Cheval de Troie : PSW.Agent.AFCI

Ajdu49 -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Alors voila;
Depuis quelque temps AVGme signale que j'ai un cheval de troie ("Cheval de Troie : PSW.Agent.AFCI"). Il est toujours nommé svchost.exe, mais à différents endroits, si je laisse l'alerte il en marque plusieurs en différents endroit du dossier Temp ("C:\Windows\Temp\[ici ca varie a chaque fois, des noms comme cuor.tmp, guyh.tmp toussa]\svchost.exe")
J'ai fait un clean complet du registre et autres avec CCleaner, j'ai fait un scan complet avec Ad-Aware et AVG et supprimé ce que je trouvais, mais rien a faire, le virus revient ='(
Besoin d'aide. Merci d'avance

A voir également:

20 réponses

Réponse 1 / 20
Ajdu49
 
J'ai pas reussi a l'up, ca buguait partout, je l'envoie donc dans ses posts:

Rapport de ZHPDiag v1.25.1413 par Nicolas Coolman
Run by Alex at 28/04/2010 19:51:33
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html

---\\ Web Browser
MSIE: Internet Explorer v8.0.7600.16385
MFIE: Mozilla Firefox (3.6.3)

---\\ System Information
Platform : Windows 7 Home Premium (6.1.7600)
Processor: x86 Family 16 Model 4 Stepping 2, AuthenticAMD
Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 3325 MB (17% free)
System drive C: has 803 GB (86%) free of 931 GB

---\\ Logged in mode
Computer Name: DOU
User Name: Alex
Selected Option: O39,O40,O41,O42,O43,O44,O46,O47,O48,O49,O50,O51,O52,O53,O54,O55,O56,O57,O58,O59,O60,O62,O63,O64,O66,O67,O68,O69,O80
Logged in as Administrator

---\\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 803 Go of 931 Go)
D:\ Hard drive, Flash drive, Thumb drive (Free 0 Go of 0 Go)
E:\ Hard drive, Flash drive, Thumb drive (Free 0 Go of 0 Go)
F:\ CD-ROM drive (Not Inserted)


---\\ Security Center & Tools Informations
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiSpywareOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] NoDispScrSavPage: OK
0
Réponse 2 / 20
Ajdu49
 
---\\ Processus lancés
[MD5.6B67537ED035A6700FDA8F549048A06A] - (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304]
[MD5.6AFD3970A41F48306874DB23991A4955] - (.Wireless Service - ANIWZCS2 launcher for Windows..) -- C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe [49152]
[MD5.7991C89CA8CC0B11A1FC6CED3DA0C65F] - (.D-Link - D-Link Wireless LAN Monitor.) -- C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe [1675264]
[MD5.DE513A1E0BDFCB4F4E5432F80EBCD82E] - (.AVG Technologies CZ, s.r.o. - AVG Tray Monitor.) -- C:\PROGRA~1\AVG\AVG9\avgtray.exe [2064736]
[MD5.52DB6CDAC5BC7A1FC884E97C41C91213] - (.Sun Microsystems, Inc. - Java(TM) Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040]
[MD5.96B3C4E20F02CA16AA1E3E425BFFCC8B] - (.Microsoft Corporation - Gestionnaire pour appareils Windows Mobile.) -- C:\Windows\WindowsMobile\wmdc.exe [648072]
[MD5.55D7A219AD8D0DB8980528944152A6FD] - (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe [417792]
[MD5.68A553BDFA855C4F1074696682FCDEB6] - (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe [141600]
[MD5.F91F52F4EA5D88DAB6245682A16F3A72] - (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [36272]
[MD5.DB1DB28467111A24664933AB8908CBCE] - (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [952768]
[MD5.18B4B12358EFCF68D76812058A26181F] - (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe [3883856]
[MD5.BF9EAB227D409CE1E75C23BB10CF5DBC] - (.Skype Technologies S.A. - Skype.) -- C:\Program Files\Skype\Phone\Skype.exe [25623336]
[MD5.9B21347A00F9D8E9BB2E2928C45D9995] - (.Pas de propriétaire - Creative Sync Manager.) -- C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe [868352]
[MD5.896A1DB9A972AD2339C2E8569EC926D1] - (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2144088]
[MD5.EA6EADF6314E43783BA8EEE79F93F73C] - (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files\Windows Sidebar\Sidebar.exe [1173504]
[MD5.BBA1A5B86134F496B926DDAF247DB871] - (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe [93696]
[MD5.B19505648F033393E907E2E419FDE8B3] - (.AMD - AMD External Events Service Module.) -- C:\Windows\system32\atiesrxx.exe [176128]
[MD5.4B5AE15E5C73EB4DC8DBEC2788230D41] - (.Apple Inc. - Apple Mobile Device Service.) -- C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [144672]
[MD5.54A47F6B5E09A77E61649109C6A08866] - (.Microsoft Corporation - Processus hôte pour les services Windows.) -- C:\Windows\System32\svchost.exe [20992]
0
Réponse 3 / 20
Ajdu49
 
