Virus de redirection Google
Résolu/Fermé
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
-
20 avril 2010 à 14:52
gen-hackman - 26 avril 2010 à 16:17
gen-hackman - 26 avril 2010 à 16:17
A voir également:
- Virus de redirection Google
- Google maps satellite - Guide
- Dns google - Guide
- Google earth - Télécharger - 3D
- Google - Guide
- Créer un compte google - Guide
69 réponses
Utilisateur anonyme
22 avril 2010 à 17:09
22 avril 2010 à 17:09
Y'a de quoi baisser les bras là
on va déjà nettoyer un peu le PC pour faire place net
* Télécharge ToolsCleaner2 sur ton Bureau
https://www.commentcamarche.net/telecharger/
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
on va déjà nettoyer un peu le PC pour faire place net
* Télécharge ToolsCleaner2 sur ton Bureau
https://www.commentcamarche.net/telecharger/
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
Modifié par Moutonuss le 22/04/2010 à 17:30
Modifié par Moutonuss le 22/04/2010 à 17:30
J'ai exécuté deux fois ToolsCleaner par erreur, donc je n'ai plus que le 2° rapport.
Mais en gros, si il est censé supprimé tout ce que j'ai dû installer jusque là, il a bien tout supprimé sauf Combofix et List Killem.
Je lance le 2° log tout de suite.
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Adrien\Trackmania\Help Nathandre\ComboFix.exe: trouvé !
---------------------------------
--> Suppression:
C:\Adrien\Trackmania\Help Nathandre\ComboFix.exe: ERREUR DE SUPPRESSION !!
EDIT : je supprime Combofix à la main ?
Mais en gros, si il est censé supprimé tout ce que j'ai dû installer jusque là, il a bien tout supprimé sauf Combofix et List Killem.
Je lance le 2° log tout de suite.
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Adrien\Trackmania\Help Nathandre\ComboFix.exe: trouvé !
---------------------------------
--> Suppression:
C:\Adrien\Trackmania\Help Nathandre\ComboFix.exe: ERREUR DE SUPPRESSION !!
EDIT : je supprime Combofix à la main ?
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
22 avril 2010 à 17:33
22 avril 2010 à 17:33
Voilà le rapport de ZHP.
http://moutonuss.free.fr/Nathandre/ZHP/
http://moutonuss.free.fr/Nathandre/ZHP/
Utilisateur anonyme
22 avril 2010 à 18:06
22 avril 2010 à 18:06
désolée, j'ai été un peu longue à analyser le rapport avec un outil spécial
il y a encore des infections à traiter
il y a encore des infections à traiter
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
22 avril 2010 à 18:08
22 avril 2010 à 18:08
Pas grave, j'ai le temps : je suis en vacances. ^^
Utilisateur anonyme
Modifié par nathandre le 23/04/2010 à 14:27
Modifié par nathandre le 23/04/2010 à 14:27
Bonjour
StarForce Protection System
as tu une idée de ce que c'est ?
