Sujet Précédent Sujet Suivant

Tr/hijacker.gen

Résolu/Fermé
béa - 21 avril 2010 à 21:35
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 - 19 juin 2010 à 11:26



voila depuis aujourd'hui des alertes de mon anti virus avira sont régulières, il note la présence de tr/ hijacker que je mets en quarantaine systématiquement.
sans succés apparemment. je lis votre forum, j'ai téléchargé RSIT que je ne sais bien sur pas interpréter, surtout j'ai peur de me planter car je ne lis pas l'anglais. est ce que quelqu'un peut m'aider à virer ça. C'est la première fois en dix ans d'utilisation d'ordi que je tombe sur cette bestiole.
merci pour votre aide
Béatrice

42 réponses

Réponse 1 / 42
Utilisateur anonyme
21 avril 2010 à 23:19
Salut,

Peux-tu commencer par mettre les rapport de RSIT comme ceci :

● Va sur le site ci-joint.fr

● Clique sur le bouton parcourir

● Recherche le fichier log.txt qui se trouve dans le dossier C:\rsit et clique sur Ouvrir

● Clique sur le bouton "Cliquez ici pour déposer le fichier"

● Copie ensuite le lien qui est affiché dans ta réponse.

Refais la manipulation avec le fichier info.txt
2
béa
22 avril 2010 à 20:51
voila j'ai fait ce que tu m'indique mais quelle frousse !! une page c'est ouverte avec des alertes dans tous les sens mais bon avira lui ne dit rien.
est-ce que je mets là les liens que cijoint me donne ?
0
Réponse 2 / 42
Utilisateur anonyme
22 avril 2010 à 21:59
Le lien info.txt ne fonctionne pas, essaie de le refaire.

Ensuite :

● Télécharge gmer sur ton bureau à partir de ce lien ==> http://www.gmer.net/#files en cliquant sur le bouton "Download EXE".
Note : le fichier téléchargé aura un nom aléatoire, c'est normal, garde ce nom

● Lance gmer à partir du fichier au nom aléatoire

● Un scan va se lancer dès le lancement, laisse le faire.

● Si il détecte tout de suite le rootkit, il va te proposer de scanner le PC en entier, accepte.
● Sinon, coche sur la droite les cases "Services", "Registry" et "Files" et clique sur le bouton scan

● Laisse travailler l'outil

● A la fin du scan, clique sur le bouton Save... et enregistre le rapport sur ton bureau

● Copie/colle le contenu du rapport dans ta réponse
2
béa
22 avril 2010 à 22:58
voici un autre lien http://www.cijoint.fr/cjlink.php?file=cj201004/cijkX10RtM.text

pour le lien GMER ça bloque je réessaye
0
béa
22 avril 2010 à 23:30
ça me dit que gmer rencontre un pb et ça arrête le scan
0
Réponse 3 / 42
Utilisateur anonyme
23 avril 2010 à 18:05
Fais ceci :

● Télécharge Malwarebytes' Anti-Malware (MBAM)

● Double clique sur mbam-setup.exe pour lancer l'installation

● Laisse les options par défaut lors de l'installation

● Lance MBAM et laisse les Mises à jour se télécharger

● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

● A la fin du scan, clique sur Afficher les résultats

● Coche tous les éléments détectés puis clique sur Supprimer la sélection

● S'il t'est demandé de redémarrer, clique sur Yes

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
1
béa
27 avril 2010 à 17:14
voici le rapport MBAM
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4042

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27/04/2010 17:00:46
mbam-log-2010-04-27 (17-00-46).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 187367
Temps écoulé: 1 heure(s), 2 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\msnmls.exe) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\CMenu\Utilities\plugins\ZDRx.dll (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\Temp\oxbr.tmp\svchost.exe (Trojan.Inject) -> No action taken.
0
béa
27 avril 2010 à 17:16
quand j'ai redémarré l'ordinateur après le scan une nouvelle alerte est apparue
0
Utilisateur anonyme
27 avril 2010 à 17:18
C'est normal, tu n'as pas fait ça

? Coche tous les éléments détectés puis clique sur Supprimer la sélection
0
béa
27 avril 2010 à 17:39
c'est ce que j'ai fait !!
0
béa
27 avril 2010 à 17:40
je vais redémarrer encore une fois
0
Réponse 4 / 42
Utilisateur anonyme
27 avril 2010 à 18:49
Il faut que tu refasses le scan avec Malwarebytes et que tu penses à bien cocher tous les éléments détectés puis à cliquer sur "Supprimer la sélection".
1
béa
27 avril 2010 à 19:29
ça y est chef , lui aussi me dit qu'aucun élément nuisible n'est détecté.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 42
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
1 mai 2010 à 19:35
Bon essaie ceci :

● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

● Déconnecte toi de internet et désactive tout tes logiciels de protection

● Sous XP : Double clique sur CBFix.exe
● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

● Clique sur le bouton Oui dans la fenêtre d'avertissement

● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix
1
béa
1 mai 2010 à 21:10
eh bien c'est pas de la tarte, boulot famille et virus !!!

bon j'ai le rapport de comboFix
ComboFix 10-05-01.01 - Administrateur 01/05/2010 20:16:09.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1919.1554 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{1d1c9c49-e8d4-4927-b46d-da92698a1004}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{1d1c9c49-e8d4-4927-b46d-da92698a1004}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{1d1c9c49-e8d4-4927-b46d-da92698a1004}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{1d1c9c49-e8d4-4927-b46d-da92698a1004}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{1d1c9c49-e8d4-4927-b46d-da92698a1004}\install.rdf
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{bb26d1e2-b43e-4525-9602-677239e23343}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{bb26d1e2-b43e-4525-9602-677239e23343}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{bb26d1e2-b43e-4525-9602-677239e23343}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{bb26d1e2-b43e-4525-9602-677239e23343}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{bb26d1e2-b43e-4525-9602-677239e23343}\install.rdf
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{f5f85493-2a7f-46ea-a18f-c8d78e2ec19b}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{f5f85493-2a7f-46ea-a18f-c8d78e2ec19b}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{f5f85493-2a7f-46ea-a18f-c8d78e2ec19b}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{f5f85493-2a7f-46ea-a18f-c8d78e2ec19b}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{f5f85493-2a7f-46ea-a18f-c8d78e2ec19b}\install.rdf
c:\documents and settings\Administrateur\Recent\cb.dll
c:\documents and settings\Administrateur\Recent\ddv.sys
c:\documents and settings\Administrateur\Recent\SM.tmp
c:\documents and settings\All Users.\documents\settings
c:\documents and settings\All Users\Menu Démarrer\Programmes\Internet Explorer.lnk
c:\program files\WindowsUpdate
c:\windows\system32\akniqaev.dll
c:\windows\system32\drivers\bprwrils.sys
c:\windows\system32\drivers\zgdnhgob.sys
c:\windows\system32\rnkbgxq.dll
c:\windows\system32\skykecu.dll

Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MIYKZGPN
-------\Legacy_ZGDNHGOB
-------\Service_miykzgpn
-------\Service_zgdnhgob


((((((((((((((((((((((((((((( Fichiers créés du 2010-04-01 au 2010-05-01 ))))))))))))))))))))))))))))))))))))
.

2010-05-01 13:25 . 2010-05-01 13:25 -------- d-----w- c:\program files\Yahoo!
2010-05-01 13:25 . 2010-05-01 13:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-05-01 13:25 . 2010-05-01 13:25 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
2010-05-01 13:25 . 2010-05-01 13:25 -------- d-----w- c:\program files\CCleaner
2010-04-30 15:54 . 2008-05-29 21:13 710144 ----a-w- c:\documents and settings\All Users\Application Data\c9c3302\mozcrt19.dll
2010-04-30 15:54 . 2008-05-29 21:13 414208 ----a-w- c:\documents and settings\All Users\Application Data\c9c3302\sqlite3.dll
2010-04-30 15:52 . 2010-04-30 15:52 -------- d-sh--w- c:\documents and settings\All Users\Application Data\MSXNPIWE
2010-04-30 15:50 . 2010-05-01 16:45 -------- d-sh--w- c:\documents and settings\All Users\Application Data\c9c3302
2010-04-27 18:03 . 2010-04-27 18:04 -------- d-----w- c:\program files\ZHPDiag
2010-04-27 14:26 . 2010-04-30 15:11 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-04-27 13:27 . 2010-04-27 13:27 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-04-27 13:27 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-27 13:27 . 2010-04-27 13:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-27 13:27 . 2010-04-27 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-27 13:27 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-21 19:09 . 2010-04-22 18:54 -------- d-----w- c:\program files\trend micro
2010-04-21 19:09 . 2010-04-22 18:37 -------- d-----w- C:\rsit
2010-04-16 15:21 . 2008-12-03 23:25 120832 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}\plugins\npietab.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-01 18:20 . 2008-06-25 17:30 85022 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-01 18:20 . 2008-06-25 17:30 511066 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-01 18:18 . 2009-12-11 14:38 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-01 08:14 . 2009-12-11 15:51 -------- d-----w- c:\program files\Avira
2010-04-16 20:41 . 2010-02-16 21:14 -------- d-----w- c:\program files\Google
2010-03-24 18:10 . 2010-03-24 18:10 37072 ---ha-w- c:\windows\system32\mlfcache.dat
2010-03-23 19:11 . 2010-03-23 18:45 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Apple Computer
2010-03-23 19:10 . 2009-12-11 14:59 59832 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-23 18:45 . 2010-03-23 18:44 -------- d-----w- c:\program files\iTunes
2010-03-23 18:45 . 2010-03-23 18:44 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2010-03-23 18:44 . 2010-03-23 18:44 -------- d-----w- c:\program files\iPod
2010-03-23 18:44 . 2010-03-23 18:43 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-03-23 18:44 . 2010-03-23 18:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-03-23 18:44 . 2009-12-12 11:50 -------- d-----w- c:\program files\Bonjour
2010-03-23 18:44 . 2010-03-23 18:44 -------- d-----w- c:\program files\QuickTime
2010-03-23 18:44 . 2010-03-23 18:44 -------- d-----w- c:\program files\Apple Software Update
2010-03-23 18:43 . 2010-03-23 18:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-03-17 20:10 . 2010-03-17 20:10 50354 ----a-w- c:\documents and settings\Administrateur\Application Data\Facebook\uninstall.exe
2010-03-17 20:10 . 2010-03-17 20:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Facebook
2010-03-15 17:02 . 2009-12-11 14:47 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-03-14 15:55 . 2009-12-11 14:58 -------- d-----w- c:\program files\Unlocker
2010-03-12 17:36 . 2010-03-12 17:36 86576 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2010-03-12 17:36 . 2010-03-12 17:36 132672 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2010-03-12 17:36 . 2010-03-12 17:36 392728 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2010-03-12 17:36 . 2010-03-12 17:36 135680 ----a-w- c:\documents and settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
2010-03-06 05:30 . 2010-03-06 05:30 847040 ----a-w- c:\documents and settings\Administrateur\Application Data\Facebook\axfbootloader.dll
2010-03-06 05:30 . 2010-03-06 05:30 5582848 ----a-w- c:\documents and settings\Administrateur\Application Data\Facebook\npfbplugin_1_0_3.dll
2010-03-03 14:21 . 2010-03-03 14:21 13312 ----a-w- c:\windows\system32\svrapi.dll
2010-02-23 19:19 . 2010-02-23 19:19 192 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GLF105.tmp
2010-02-15 17:41 . 2010-02-15 17:41 72488 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-02-03 18:41 . 2010-02-03 17:28 57 ----a-w- c:\documents and settings\All Users\Application Data\Brother\BrLog\BrCollectDir\BR_cat.bat
2010-02-03 18:36 . 2010-02-03 17:31 50 ----a-w- c:\windows\system32\bridf05a.dat
.

