Virus rootkit-gen

Julio123 -  
 Utilisateur anonyme -
Bonsoir à tous,
suite à une infection par Antimalware Doctor (réglé avec MBAM), lorsque je démarre mon PC, explorer ne s'ouvre pas, la fenêtre Mes docs s'ouvrant à la place. Malgré ceci, en arrêtant le processus explorer dans le gestionnaire et en le relançant, le "vrai" explorer s'ouvre.
De même, et là se situe mon problème actuel, il se trouve qu'avast a trouvé le virus rootkit-gen avec un svchost.exe dans le fichier temp qui revient tout le temps.

Quelqu'un pourrait-il m'aider à éliminer ce fichu virus qui me gâche la vie?

Merci d'avance!

3 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection /!\

    * Télécharge combofix(de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
    #Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
    Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

    Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
    0
  2. Julio123
     
    Bonjour!

    Merci pour ton aide!
    J'ai fait ce que tu m'as dis, tout ne s'est pas passé comme cela aurait du (compte-tenu du nombre de redémarrage, de fois au j'ai relancé Combofix et du fait qu'il ne m'a pas demandé d'installer la console de récupération..), mais j'ai cependant obtenu le Combofix.txt que je te post maintenant:

    ComboFix 10-04-26.02 - Julio 27/04/2010 0:56.2.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3036.2142 [GMT 2:00]
    Lancé depuis: c:\users\Julio\Desktop\ComboFix.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\Julio\AppData\Roaming\3D7BBCB02450B8EB0246AEDD8E5BA803
    c:\users\Julio\AppData\Roaming\3D7BBCB02450B8EB0246AEDD8E5BA803\enemies-names.txt
    c:\users\Julio\Documents\22042010_registre.reg
    c:\windows\system32\587650.exe
    c:\windows\system32\97051.exe
    c:\windows\system32\drivers\npf.sys
    c:\windows\system32\Packet.dll
    c:\windows\system32\wpcap.dll