J'ai eu une réponse favorable
* Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle la ligne suivante et place la dans ZHPFix :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
MD5.9BF86C3DB78F8743444D7FD8DC7DFFF6] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Adrien V\Application Data\SystemProc\lsass.exe [157184]
O4 - HKLM\..\policies\Explorer\Run: [RTHDBPL] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Adrien V\Application Data\SystemProc\lsass.exe
O20 - Winlogon Notify: 6819a800879 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ESENTPRF32.dll
O40 - ASIC: Viewpoint Media Player - {03F998B2-0E00-11D3-A498-00104B6EB52E} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll
O44 - LFC:[MD5.0725A2410FA8BA1EFC721E6336D381FF] - 22/04/2010 - 12:26:06 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\comctl3232.dll [280576]
O44 - LFC:[MD5.0725A2410FA8BA1EFC721E6336D381FF] - 21/04/2010 - 23:47:30 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\DPNADDR32.dll [280576]
O44 - LFC:[MD5.EF54119C84D8566D9DD1CD5F0058E39D] - 21/04/2010 - 00:42:23 -SHA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\5.tmp [774144]
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/04/2010 - 15:32:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\tmp.txt [0]
O44 - LFC:[MD5.419857533F3F0C74B0B299B8B47AFA25] - 20/04/2010 - 03:17:29 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\d3dx9_2532.dll [240640]
O44 - LFC:[MD5.ED3B8F7F7F35A4064B8C40F0738B45F9] - 18/04/2010 - 14:17:59 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\dpus1132.dll [239616]
O44 - LFC:[MD5.2A02B2B5321A0BFE979B0C8E1535F7E0] - 17/04/2010 - 21:59:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ESENTPRF32.dll [139264]
O44 - LFC:[MD5.C22056A9FA2C6A109BF0BCD33B863861] - 21/04/2010 - 00:06:35 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\1746511872 [817]
O44 - LFC:[MD5.FE965B86ECD95A02EB7748A8C2B15C0E] - 20/04/2010 - 23:51:36 -SHA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\944371792 [1095]
O44 - LFC:[MD5.BF98C60A5C1FE8436A105ACAAB99B702] - 20/04/2010 - 17:23:51 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\3899af07 [36]
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
StarForce Protection System
as tu une idée de ce que c'est ?
J'ai eu une réponse favorable
* Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle la ligne suivante et place la dans ZHPFix :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
MD5.9BF86C3DB78F8743444D7FD8DC7DFFF6] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Adrien V\Application Data\SystemProc\lsass.exe [157184]
O4 - HKLM\..\policies\Explorer\Run: [RTHDBPL] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Adrien V\Application Data\SystemProc\lsass.exe
O20 - Winlogon Notify: 6819a800879 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ESENTPRF32.dll
O40 - ASIC: Viewpoint Media Player - {03F998B2-0E00-11D3-A498-00104B6EB52E} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll
O44 - LFC:[MD5.0725A2410FA8BA1EFC721E6336D381FF] - 22/04/2010 - 12:26:06 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\comctl3232.dll [280576]
O44 - LFC:[MD5.0725A2410FA8BA1EFC721E6336D381FF] - 21/04/2010 - 23:47:30 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\DPNADDR32.dll [280576]
O44 - LFC:[MD5.EF54119C84D8566D9DD1CD5F0058E39D] - 21/04/2010 - 00:42:23 -SHA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\5.tmp [774144]
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/04/2010 - 15:32:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\tmp.txt [0]
O44 - LFC:[MD5.419857533F3F0C74B0B299B8B47AFA25] - 20/04/2010 - 03:17:29 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\d3dx9_2532.dll [240640]
O44 - LFC:[MD5.ED3B8F7F7F35A4064B8C40F0738B45F9] - 18/04/2010 - 14:17:59 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\dpus1132.dll [239616]
O44 - LFC:[MD5.2A02B2B5321A0BFE979B0C8E1535F7E0] - 17/04/2010 - 21:59:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ESENTPRF32.dll [139264]
O44 - LFC:[MD5.C22056A9FA2C6A109BF0BCD33B863861] - 21/04/2010 - 00:06:35 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\1746511872 [817]
O44 - LFC:[MD5.FE965B86ECD95A02EB7748A8C2B15C0E] - 20/04/2010 - 23:51:36 -SHA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\944371792 [1095]
O44 - LFC:[MD5.BF98C60A5C1FE8436A105ACAAB99B702] - 20/04/2010 - 17:23:51 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\3899af07 [36]
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
23 avril 2010 à 14:27
23 avril 2010 à 14:27
C'est le système de protection du CD de TrackMania (un jeu).
PS : t'as peut-être vu un dossier C:\Adrien\Trackmania, si tu te demande ce que c'est, en gros c'est devenu mon dossier "fourre-tout", celui où je met les fichiers dont je me sert actuellement, destinés à être virés ou encore non classée.
Tous mes programmes sont installés dans Program Files, sauf 3DS Max, si je le mettais pas à la racine, il ne marchais pas ...