------- Sigcheck -------

[-] 2008-06-25 . 6E7A77E1E13D3DAFE77AF1012112A2C3 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

[-] 2008-06-25 . DE669722494CF41F6E39A62B3B08525C . 561152 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-06-25 . D449DF66B6335B443508A58B1E8DB996 . 647680 . . [5.82] . . c:\windows\system32\comctl32.dll

[-] 2008-06-25 . A9DB7B8FAE4D18FBF86331C2E33BD6F7 . 2287104 . . [5.1.2600.5512] . . c:\windows\system32\ntoskrnl.exe

[-] 2008-06-25 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2008-06-25 . B8FCD84F253A7EB9F14DE1163FD68379 . 971264 . . [7.00.6000.20815] . . c:\windows\system32\wininet.dll

[-] 2008-06-25 . 3C127370AA63C7D9FD756BB4BE173427 . 1573888 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2008-06-25 . 58DB2EE838D5B7BAD0F7F10A6C920390 . 40960 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

[-] 2008-06-25 . 338D062FC6F9631BC55980A75ED809A4 . 2165760 . . [5.1.2600.5512] . . c:\windows\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
2010-01-18 23:31 2074048 ----a-w- c:\program files\Bandoo\Plugins\IE\ieplugin.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinMover"="c:\program files\WinMover\WinMover.exe" [2005-12-02 10240]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-03-24 13524992]
"Mmm"="c:\windows\system32\mmm.exe" [2005-07-05 828416]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-01 15872]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-06-05 33628160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"ControlCenter2.0"="c:\program files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-02-15 141608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2010-3-12 135680]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Contr"leur d''tat.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2010-2-3 802816]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Bandoo\BndHook.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [11/12/2009 16:58 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [11/12/2009 16:58 5248]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [11/12/2009 17:13 1374464]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;"c:\program files\Avira\AntiVir Desktop\sched.exe" --> c:\program files\Avira\AntiVir Desktop\sched.exe [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [16/02/2010 23:14 135664]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ZGDNHGOB
*Deregistered* - zgdnhgob
.
Contenu du dossier 'Tâches planifiées'

2010-03-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac6ea8e983b8e.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-16 21:14]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=IEFM1&q=
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\firefox@bandoo.com\components\FFPlugin.dll
FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{01E1316D-E7A5-40BE-B852-2AECF42332A4} - c:\windows\system32\akniqaev.dll
ShellIconOverlayIdentifiers-{3A0E0801-C19E-406F-8690-7BD1D557EB58} - (no file)
HKLM-Run-avgnt - c:\program files\Avira\AntiVir Desktop\avgnt.exe
AddRemove-Avira AntiVir Desktop - c:\program files\Avira\AntiVir Desktop\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-01 20:22
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8989F1B8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba8fcf28
\Driver\ACPI -> ACPI.sys @ 0xba758cb8
\Driver\atapi -> 0x8989f1b8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet -> SendCompleteHandler -> NDIS.sys @ 0xba5cbbb0
PacketIndicateHandler -> NDIS.sys @ 0xba5d8a21
SendHandler -> NDIS.sys @ 0xba5b687b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(712)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll

- - - - - - - > 'explorer.exe'(3792)
c:\windows\system32\SHDOCVW.dll
c:\program files\Unlocker\UnlockerHook.dll
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\msi.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\brss01a.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\progra~1\Bandoo\Bandoo.exe
c:\windows\system32\wscntfy.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-05-01 20:24:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-01 18:24

Avant-CF: 341 616 943 104 octets libres
Après-CF: 341 523 812 352 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - A868B75923F2906959C7BD0AA79E2793
0
Réponse 6 / 42
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
1 mai 2010 à 22:12
Tu es bien infecté !

Fais ceci :

● Télécharge Load_tdsskiller.exe sur ton bureau

● Double clique sur Load_tdsskiller.exe, l'outil va se connecter, accepte les éventuelles alertes de ton pare-feu

● Patiente pendant que l'outil travaille

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\tdsskiller\report.txt
1
béa
1 mai 2010 à 22:24
je croyais que combo avait fait le ménage.
voici le rapport de tdskiller
22:18:31:859 1636 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
22:18:31:859 1636 ================================================================================
22:18:31:859 1636 SystemInfo:

22:18:31:859 1636 OS Version: 5.1.2600 ServicePack: 3.0
22:18:31:859 1636 Product type: Workstation
22:18:31:859 1636 ComputerName: SWEET-E8A020C74
22:18:31:859 1636 UserName: Administrateur
22:18:31:859 1636 Windows directory: C:\WINDOWS
22:18:31:859 1636 Processor architecture: Intel x86
22:18:31:859 1636 Number of processors: 2
22:18:31:859 1636 Page size: 0x1000
22:18:31:859 1636 Boot type: Normal boot
22:18:31:859 1636 ================================================================================
22:18:31:859 1636 UnloadDriverW: NtUnloadDriver error 2
22:18:31:859 1636 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
22:18:31:859 1636 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
22:18:31:859 1636 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:18:31:859 1636 wfopen_ex: Trying to KLMD file open
22:18:31:859 1636 wfopen_ex: File opened ok (Flags 2)
22:18:31:859 1636 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
22:18:31:859 1636 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:18:31:859 1636 wfopen_ex: Trying to KLMD file open
22:18:31:859 1636 wfopen_ex: File opened ok (Flags 2)
22:18:31:859 1636 Initialize success
22:18:31:859 1636
22:18:31:859 1636 Scanning Services ...
22:18:32:203 1636 Raw services enum returned 337 services
22:18:32:203 1636
22:18:32:203 1636 Scanning Kernel memory ...
22:18:32:203 1636 Devices to scan: 12
22:18:32:203 1636
22:18:32:203 1636 Driver Name: Disk
22:18:32:203 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:203 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:203 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:203 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:203 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:203 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:203 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:203 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:203 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:203 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:203 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:203 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:203 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:203 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:203 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:203 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:203 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:203 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:203 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:203 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:203 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:203 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:203 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:203 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:203 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:203 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:203 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:234 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:234 1636
22:18:32:234 1636 Driver Name: USBSTOR
22:18:32:234 1636 IRP_MJ_CREATE : BAC75218
22:18:32:234 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:234 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:234 1636 IRP_MJ_READ : BAC7523C
22:18:32:234 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:234 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:234 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:234 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:234 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:234 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:234 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:234 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:234 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:234 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:234 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:234 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:234 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:234 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:234 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:234 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:234 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:234 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:234 1636 IRP_MJ_POWER : BAC745F0
22:18:32:234 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:234 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:234 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:234 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: Disk
22:18:32:250 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:250 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:250 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: Disk
22:18:32:250 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:250 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:250 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: Disk
22:18:32:250 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:250 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:250 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: Disk
22:18:32:250 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:250 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:250 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: USBSTOR
22:18:32:250 1636 IRP_MJ_CREATE : BAC75218
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:250 1636 IRP_MJ_READ : BAC7523C
22:18:32:250 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:250 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BAC745F0
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: USBSTOR
22:18:32:250 1636 IRP_MJ_CREATE : BAC75218
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:250 1636 IRP_MJ_READ : BAC7523C
22:18:32:250 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:250 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BAC745F0
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:265 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:265 1636
22:18:32:265 1636 Driver Name: USBSTOR
22:18:32:265 1636 IRP_MJ_CREATE : BAC75218
22:18:32:265 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:265 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:265 1636 IRP_MJ_READ : BAC7523C
22:18:32:265 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:265 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:265 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:265 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:265 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:265 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:265 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_POWER : BAC745F0
22:18:32:265 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:265 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:265 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:265 1636
22:18:32:265 1636 Driver Name: USBSTOR
22:18:32:265 1636 IRP_MJ_CREATE : BAC75218
22:18:32:265 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:265 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:265 1636 IRP_MJ_READ : BAC7523C
22:18:32:265 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:265 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:265 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:265 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:265 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:265 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:265 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_POWER : BAC745F0
22:18:32:265 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:265 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:265 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:265 1636
22:18:32:265 1636 Driver Name: Disk
22:18:32:265 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:265 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:265 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:265 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:265 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:265 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:265 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:265 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:265 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:265 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:265 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:265 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:265 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:265 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:265 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:265 1636
22:18:32:265 1636 Driver Name: atapi
22:18:32:265 1636 IRP_MJ_CREATE : 899F3D08
22:18:32:265 1636 IRP_MJ_CREATE_NAMED_PIPE : 899F3D08
22:18:32:265 1636 IRP_MJ_CLOSE : 899F3D08
22:18:32:265 1636 IRP_MJ_READ : 899F3D08
22:18:32:265 1636 IRP_MJ_WRITE : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_INFORMATION : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_INFORMATION : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_EA : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_EA : 899F3D08
22:18:32:265 1636 IRP_MJ_FLUSH_BUFFERS : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_VOLUME_INFORMATION : 899F3D08
22:18:32:265 1636 IRP_MJ_DIRECTORY_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_DEVICE_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_SHUTDOWN : 899F3D08
22:18:32:265 1636 IRP_MJ_LOCK_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_CLEANUP : 899F3D08
22:18:32:265 1636 IRP_MJ_CREATE_MAILSLOT : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_SECURITY : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_SECURITY : 899F3D08
22:18:32:265 1636 IRP_MJ_POWER : 899F3D08
22:18:32:265 1636 IRP_MJ_SYSTEM_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_DEVICE_CHANGE : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_QUOTA : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_QUOTA : 899F3D08
22:18:32:296 1636 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
22:18:32:296 1636
22:18:32:296 1636 Completed
22:18:32:296 1636
22:18:32:296 1636 Results:
22:18:32:296 1636 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
22:18:32:296 1636 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
22:18:32:296 1636 File objects infected / cured / cured on reboot: 0 / 0 / 0
22:18:32:296 1636
22:18:32:296 1636 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
22:18:32:296 1636 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
22:18:32:296 1636 KLMD(ARK) unloaded successfully
0
Réponse 7 / 42
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
2 mai 2010 à 23:35
Bien, ton PC va t-il mieux ??

On continue :

● Télécharge Defogger.exe sur ton bureau

● Double clique sur Defogger.exe

● Une fenêtre apparaît, clique sur Disable

● Redémarre ton PC si l'outil le demande


Puis :

● Télécharge gmer sur ton bureau à partir de ce lien ==> http://www.gmer.net/#files en cliquant sur le bouton "Download EXE".
Note : le fichier téléchargé aura un nom aléatoire, c'est normal, garde ce nom

● Lance gmer à partir du fichier au nom aléatoire

● Un scan va se lancer dès le lancement, laisse le faire.

● Si il détecte tout de suite le rootkit, il va te proposer de scanner le PC en entier, accepte.
● Sinon, coche sur la droite les cases "Services", "Registry" et "Files" et clique sur le bouton scan

● Laisse travailler l'outil

● A la fin du scan, clique sur le bouton Save... et enregistre le rapport sur ton bureau

● Copie/colle le contenu du rapport dans ta réponse
1
béa
3 mai 2010 à 19:44
bonsoir, les psudos !!! aujourd'hui à l'ouverture du pc pas d'alerte, ouf un peu de stabilité . Hier j'ai retéléchargé avira j'espère que je n'ai pas fait de connerie. j'ai bien téléchargé deffoger mais je rencontre quelques difficultés pour le scan de gmer, ça beugue , la page est blanche. Je vais fermer toutes les applications et me déconnecter pour refaire ça tranquille. Merci encore, c'est de longue haleine mais je ne perd pas courage ;;;la suite bientôt avec le rapport
0
béa
3 mai 2010 à 21:36
bon et ben c'est compliqué tout ça , maintenant au démarrage un messag "virtual SCSI driver not detected" s'affiche , je ne sais pas si faut que je clique sur ok ou pas ?

puis voici le rapport de Deffoger puis celui de gmer enfin !!! mais se fut laborieux et l'annonce "the file has been saved successfully" s'est affiché ???? pour gmer

22:18:31:859 1636 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
22:18:31:859 1636 ================================================================================
22:18:31:859 1636 SystemInfo:

22:18:31:859 1636 OS Version: 5.1.2600 ServicePack: 3.0
22:18:31:859 1636 Product type: Workstation
22:18:31:859 1636 ComputerName: SWEET-E8A020C74
22:18:31:859 1636 UserName: Administrateur
22:18:31:859 1636 Windows directory: C:\WINDOWS
22:18:31:859 1636 Processor architecture: Intel x86
22:18:31:859 1636 Number of processors: 2
22:18:31:859 1636 Page size: 0x1000
22:18:31:859 1636 Boot type: Normal boot
22:18:31:859 1636 ================================================================================
22:18:31:859 1636 UnloadDriverW: NtUnloadDriver error 2
22:18:31:859 1636 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
22:18:31:859 1636 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
22:18:31:859 1636 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:18:31:859 1636 wfopen_ex: Trying to KLMD file open
22:18:31:859 1636 wfopen_ex: File opened ok (Flags 2)
22:18:31:859 1636 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
22:18:31:859 1636 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:18:31:859 1636 wfopen_ex: Trying to KLMD file open
22:18:31:859 1636 wfopen_ex: File opened ok (Flags 2)
22:18:31:859 1636 Initialize success
22:18:31:859 1636
22:18:31:859 1636 Scanning Services ...
22:18:32:203 1636 Raw services enum returned 337 services
22:18:32:203 1636
22:18:32:203 1636 Scanning Kernel memory ...
22:18:32:203 1636 Devices to scan: 12
22:18:32:203 1636
22:18:32:203 1636 Driver Name: Disk
22:18:32:203 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:203 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:203 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:203 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:203 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:203 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:203 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:203 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:203 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:203 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:203 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:203 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:203 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:203 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:203 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:203 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:203 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:203 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:203 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:203 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:203 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:203 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:203 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:203 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:203 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:203 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:203 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:234 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:234 1636
22:18:32:234 1636 Driver Name: USBSTOR
22:18:32:234 1636 IRP_MJ_CREATE : BAC75218
22:18:32:234 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:234 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:234 1636 IRP_MJ_READ : BAC7523C
22:18:32:234 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:234 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:234 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:234 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:234 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:234 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:234 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:234 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:234 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:234 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:234 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:234 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:234 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:234 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:234 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:234 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:234 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:234 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:234 1636 IRP_MJ_POWER : BAC745F0
22:18:32:234 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:234 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:234 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:234 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: Disk
22:18:32:250 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:250 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:250 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: Disk
22:18:32:250 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:250 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:250 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: Disk
22:18:32:250 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:250 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:250 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: Disk
22:18:32:250 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:250 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:250 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:250 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: USBSTOR
22:18:32:250 1636 IRP_MJ_CREATE : BAC75218
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:250 1636 IRP_MJ_READ : BAC7523C
22:18:32:250 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:250 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BAC745F0
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:250 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:250 1636
22:18:32:250 1636 Driver Name: USBSTOR
22:18:32:250 1636 IRP_MJ_CREATE : BAC75218
22:18:32:250 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:250 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:250 1636 IRP_MJ_READ : BAC7523C
22:18:32:250 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:250 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:250 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:250 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:250 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:250 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:250 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:250 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:250 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:250 1636 IRP_MJ_POWER : BAC745F0
22:18:32:250 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:250 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:250 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:250 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:265 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:265 1636
22:18:32:265 1636 Driver Name: USBSTOR
22:18:32:265 1636 IRP_MJ_CREATE : BAC75218
22:18:32:265 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:265 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:265 1636 IRP_MJ_READ : BAC7523C
22:18:32:265 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:265 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:265 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:265 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:265 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:265 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:265 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_POWER : BAC745F0
22:18:32:265 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:265 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:265 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:265 1636
22:18:32:265 1636 Driver Name: USBSTOR
22:18:32:265 1636 IRP_MJ_CREATE : BAC75218
22:18:32:265 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:265 1636 IRP_MJ_CLOSE : BAC75218
22:18:32:265 1636 IRP_MJ_READ : BAC7523C
22:18:32:265 1636 IRP_MJ_WRITE : BAC7523C
22:18:32:265 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:265 1636 IRP_MJ_FLUSH_BUFFERS : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_DEVICE_CONTROL : BAC75180
22:18:32:265 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BAC709E6
22:18:32:265 1636 IRP_MJ_SHUTDOWN : 804F4552
22:18:32:265 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:265 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_POWER : BAC745F0
22:18:32:265 1636 IRP_MJ_SYSTEM_CONTROL : BAC72A6E
22:18:32:265 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:265 1636 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
22:18:32:265 1636
22:18:32:265 1636 Driver Name: Disk
22:18:32:265 1636 IRP_MJ_CREATE : BA8EEBB0
22:18:32:265 1636 IRP_MJ_CREATE_NAMED_PIPE : 804F4552
22:18:32:265 1636 IRP_MJ_CLOSE : BA8EEBB0
22:18:32:265 1636 IRP_MJ_READ : BA8E8D1F
22:18:32:265 1636 IRP_MJ_WRITE : BA8E8D1F
22:18:32:265 1636 IRP_MJ_QUERY_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_EA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_EA : 804F4552
22:18:32:265 1636 IRP_MJ_FLUSH_BUFFERS : BA8E92E2
22:18:32:265 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_SET_VOLUME_INFORMATION : 804F4552
22:18:32:265 1636 IRP_MJ_DIRECTORY_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_DEVICE_CONTROL : BA8E93BB
22:18:32:265 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA8ECF28
22:18:32:265 1636 IRP_MJ_SHUTDOWN : BA8E92E2
22:18:32:265 1636 IRP_MJ_LOCK_CONTROL : 804F4552
22:18:32:265 1636 IRP_MJ_CLEANUP : 804F4552
22:18:32:265 1636 IRP_MJ_CREATE_MAILSLOT : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_SET_SECURITY : 804F4552
22:18:32:265 1636 IRP_MJ_POWER : BA8EAC82
22:18:32:265 1636 IRP_MJ_SYSTEM_CONTROL : BA8EF99E
22:18:32:265 1636 IRP_MJ_DEVICE_CHANGE : 804F4552
22:18:32:265 1636 IRP_MJ_QUERY_QUOTA : 804F4552
22:18:32:265 1636 IRP_MJ_SET_QUOTA : 804F4552
22:18:32:265 1636 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:18:32:265 1636
22:18:32:265 1636 Driver Name: atapi
22:18:32:265 1636 IRP_MJ_CREATE : 899F3D08
22:18:32:265 1636 IRP_MJ_CREATE_NAMED_PIPE : 899F3D08
22:18:32:265 1636 IRP_MJ_CLOSE : 899F3D08
22:18:32:265 1636 IRP_MJ_READ : 899F3D08
22:18:32:265 1636 IRP_MJ_WRITE : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_INFORMATION : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_INFORMATION : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_EA : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_EA : 899F3D08
22:18:32:265 1636 IRP_MJ_FLUSH_BUFFERS : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_VOLUME_INFORMATION : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_VOLUME_INFORMATION : 899F3D08
22:18:32:265 1636 IRP_MJ_DIRECTORY_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_FILE_SYSTEM_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_DEVICE_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_INTERNAL_DEVICE_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_SHUTDOWN : 899F3D08
22:18:32:265 1636 IRP_MJ_LOCK_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_CLEANUP : 899F3D08
22:18:32:265 1636 IRP_MJ_CREATE_MAILSLOT : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_SECURITY : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_SECURITY : 899F3D08
22:18:32:265 1636 IRP_MJ_POWER : 899F3D08
22:18:32:265 1636 IRP_MJ_SYSTEM_CONTROL : 899F3D08
22:18:32:265 1636 IRP_MJ_DEVICE_CHANGE : 899F3D08
22:18:32:265 1636 IRP_MJ_QUERY_QUOTA : 899F3D08
22:18:32:265 1636 IRP_MJ_SET_QUOTA : 899F3D08
22:18:32:296 1636 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
22:18:32:296 1636
22:18:32:296 1636 Completed
22:18:32:296 1636
22:18:32:296 1636 Results:
22:18:32:296 1636 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
22:18:32:296 1636 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
22:18:32:296 1636 File objects infected / cured / cured on reboot: 0 / 0 / 0
22:18:32:296 1636
22:18:32:296 1636 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
22:18:32:296 1636 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
22:18:32:296 1636 KLMD(ARK) unloaded successfully


GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-03 21:16:30
Windows 5.1.2600 Service Pack 3
Running: sj578hwi.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\awxdrfow.sys


---- System - GMER 1.0.15 ----

SSDT BAFB8706 ZwCreateKey
SSDT BAFB86FC ZwCreateThread
SSDT BAFB870B ZwDeleteKey
SSDT BAFB8715 ZwDeleteValueKey
SSDT BAFB871A ZwLoadKey
SSDT BAFB86E8 ZwOpenProcess
SSDT BAFB86ED ZwOpenThread
SSDT BAFB8724 ZwReplaceKey
SSDT BAFB871F ZwRestoreKey
SSDT BAFB8710 ZwSetValueKey
SSDT BAFB86F7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2DB8 80504654 4 Bytes CALL 870B41DF
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9DD5360, 0x37192D, 0xE8000020]
init C:\WINDOWS\system32\drivers\monfilt.sys entry point in "init" section [0xB7818280]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[172] ole32.dll!CoRegisterClassObject 774D7E90 5 Bytes JMP 00D14180 c:\Program Files\Bandoo\Plugins\MSN\MSNPlugin.dll (Bandoo MSN Plugin/Discordia Limited)
.text C:\WINDOWS\Explorer.EXE[1684] SHELL32.dll!SHFileOperationW 7CA80924 5 Bytes JMP 10001102 C:\Program Files\Unlocker\UnlockerHook.dll

---- EOF - GMER 1.0.15 ----

et celui
0
Réponse 8 / 42
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
3 mai 2010 à 23:25
Bien, je crois que l'on tient le bon bout, la suite :

● Relance Defogger présent sur ton bureau

● Clique sur le bouton "Re-enable"

● Redémarre ton PC si nécessaire


Puis :

● Télécharge ZHPDiag de Nicolas Coolman sur ton bureau en cliquant sur le bouton télécharger

● Double clique sur le fichier téléchargé pour lancer l'installation

● Laisse toi guider pendant l'installation. Coche la case pour créer un raccourci sur le bureau et exécute ZHPDiag à la fin de l'installation

● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse

Aide en images
1
béa
4 mai 2010 à 19:35
bonjour, tu m'as déjà fait télécharger ZHPDiag est-ce que je devais le supprimer ?? j'ai gardé sur mon bureau tous les sites que tu me proposes depuis le début.
je scanne donc à partir de celui que j'ai déjà téléchargé, tu me diras sinon.
0
béa
4 mai 2010 à 19:45
voici le rapport sur
http://www.cijoint.fr/cjlink.php?file=cj201005/cijpLjMjMW.txt
0
Réponse 9 / 42
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
5 mai 2010 à 12:34
On supprimera les outils à la fin de la désinfection, on continue :

● Double clique sur ZHPFix qui présent sur ton bureau

● Clique sur l'icône représentant un H vert

● Copie puis colle le texte suivant dans le cadre jaune de ZHPFix : 




O64 - Services: CurCS - (.not file.) - zgdnhgob (zgdnhgob)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ZGDNHGOB
MBRFix




● Clique sur le bouton Tous puis sur Nettoyer

● Copie/colle le rapport qui apparaîtra à la fin
1
béa
Modifié par béa le 5/05/2010 à 18:19
voici le rapport le texte que tu proposes était déjà inscrit dans le cadre jaune !!

