saved [154469/15
4469]


C:\Users\mia\AppData\Local\Temp\RarSFX3>If exist C:	dsskiller\TDSSKiller.exe (d
el /f C:	dsskiller\TDSSKiller.exe )

C:\Users\mia\AppData\Local\Temp\RarSFX3>If exist C:	dsskiller\eula.txt (del /f
C:	dsskiller\eula.txt )

C:\Users\mia\AppData\Local\Temp\RarSFX3>"C:\Users\mia\AppData\Local\Temp\RarSFX3
\7z.exe" e C:	dsskiller	dsskiller.zip -aou -oC:	dsskiller\

7-Zip  4.60 beta  Copyright (c) 1999-2008 Igor Pavlov  2008-08-19

Processing archive: C:	dsskiller	dsskiller.zip

Extracting  TDSSKiller.exe
Extracting  eula.txt

Everything is Ok

Files: 2
Size:       180258
Compressed: 154469

C:\Users\mia\AppData\Local\Temp\RarSFX3>cd C:	dsskiller\

C:	dsskiller>start  /WAIT C:	dsskiller	dsskiller.exe

k_ramel · Answer

Fentre 2

TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.2.8.1 Mar 22 2010 10:43:04

Scanning        Services ...

Scanning        Kernel memory ...

Completed

Results:
Memory objects infected / cured / cured on reboot:      0 / 0 / 0
Registry objects infected / cured / cured on reboot:    0 / 0 / 0
File objects infected / cured / cured on reboot:        0 / 0 / 0

Appuyez sur une touche pour continuer...

k_ramel · Answer

J'attends vos impressions un de vous deux?

k_ramel · Answer

Messieurs svp.

Destrio5 · Answer

Ça n'a rien donné.

La manipulation pour réinstaller le système se trouve dans le manuel.

Rootkit.win32.tdss.d

95 réponses

Votre réponse

Newsletters