Je sait pas si c'est utile tout ça, mais au moins, tu le sauras si tu en a besoin. :p
PS : t'as peut-être vu un dossier C:\Adrien\Trackmania, si tu te demande ce que c'est, en gros c'est devenu mon dossier "fourre-tout", celui où je met les fichiers dont je me sert actuellement, destinés à être virés ou encore non classée.
Tous mes programmes sont installés dans Program Files, sauf 3DS Max, si je le mettais pas à la racine, il ne marchais pas ...
Je sait pas si c'est utile tout ça, mais au moins, tu le sauras si tu en a besoin. :p
Utilisateur anonyme
23 avril 2010 à 14:54
23 avril 2010 à 14:54
d'accord, je le saurai
pourrai tu faire la procédure ci-dessus, j'ai eu confirmation, cela va nettoyer
les infections encore présentes
pourrai tu faire la procédure ci-dessus, j'ai eu confirmation, cela va nettoyer
les infections encore présentes
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
23 avril 2010 à 15:29
23 avril 2010 à 15:29
Merci.
Voilà le rapport.
ZHPFix v1.12.3092 by Nicolas Coolman - Rapport de suppression du 23/04/2010 15:26:54
Fichier d'export Registre : C:\ZHPExportRegistry-23-04-2010-15-26-54.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
O20 - Winlogon Notify: 6819a800879 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ESENTPRF32.dll => Clé supprimée avec succès
O40 - ASIC: Viewpoint Media Player - {03F998B2-0E00-11D3-A498-00104B6EB52E} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}] => Clé supprimée avec succès
[HKCR\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}] => Clé supprimée avec succès
Valeur du Registre :
O4 - HKLM\..\policies\Explorer\Run: [RTHDBPL] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Adrien V\Application Data\SystemProc\lsass.exe => Valeur supprimée avec succès
Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
Dossier :
(Néant)
Fichier :
c:\documents and settings\adrien v\application data\systemproc\lsass.exe => Supprimé et mis en quarantaine
c:\windows\system32\esentprf32.dll => Supprimé et mis en quarantaine
c:\program files\viewpoint\viewpoint experience technology\axmetastream.dll => Fichier absent
c:\windows\system32\comctl3232.dll => Supprimé et mis en quarantaine
c:\windows\system32\dpnaddr32.dll => Supprimé et mis en quarantaine
c:\windows\system32\5.tmp [774144] => Fichier absent
c:\windows\system32\tmp.txt => Supprimé et mis en quarantaine
c:\windows\system32\d3dx9_2532.dll => Supprimé et mis en quarantaine
c:\windows\system32\dpus1132.dll => Supprimé et mis en quarantaine
c:\windows\system32\1746511872 [817] => Fichier absent
c:\windows\system32\944371792 [1095] => Fichier absent
c:\windows\system32\3899af07 [36] => Fichier absent
Logiciel :
(Néant)
Script Registre :
(Néant)
Master Boot Record :
(Néant)
Autre :
MD5.9BF86C3DB78F8743444D7FD8DC7DFFF6] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Adrien V\Application Data\SystemProc\lsass.exe [157184] => Format Non supporté
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 4
Valeur du Registre : 1
Elément de données du Registre : 2
Dossier : 0
Fichier : 12
Logiciel : 0
Master Boot Record : 1
Autre : 1
End of the scan
Voilà le rapport.