    Une copie infectée de c:\windows\system32\drivers\termdd.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-26 au 2010-04-26 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-26 23:08 . 2010-04-26 23:12 -------- d-----w- c:\users\Julio\AppData\Local\temp
    2010-04-26 23:08 . 2010-04-26 23:08 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-04-26 22:45 . 2010-04-26 22:46 -------- d-----w- C:\32788R22FWJFW
    2010-04-26 19:21 . 2010-04-26 20:15 -------- d-----w- c:\users\Julio\AppData\Roaming\QuickScan
    2010-04-26 19:20 . 2010-04-13 13:58 670696 ----a-w- c:\users\Julio\AppData\Roaming\Mozilla\Firefox\Profiles\1dyag7cu.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    2010-04-26 19:20 . 2010-04-13 13:58 833960 ----a-w- c:\users\Julio\AppData\Roaming\Mozilla\Firefox\Profiles\1dyag7cu.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    2010-04-26 18:02 . 2010-04-26 22:17 -------- d-----w- c:\windows\system32\catroot2
    2010-04-23 12:46 . 2010-04-23 12:46 -------- d-----w- c:\program files\CCleaner
    2010-04-22 21:41 . 2010-04-22 21:41 -------- d-----w- c:\users\Julio\AppData\Local\Apps
    2010-04-22 17:50 . 2010-04-22 17:50 -------- d-----w- c:\users\Julio\AppData\Roaming\Malwarebytes
    2010-04-22 17:50 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-22 17:50 . 2010-04-22 17:50 -------- d-----w- c:\programdata\Malwarebytes
    2010-04-22 17:50 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-22 17:50 . 2010-04-22 17:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-04-18 11:40 . 2010-04-18 11:40 -------- d-----w- c:\program files\DAEMON Tools Lite
    2010-04-14 16:10 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-04-14 16:10 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
    2010-04-14 16:10 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
    2010-04-14 16:05 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    2010-04-14 16:05 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2010-04-14 16:05 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-04-14 16:05 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-04-14 16:05 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-04-14 16:05 . 2010-03-05 14:01 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-04-14 15:47 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
    2010-04-14 15:46 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-26 23:14 . 2010-01-14 13:29 -------- d-----w- c:\program files\Steam
    2010-04-26 23:12 . 2008-07-02 08:00 64415 ----a-w- c:\programdata\nvModes.dat
    2010-04-26 23:01 . 2008-01-21 08:40 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-26 23:01 . 2008-01-21 08:40 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-25 20:31 . 2008-07-02 08:49 -------- d-----w- c:\program files\Google
    2010-04-21 21:35 . 2009-08-19 22:05 -------- d-----w- c:\users\Julio\AppData\Roaming\vlc
    2010-04-21 21:35 . 2010-03-04 00:26 1356 ----a-w- c:\users\Julio\AppData\Local\d3d9caps.dat
    2010-04-21 21:34 . 2009-09-13 22:16 -------- d-----w- c:\users\Julio\AppData\Roaming\dvdcss
    2010-04-18 11:40 . 2009-09-08 14:59 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
    2010-04-18 11:40 . 2009-09-08 15:04 -------- d-----w- c:\programdata\DAEMON Tools Lite
    2010-04-16 06:04 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-04-15 16:06 . 2008-07-02 12:24 -------- d-----w- c:\programdata\Microsoft Help
    2010-04-11 21:34 . 2009-07-05 17:14 181096 ----a-w- c:\users\Julio\AppData\Roaming\Mozilla\Firefox\Profiles\1dyag7cu.default\FlashGot.exe
    2010-03-30 15:35 . 2010-01-14 13:29 -------- d-----w- c:\program files\Common Files\Steam
    2010-03-15 19:06 . 2008-07-02 08:03 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-03-15 15:45 . 2010-03-15 15:45 -------- d-----w- c:\programdata\BioWare
    2010-03-15 12:48 . 2008-07-02 08:49 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
    2010-03-15 12:48 . 2010-03-15 12:48 -------- d-----w- c:\programdata\Media Center Programs
    2010-03-15 12:48 . 2010-03-15 12:19 -------- d-----w- c:\program files\Common Files\BioWare
    2010-02-24 21:23 . 2009-06-25 11:06 84272 ----a-w- c:\users\Julio\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-02-24 08:16 . 2009-10-04 18:40 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-23 06:39 . 2010-03-31 16:50 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-23 06:33 . 2010-03-31 16:50 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-02-23 06:33 . 2010-03-31 16:50 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-02-23 04:55 . 2010-03-31 16:50 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2010-02-20 23:06 . 2010-03-11 17:02 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2010-02-20 23:05 . 2010-03-11 17:02 30720 ----a-w- c:\windows\system32\httpapi.dll
    2010-02-20 20:53 . 2010-03-11 17:02 411648 ----a-w- c:\windows\system32\drivers\http.sys
    2010-02-12 10:32 . 2010-03-16 17:01 293376 ----a-w- c:\windows\system32\browserchoice.exe
    2010-02-06 12:08 . 2010-02-06 12:08 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
    2010-01-14 13:29 . 2010-01-14 13:28 10970112 ----a-w- c:\program files\SteamInstall_French.msi
    2010-01-06 16:53 . 2010-01-06 16:53 1164624 ----a-w- c:\program files\wlsetup-custom.exe
    2006-01-25 09:15 . 2010-01-10 19:28 190403869 ----a-w- c:\program files\Portable MS Office 2003 usbtools.exe
    2009-11-14 18:26 . 2009-11-14 18:26 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-04-24 430080]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-02 68856]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
    "Steam"="c:\program files\steam\steam.exe" [2010-04-26 1238352]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HWSetup"="\HWSetup.exe hwSetUP" [X]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
    "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
    "ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
    "Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-04-29 417792]
    "NDSTray.exe"="NDSTray.exe" [BU]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-24 7719456]
    "HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-04-26 716800]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-14 30192]
    "Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-23 149280]
    "KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-29 13543968]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-29 92704]
    "SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2007-09-19 438272]
    "HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2007-10-31 54608]
    "00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-03-19 716800]
    "topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
    "TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-01-17 431456]
    "Toshiba TEMPO"="c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe" [2008-04-24 103824]
    "SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-01-25 509816]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2007-01-09 191552]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-4-14 2979144]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):a3,d3,96,ba,88,52,ca,01