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - (.not file.) - zgdnhgob (zgdnhgob) .(.Pas de propriétaire - Pas de description.) - LEGACY_ZGDNHGOB => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89A8DA78]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89a8da78
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 19
Autre : 0


End of the scan
0
Réponse 10 / 42
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
5 mai 2010 à 18:54
Parfait, maintenant, lance MalwareBytes, fais une mise à jour et un scan complet de ton PC.
1
béa
5 mai 2010 à 20:30
voici le rapport du scan malwarebytes par contre pendant le scan 5 alertes d'avira qui a mis en quarantaine cheval de troie bffff

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4042

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05/05/2010 20:21:03
mbam-log-2010-05-05 (20-21-03).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 181555
Temps écoulé: 28 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
béa
5 mai 2010 à 20:31
info : pendant le scan mon fils était sur msm
0
Réponse 11 / 42
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
5 mai 2010 à 20:49
Ok, fais un scan avec Avira pour être sûr.
Pense à faire une mise à jour avant et active la recherche de rootkit ==> image
1
béa
5 mai 2010 à 22:02
voici le rapport d'avira


Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 5 mai 2010 21:39

La recherche porte sur 2075343 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Administrateur
Nom de l'ordinateur : SWEET-E8A020C74

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 01/05/2010 20:23:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:23:20
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:23:20
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:23:20
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:23:20
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 20:23:20
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:23:20
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 20:23:20
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 20:23:20
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 20:23:20
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 20:23:20
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 20:23:20
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 20:23:20
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 20:23:20
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 20:23:20
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 20:23:20
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 20:23:20
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 20:23:20
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 20:23:20
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 20:23:21
VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 20:23:21
VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 19:24:13
VBASE021.VDF : 7.10.7.27 2048 Bytes 04/05/2010 19:24:13
VBASE022.VDF : 7.10.7.28 2048 Bytes 04/05/2010 19:24:13
VBASE023.VDF : 7.10.7.29 2048 Bytes 04/05/2010 19:24:13
VBASE024.VDF : 7.10.7.30 2048 Bytes 04/05/2010 19:24:13
VBASE025.VDF : 7.10.7.31 2048 Bytes 04/05/2010 19:24:13
VBASE026.VDF : 7.10.7.32 2048 Bytes 04/05/2010 19:24:13
VBASE027.VDF : 7.10.7.33 2048 Bytes 04/05/2010 19:24:14
VBASE028.VDF : 7.10.7.34 2048 Bytes 04/05/2010 19:24:14
VBASE029.VDF : 7.10.7.35 2048 Bytes 04/05/2010 19:24:14
VBASE030.VDF : 7.10.7.36 2048 Bytes 04/05/2010 19:24:14
VBASE031.VDF : 7.10.7.46 102912 Bytes 05/05/2010 19:24:21
Version du moteur : 8.2.1.236
AEVDF.DLL : 8.1.2.0 106868 Bytes 01/05/2010 20:23:21
AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 05/05/2010 19:25:17
AESCN.DLL : 8.1.5.0 127347 Bytes 01/05/2010 20:23:21
AESBX.DLL : 8.1.3.1 254324 Bytes 01/05/2010 20:23:21
AERDL.DLL : 8.1.4.6 541043 Bytes 01/05/2010 20:23:21
AEPACK.DLL : 8.2.1.1 426358 Bytes 01/05/2010 20:23:21
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01/05/2010 20:23:21
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05/05/2010 19:25:01
AEHELP.DLL : 8.1.11.3 242039 Bytes 01/05/2010 20:23:21
AEGEN.DLL : 8.1.3.7 373106 Bytes 01/05/2010 20:23:21
AEEMU.DLL : 8.1.2.0 393588 Bytes 01/05/2010 20:23:21
AECORE.DLL : 8.1.15.1 192886 Bytes 05/05/2010 19:24:25
AEBB.DLL : 8.1.1.0 53618 Bytes 01/05/2010 20:23:21
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 01/05/2010 20:23:21
AVREP.DLL : 8.0.0.7 159784 Bytes 01/05/2010 20:23:22
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 01/05/2010 20:23:19
RCTEXT.DLL : 9.0.73.0 88321 Bytes 01/05/2010 20:23:19

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Recherche de Rootkits
Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé
Catégories de dangers divergentes.............: +SPR,

Début de la recherche : mercredi 5 mai 2010 21:39

La recherche d'objets cachés commence.
'406305' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\cmdow.exe
[RESULTAT] Contient le modèle de détection du programme SPR/HideWindows.I

Début de la désinfection :
C:\WINDOWS\system32\cmdow.exe
[RESULTAT] Contient le modèle de détection du programme SPR/HideWindows.I
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c45cdc1.qua' !


Fin de la recherche : mercredi 5 mai 2010 21:56
Temps nécessaire: 16:43 Minute(s)

La recherche a été effectuée intégralement

11574 Les répertoires ont été contrôlés
196762 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
196760 Fichiers non infectés
1581 Les archives ont été contrôlées
1 Avertissements
2 Consignes
406305 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
béa
5 mai 2010 à 22:06
c'est quoi un Spr ?
0
Réponse 12 / 42
Utilisateur anonyme
Modifié par nathandre le 25/05/2010 à 13:00
Bonjour
La personne qui t'aide est partie en vacances

des mises à jours ne peuvent plus s'effectuer du genre mise à jour windoxs Xp kb905474 KB970430 ET KB 976662 ainsi que l'outil de suppression de logiciel malveillant KB 890830.

C'est plutôt normal, car tu as un Windows qui n'est pas officiel
C'est un vrai danger pour les PC, car tu peux avoir des problèmes avec
les mises à jour, et ton Windows va comporter des failles de sécurité, et
tu vas attraper sans arrêt des cochonneries qui vont exploiter ces failles
1
béa 33
25 mai 2010 à 18:02
Bonjour, comment ça il n'est pas officiel ??? j'ai payé l'ensemble 400 euros chez un monteur. Jusqu'à présent les mises à jour s'effectuaient normalement !!
0
Réponse 13 / 42
Utilisateur anonyme
26 mai 2010 à 21:32
Bonsoir
C'est normal, car c'est un nettoyeur de tools

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau
http://sd-1.archive-host.com/...
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Une fois terminée , clic sur "terminer" et le programme se lancera seul

Choisis l'option Search

Une icône blanche et noire va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
Une autre rouge et noir te servira a désinstaller le prog a la fin de la désinfection.