ZHPFix v1.12.3092 by Nicolas Coolman - Rapport de suppression du 23/04/2010 15:26:54
Fichier d'export Registre : C:\ZHPExportRegistry-23-04-2010-15-26-54.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
O20 - Winlogon Notify: 6819a800879 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ESENTPRF32.dll => Clé supprimée avec succès
O40 - ASIC: Viewpoint Media Player - {03F998B2-0E00-11D3-A498-00104B6EB52E} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}] => Clé supprimée avec succès
[HKCR\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}] => Clé supprimée avec succès
Valeur du Registre :
O4 - HKLM\..\policies\Explorer\Run: [RTHDBPL] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Adrien V\Application Data\SystemProc\lsass.exe => Valeur supprimée avec succès
Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
Dossier :
(Néant)
Fichier :
c:\documents and settings\adrien v\application data\systemproc\lsass.exe => Supprimé et mis en quarantaine
c:\windows\system32\esentprf32.dll => Supprimé et mis en quarantaine
c:\program files\viewpoint\viewpoint experience technology\axmetastream.dll => Fichier absent
c:\windows\system32\comctl3232.dll => Supprimé et mis en quarantaine
c:\windows\system32\dpnaddr32.dll => Supprimé et mis en quarantaine
c:\windows\system32\5.tmp [774144] => Fichier absent
c:\windows\system32\tmp.txt => Supprimé et mis en quarantaine
c:\windows\system32\d3dx9_2532.dll => Supprimé et mis en quarantaine
c:\windows\system32\dpus1132.dll => Supprimé et mis en quarantaine
c:\windows\system32\1746511872 [817] => Fichier absent
c:\windows\system32\944371792 [1095] => Fichier absent
c:\windows\system32\3899af07 [36] => Fichier absent
Logiciel :
(Néant)
Script Registre :
(Néant)
Master Boot Record :
(Néant)
Autre :
MD5.9BF86C3DB78F8743444D7FD8DC7DFFF6] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Adrien V\Application Data\SystemProc\lsass.exe [157184] => Format Non supporté
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 4
Valeur du Registre : 1
Elément de données du Registre : 2
Dossier : 0
Fichier : 12
Logiciel : 0
Master Boot Record : 1
Autre : 1
End of the scan
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
23 avril 2010 à 15:53
23 avril 2010 à 15:53
Oui ...
C'est à se pendre ce truc !!!!!!
C'est désespéré ?
C'est à se pendre ce truc !!!!!!
C'est désespéré ?
Utilisateur anonyme
23 avril 2010 à 16:13
23 avril 2010 à 16:13
je viens de voir quelque chose dans le rapport combofix
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Si c'est le cas, continue comme ça :
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
Pour vérifier
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe
Réactive tes protections.
Le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Si c'est le cas, continue comme ça :
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
Pour vérifier
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe
Réactive tes protections.
Le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
23 avril 2010 à 16:49
23 avril 2010 à 16:49
mbr.exe se lance à peine une seconde et se ferme, pas de message.
J'ai ce rapport.
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
J'ai ce rapport.
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Utilisateur anonyme
Modifié par nathandre le 23/04/2010 à 22:46
Modifié par nathandre le 23/04/2010 à 22:46
je ramasse les noms des ces sites pour les communiquer, il resterai apparamment des choses bizarres dans ton PC
On a nettoyé les restants de CID
On s'est déjà débarrassé du plus embêtant
On a nettoyé les restants de CID
On s'est déjà débarrassé du plus embêtant
Utilisateur anonyme
Modifié par nathandre le 23/04/2010 à 23:33
Modifié par nathandre le 23/04/2010 à 23:33
sais tu ce que c'est ?
c:\program files\ISTsvc
edit
ouh là là
c:\program files\ISTsvc
edit
ouh là là
Utilisateur anonyme
23 avril 2010 à 23:11
23 avril 2010 à 23:11
Il faut impérativement désactiver tous tes logiciels de protection (antivirus,
antispyware, pare-feu) pour utiliser ce programme
Sauvegarde tous tes documents avant de commencer
Télécharge Gmer http://www.gmer.net/
* Clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
décoche IAT/EAT -modules -processes-treads-librairie -services et registry
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
antispyware, pare-feu) pour utiliser ce programme
Sauvegarde tous tes documents avant de commencer
Télécharge Gmer http://www.gmer.net/
* Clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
décoche IAT/EAT -modules -processes-treads-librairie -services et registry
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
Modifié par Moutonuss le 24/04/2010 à 01:10
Modifié par Moutonuss le 24/04/2010 à 01:10
J'ai trouvé ça sur ISTsvc.
http://www.liutilities.com/products/wintaskspro/processlibrary/istsvc/
https://forums.commentcamarche.net/forum/affich-722264-virus-istsvc
Ca sent le virus. ^^
Je vais faire ce que tu dis dans ton dernier message.