    R1 zlvvderap9;zlvvderap9;c:\windows\system32\drivers\zlvvderap9.sys [x]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 135664]
    R2 mwcvclxv;NDIS System Controller;c:\windows\System32\svchost.exe [2008-01-21 21504]
    R3 DAUpdaterSvc;Dragon Age: Origins - Content Updater;e:\jeux\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-07-26 25832]
    R3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-11-14 30192]
    R3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys [x]
    R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-04-18 691696]
    S1 aswSP;avast! Self Protection; [x]
    S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
    S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2008-04-16 40960]
    S2 TempoMonitoringService;Notebook Performance Tuning Service ;c:\program files\Toshiba TEMPRO\TempoSVC.exe [2008-04-24 99720]
    S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [2007-12-03 126976]
    S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-05-21 86672]
    S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]
    S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-05-29 43040]
    S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe [2008-04-24 73728]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    mwcvclxv
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 20:31]

    2010-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 20:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA
    uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
    IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21
    FF - ProfilePath - c:\users\Julio\AppData\Roaming\Mozilla\Firefox\Profiles\1dyag7cu.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
    FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
    FF - component: c:\users\Julio\AppData\Roaming\Mozilla\Firefox\Profiles\1dyag7cu.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: c:\users\Julio\AppData\Roaming\Mozilla\Firefox\Profiles\1dyag7cu.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    ShellIconOverlayIdentifiers-{5F6BC6EC-379B-4181-AA8F-B3A51BDABA03} - (no file)
    HKLM-Run-cfFncEnabler.exe - cfFncEnabler.exe

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i???????Q]????P???x????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-2119385646-1358441445-4162008985-1000\Software\SecuROM\License information*]
    "datasecu"=hex:31,bc,a8,47,31,01,a2,d8,db,5a,87,f3,72,e5,e6,d7,f1,19,2d,56,48,
    82,78,45,15,18,0a,8b,2f,f3,86,ba,e7,bd,2f,d2,88,34,03,72,80,a0,c2,8f,f0,ed,\
    "rkeysecu"=hex:33,31,60,4a,59,36,2e,88,e4,05,b5,5e,66,b9,2f,6b

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\nvvsvc.exe
    c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
    c:\windows\system32\rundll32.exe
    c:\program files\Alwil Software\Avast4\aswUpdSv.exe
    c:\program files\Alwil Software\Avast4\ashServ.exe
    c:\windows\system32\agrsmsvc.exe
    c:\program files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
    c:\windows\system32\TODDSrv.exe
    c:\program files\Toshiba\Power Saver\TosCoSrv.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
    c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    c:\program files\Alwil Software\Avast4\ashMaiSv.exe
    c:\program files\Alwil Software\Avast4\ashWebSv.exe
    c:\windows\system32\conime.exe
    c:\program files\Alwil Software\Avast4\ashDisp.exe
    c:\program files\Toshiba\ConfigFree\NDSTray.exe
    c:\program files\Apoint2K\ApMsgFwd.exe
    c:\windows\System32\rundll32.exe
    c:\windows\ehome\ehmsas.exe
    c:\program files\Apoint2K\Apntex.exe
    c:\program files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
    c:\program files\Toshiba\ConfigFree\CFSwMgr.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
    c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
    c:\windows\servicing\TrustedInstaller.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-04-27 01:18:12 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-04-26 23:18

    Avant-CF: 7 984 529 408 octets libres
    Après-CF: 7 918 899 200 octets libres

    - - End Of File - - 456FB0A9C97BFAAA7E5A4E7E50AE8EF3

    Peux-tu m'indiquer si je suis bien débarrassé de Rootkit?

    Dans tous les cas, un grand merci!
    0
  3. Utilisateur anonyme
     
    éxécutes ce script et dis moi si tes problèmes ont disparus.

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Julio123 , il n'est pas transposable sur un autre ordinateur !
    * Télécharge ce dossier Julio123.zip
    * Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
    * Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau et pas ailleurs.
    * Désactive tes logiciels de protection
    * Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe
    comme ceci :http://img155.imageshack.us/img155/4837/cfscriptop0.gif
    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

    0