? laisse travailler l'outil

A l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

Un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"
1
béa 33
27 mai 2010 à 21:20
je te suis
voici le lien où tu trouveras le rapport de list killem
http://www.cijoint.fr/cjlink.php?file=cj201005/cij7HgENbJ.txt
0
Réponse 14 / 42
Utilisateur anonyme
28 mai 2010 à 00:10
? Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

? choisis l'Option Clean

Ton PC va redemarrer,

Laisse travailler l'outil.

En fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

? Colle le contenu dans ta réponse
1
béa
28 mai 2010 à 00:39
voici le fichier
http://www.cijoint.fr/cjlink.php?file=cj201005/cijbfHpUp9.txt
pour ce soir merci à toi je reprend espoir
je vais me coucher je suis nase
à plus tard
0
Réponse 15 / 42
Utilisateur anonyme
28 mai 2010 à 13:51
Bonjour
* Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag)

* Copie/colle la ligne suivante et place la dans ZHPFix :
MBRFix

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
1
béa
Modifié par béa le 28/05/2010 à 21:17
bonsoir j'ai du réinstaller ZHPDiag la ligne existait déjà.
Voici le rapport
ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 28/05/2010 21:10:47
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89AF0100]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89af0100
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 19
Autre : 0


End of the scan
0
Réponse 16 / 42
Utilisateur anonyme
Modifié par nathandre le 29/05/2010 à 23:05
Une cause de la disparition de la barre des taches se nomme Object Docks de Stardock qui désactive la barre des taches. Pour la réactiver : Fait un clique droit sur ta barre Object dock et dans général décoche hide the windows taskbar.

Si elle disparait au bout de quelque temps mais qu'elle réapparait quand tu places ton curseur en bas de l'écran fait un clique droit dessus puis propriété et Décoche masquer automatiquement la barre des taches, puis coche verrouiller la barre des taches.
1
béa
30 mai 2010 à 10:06
apparemment ma barre des taches est verrouillée, avant quand elle disparaissait elle réapparaissait dès que le curseur passait dessus, plus maintenant.

Je n'ai pas trouver le général en clic droit donc pas de hide the windows taskbar. (je suis sur

windows Xp, peut-être que c'est une manip pour vista.
0
béa
30 mai 2010 à 20:20
bonjour, aujourd'hui, pour ma fête (!!!) le pc reste stable !!!
un grand merci encore pour l'aide que toi et H3RV3 m'avez prodigué. deux mois de bataille pff!! j'attends encore un peu pour confirmer que tout va bien
0
Réponse 17 / 42
Utilisateur anonyme
31 mai 2010 à 23:53
y aurai-t-il pas un problème avec le service spooler ?
si l'imprimante ne reçoit plus d'infos peut-être que le service spooler est désactivé
enfin, je dis ça comme ça, c'est peut-être pas ça
1
béa
1 juin 2010 à 21:37
c'est quoi le service spooler (quelle novice je fais !!!)
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
Modifié par H3RV3 le 1/06/2010 à 23:12
Il s'agit du service de Windows qui permet de gérer les impressions.
As-tu reçu un CD de Windows ?

Pour la suite, on va réessayer Gmer :

● TéléchargeDefogger.exe sur ton bureau

● Double clique sur Defogger.exe

● Clique sur le bouton "Disable"

● Redémarre ton PC si l'outil le demande


● Télécharge gmer sur ton bureau
Note : le fichier téléchargé aura un nom aléatoire, c'est normal, garde ce nom

● Lance gmer à partir du fichier au nom aléatoire

● Un scan va se lancer dès le lancement, laisse le faire.

● Si il détecte tout de suite le rootkit, il va te proposer de scanner le PC en entier, accepte.
● Sinon, coche sur la droite les cases "Services", "Registry" et "Files" et clique sur le bouton scan

● Laisse travailler l'outil

● A la fin du scan, clique sur le bouton Save... et enregistre le rapport sur ton bureau

● Copie/colle le contenu du rapport dans ta réponse
0
bea
13 juin 2010 à 21:50
Me revoila, emploie du temps chargé

non pas de CD,
au démarrage DAEMON TOOLS signale "virtual SESI driver not detected"

après plusieurs tentatives avec GMER , je ne retrouve pas le rapport (pas sur le bureau comme les autres ???) le dernier tentative le scan a provoqué une erreur : fond bleu et signale entre autre " PFN_LIST_Corrupt" , ça a disparue au redémarrage. Autrement apparemment le pc est plutôt stable d'après le dire de mon fils !!!
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
14 juin 2010 à 10:31
Salut,

Est ce que tout refonctionne correctement ?
(imprimante, navigateur internet..)
0
béa
14 juin 2010 à 18:40
cela fonctionne, plus de fenêtre transparente ni de beugage , je croise les doigts il reste stable !!!!
0
Réponse 18 / 42
Utilisateur anonyme
22 avril 2010 à 21:11
Oui, tout à fait, mets les deux liens de ci-joint.
0
béa
22 avril 2010 à 21:47
lien info.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijug8bkRB.txt

lien log.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijzjkUMEV.txt

j'espère sans erreur !
0
Réponse 19 / 42
Utilisateur anonyme
Modifié par sansfilet le 22/04/2010 à 23:34
Essaie après avoir désactiver l'UAC Aide en images.

Et lance gmer en faisant un clic droit dessus et en choisissant "exécuter en tant qu'administrateur".
0
béa
22 avril 2010 à 23:47
mais ce qui me chiffone c'est que je ne suis pas sous windows vista mais windows xp sweet
c'est plus longtemps pour suivre les chemins qu'il propose
0
béa
23 avril 2010 à 00:07
mon ordinateur refuse l'accés
0
Réponse 20 / 42
Utilisateur anonyme
23 avril 2010 à 08:56
Salut,

"windows xp sweet" : ok, le soucis doit venir de là..
0
béa
23 avril 2010 à 17:59
qu'est ce que je peux faire alors ???
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Casque sans fil senheiser TR 120
Thiet78 -
baladur13 -

2 réponses