EDIT : pourquoi je peux pas voir ISTsvc dans Program Files, même en affichant les fichiers cachés et sans masques les fichiers protégés système d'exploitation ?
http://www.liutilities.com/products/wintaskspro/processlibrary/istsvc/
https://forums.commentcamarche.net/forum/affich-722264-virus-istsvc
Ca sent le virus. ^^
Je vais faire ce que tu dis dans ton dernier message.
EDIT : pourquoi je peux pas voir ISTsvc dans Program Files, même en affichant les fichiers cachés et sans masques les fichiers protégés système d'exploitation ?
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
24 avril 2010 à 07:13
24 avril 2010 à 07:13
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-24 07:10:22
Windows 5.1.2600 Service Pack 2
Running: Dididididi.exe; Driver: C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\uxtdrpog.sys
---- System - GMER 1.0.15 ----
SSDT F7AB2B6E ZwCreateKey
SSDT F7AB2B64 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xA8A6DE90]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xA8A6DDC0]
SSDT sptd.sys ZwEnumerateKey [0xF74F4E2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF74F51BA]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xA8A6DF10]
SSDT sptd.sys ZwOpenKey [0xF74EF0B0]
SSDT F7AB2B50 ZwOpenProcess
SSDT F7AB2B55 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF74F5292]
SSDT sptd.sys ZwQueryValueKey [0xF74F5112]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xA8A6E080]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xA8A6E1C0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xA8A6DCE0]
SSDT F7AB2B5F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text USBPORT.SYS!DllUnload B998B62C 5 Bytes JMP 8A5321C8
? System32\Drivers\aggq43vi.SYS Le chemin d'accès spécifié est introuvable. !
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[376] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A73B1E8
Device \FileSystem\Udfs \UdfsCdRom 8A3B11E8
Device \FileSystem\Udfs \UdfsCdRom tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Udfs \UdfsDisk 8A3B11E8
Device \FileSystem\Udfs \UdfsDisk tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \Driver\usbuhci \Device\USBPDO-0 8A5311E8
Device \Driver\usbuhci \Device\USBPDO-1 8A5311E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{13CDBF24-5A85-4641-89AC-176660E575E2} 8A4AE7A0
Device \Driver\usbuhci \Device\USBPDO-2 8A5311E8
Device \Driver\usbehci \Device\USBPDO-3 8A50F1E8
Device \Driver\prodrv06 \Device\ProDrv06 E2046C30
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A7571E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A7571E8
Device \Driver\Cdrom \Device\CdRom0 8A4ED1E8
Device \Driver\Cdrom \Device\CdRom1 8A4ED1E8
Device \Driver\atapi \Device\Ide\IdePort0 8A7561E8
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A7561E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 8A7561E8
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 8A7561E8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A7571E8
Device \Driver\prohlp02 \Device\ProHlp02 E1C6B848
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A4AE7A0
Device \Driver\NetBT \Device\NetbiosSmb 8A4AE7A0
Device \Driver\PCI_NTPNP4720 \Device\00000093 sptd.sys
Device \Driver\PCI_NTPNP4720 \Device\00000093 sptd.sys
Device \Driver\usbuhci \Device\USBFDO-0 8A5311E8
Device \Driver\usbuhci \Device\USBFDO-1 8A5311E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A4921E8
Device \Driver\usbuhci \Device\USBFDO-2 8A5311E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A4921E8
Device \Driver\usbehci \Device\USBFDO-3 8A50F1E8
Device \Driver\Ftdisk \Device\FtControl 8A7571E8
Device \Driver\aggq43vi \Device\Scsi\aggq43vi1 8A44C1E8
Device \Driver\aggq43vi \Device\Scsi\aggq43vi1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\aggq43vi \Device\Scsi\aggq43vi1Port2Path0Target0Lun0 8A44C1E8
Device \Driver\aggq43vi \Device\Scsi\aggq43vi1Port2Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Fastfat \Fat 893751E8
Device \FileSystem\Fastfat \Fat A7A3A1F9
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 8A570470
---- EOF - GMER 1.0.15 ----
Rootkit scan 2010-04-24 07:10:22
Windows 5.1.2600 Service Pack 2
Running: Dididididi.exe; Driver: C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\uxtdrpog.sys
---- System - GMER 1.0.15 ----
SSDT F7AB2B6E ZwCreateKey
SSDT F7AB2B64 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xA8A6DE90]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xA8A6DDC0]
SSDT sptd.sys ZwEnumerateKey [0xF74F4E2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF74F51BA]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xA8A6DF10]
SSDT sptd.sys ZwOpenKey [0xF74EF0B0]
SSDT F7AB2B50 ZwOpenProcess
SSDT F7AB2B55 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF74F5292]
SSDT sptd.sys ZwQueryValueKey [0xF74F5112]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xA8A6E080]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xA8A6E1C0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xA8A6DCE0]
SSDT F7AB2B5F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text USBPORT.SYS!DllUnload B998B62C 5 Bytes JMP 8A5321C8
? System32\Drivers\aggq43vi.SYS Le chemin d'accès spécifié est introuvable. !
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[376] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A73B1E8
Device \FileSystem\Udfs \UdfsCdRom 8A3B11E8
Device \FileSystem\Udfs \UdfsCdRom tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Udfs \UdfsDisk 8A3B11E8
Device \FileSystem\Udfs \UdfsDisk tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \Driver\usbuhci \Device\USBPDO-0 8A5311E8
Device \Driver\usbuhci \Device\USBPDO-1 8A5311E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{13CDBF24-5A85-4641-89AC-176660E575E2} 8A4AE7A0
Device \Driver\usbuhci \Device\USBPDO-2 8A5311E8
Device \Driver\usbehci \Device\USBPDO-3 8A50F1E8
Device \Driver\prodrv06 \Device\ProDrv06 E2046C30
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A7571E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A7571E8
Device \Driver\Cdrom \Device\CdRom0 8A4ED1E8
Device \Driver\Cdrom \Device\CdRom1 8A4ED1E8
Device \Driver\atapi \Device\Ide\IdePort0 8A7561E8
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A7561E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 8A7561E8
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 8A7561E8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A7571E8
Device \Driver\prohlp02 \Device\ProHlp02 E1C6B848
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A4AE7A0
Device \Driver\NetBT \Device\NetbiosSmb 8A4AE7A0
Device \Driver\PCI_NTPNP4720 \Device\00000093 sptd.sys
Device \Driver\PCI_NTPNP4720 \Device\00000093 sptd.sys
Device \Driver\usbuhci \Device\USBFDO-0 8A5311E8
Device \Driver\usbuhci \Device\USBFDO-1 8A5311E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A4921E8
Device \Driver\usbuhci \Device\USBFDO-2 8A5311E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A4921E8
Device \Driver\usbehci \Device\USBFDO-3 8A50F1E8
Device \Driver\Ftdisk \Device\FtControl 8A7571E8
Device \Driver\aggq43vi \Device\Scsi\aggq43vi1 8A44C1E8
Device \Driver\aggq43vi \Device\Scsi\aggq43vi1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\aggq43vi \Device\Scsi\aggq43vi1Port2Path0Target0Lun0 8A44C1E8
Device \Driver\aggq43vi \Device\Scsi\aggq43vi1Port2Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Fastfat \Fat 893751E8
Device \FileSystem\Fastfat \Fat A7A3A1F9
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 8A570470
---- EOF - GMER 1.0.15 ----
Moutonuss
Messages postés
39
Date d'inscription
mardi 20 avril 2010
Statut
Membre
Dernière intervention
20 novembre 2011
1
Modifié par Moutonuss le 24/04/2010 à 13:25
Modifié par Moutonuss le 24/04/2010 à 13:25
Je viens de voir LETMIN dans Program Files, apparement c'est peut-être un virus donc je vais le virer (ça servait pour voir les résultats du BAC je crois ...).
EDIT : je suis souvent redirigé la dessus aussi.
http://itcg.18254.blueseek.com/jump2/?affiliate=itcg&subid=18254&terms=strunner
EDIT : je suis souvent redirigé la dessus aussi.
http://itcg.18254.blueseek.com/jump2/?affiliate=itcg&subid=18254&terms=strunner