[MD5.A7FA230D63DEDEFBEAD66E566462234F] - (.AVG Technologies CZ, s.r.o. - AVG E-Mail Scanner.) -- C:\Program Files\AVG\AVG9\avgemc.exe [916760]
[MD5.2EC36C3F9F64FB0B55BA3C43C11293B1] - (.AVG Technologies CZ, s.r.o. - AVG Watchdog Service.) -- C:\Program Files\AVG\AVG9\avgwdsvc.exe [308064]
[MD5.3F56903E124E820AEECE6D471583C6C1] - (.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe [238888]
[MD5.3C8B6609712F4FF78E521F6DCFC4032B] - (.Creative Technology Ltd - Creative Service for CDROM Access.) -- C:\Windows\system32\CTsvcCDA.exe [44032]
[MD5.1A383F027D4F282E954C5AE30E5BCE50] - (.Lavasoft - Ad-Aware Service Application.) -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe [1181328]
[MD5.F42309C4191C506B71DB5D1126D26318] - (.Microsoft Corporation - Local Security Authority Process.) -- C:\Windows\system32\lsass.exe [22528]
[MD5.794D4B48DFB6E999537C7C3947863463] - (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [1153368]
[MD5.49B6DD6AB3715B7A67965F17194E98A9] - (.Microsoft Corporation - Application sous-système spouleur.) -- C:\Windows\System32\spoolsv.exe [316416]
[MD5.4C287F9069FEDBD791178876EE9DE536] - (.Microsoft Corporation - Service de la plateforme de protection logi.) -- C:\Windows\system32\sppsvc.exe [3179520]
[MD5.392E619012F752D071910917E9307CC9] - (.TeamViewer GmbH - TeamViewer Service.) -- C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe [185640]
[MD5.5624ACD0B7900BEABBD329443A4F4454] - (.TeamViewer GmbH - TeamViewer Service.) -- C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe [173352]
[MD5.77FBD400984CF72BA0FC4B3489D65F74] - (.Microsoft Corporation - Service Partage réseau du Lecteur Windows M.) -- C:\Program Files\Windows Media Player\wmpnetwk.exe [1121280]
[MD5.622D95520182F6D3D05310D5810CA8B3] - (.Microsoft Corporation - Indexeur Microsoft Windows Search.) -- C:\Windows\system32\SearchIndexer.exe [428032]


---\\ Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,
F2 - REG:system.ini: Shell=explorer.exe


---\\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF


---\\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Navigateur Internet.) (8.00.7600.16385 (win7_rtm.090713-1255)) -- C:\Windows\System32\ieframe.dll
0
Réponse 4 / 20
Ajdu49
 
---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} . (.AVG Technologies CZ, s.r.o. - Safe Search for Internet Explorer.) -- C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} . (.Safer Networking Limited - SBSD IE Protection.) -- C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll


---\\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [StartCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] . (.Wireless Service - ANIWZCS2 launcher for Windows..) -- C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] . (.D-Link - D-Link Wireless LAN Monitor.) -- C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [AVG9_TRAY] . (.AVG Technologies CZ, s.r.o. - AVG Tray Monitor.) -- C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] . (.Microsoft Corporation - Gestionnaire pour appareils Windows Mobile.) -- C:\Windows\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
O4 - HKCU\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
O4 - HKCU\..\Run: [Skype] . (.Skype Technologies S.A. - Skype.) -- C:\Program Files\Skype\Phone\Skype.exe
O4 - HKCU\..\Run: [CTSyncU.exe] . (.Pas de propriétaire - Creative Sync Manager.) -- C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files\Windows Sidebar\Sidebar.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
Ajdu49
 
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files\Windows Sidebar\Sidebar.exe
O4 - HKUS\S-1-5-19\..\Run: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe
O4 - HKUS\S-1-5-20\..\Run: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe
O4 - Global Startup: McAfee Security Scan.lnk . (.McAfee, Inc. - McAfee Security Scanner Scheduler.) -- C:\Program Files\McAfee Security Scan\1.0.150\SSScheduler.exe
O4 - Global Startup: Adobe Gamma.lnk . (.Adobe Systems, Inc. - Adobe Gamma Loader.) -- C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: OpenOffice.org 3.1.lnk . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe


---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} . (.Microsoft Corporation - Synchronisation des favoris ActiveSync.) -- C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} . (.not file.) - (.not file.)
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.)


---\\ Winsock hijacker (Layered Service Provider) (O10)
O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Network Location Awareness 2.) -- C:\Windows\system32\NLAapi.dll
O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\Windows\system32\mswsock.dll
O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\Windows\system32\winrnr.dll
O10 - WLSP:\000000000004\Winsock LSP File . (.Microsoft Corporation - Fournisseur Shim d'affectation de noms de messagerie.) -- C:\Windows\system32\napinsp.dll
O10 - WLSP:\000000000005\Winsock LSP File . (.Microsoft Corporation - Fournisseur d'espace de noms PNRP.) -- C:\Windows\system32\pnrpnsp.dll
O10 - WLSP:\000000000006\Winsock LSP File . (.Microsoft Corporation - Fournisseur d'espace de noms PNRP.) -- C:\Windows\system32\pnrpnsp.dll
O10 - WLSP:\000000000007\Winsock LSP File . (.Apple Inc. - Bonjour Namespace Provider.) -- C:\Program Files\Bonjour\mdnsNSP.dll


---\\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab


---\\ Protocole additionnel et piratage de protocole (O18)
O18 - Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} . (.AVG Technologies CZ, s.r.o. - Safe Search pluggable protocol.) -- C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} . (.Skype Technologies - Skype for COM API.) -- C:\PROGRA~1\COMMON~1
0
Réponse 6 / 20
Ajdu49
 
\Skype\SKYPE4~1.DLL


---\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 - AppInit_DLLs: . (.AVG Technologies CZ, s.r.o. - AVG Resident Shield Starter.) - C:\Windows\System32\avgrsstx.dll


---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.


---\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: (AMD External Events Utility) . (.AMD - AMD External Events Service Module.) - C:\Windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device (Apple Mobile Device) . (.Apple Inc. - Apple Mobile Device Service.) - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) . (.AVG Technologies CZ, s.r.o. - AVG E-Mail Scanner.) - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) . (.AVG Technologies CZ, s.r.o. - AVG Watchdog Service.) - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access (Creative Service for CDROM Access) . (.Creative Technology Ltd - Creative Service for CDROM Access.) - C:\Windows\system32\CTsvcCDA.exe
O23 - Service: Lavasoft Ad-Aware Service (Lavasoft Ad-Aware Service) . (.Lavasoft - Ad-Aware Service Application.) - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) . (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe
O23 - Service: TeamViewer 4 (TeamViewer4) . (.TeamViewer GmbH - TeamViewer Service.) - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TeamViewer 5 (TeamViewer5) . (.TeamViewer GmbH - TeamViewer Service.) - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe


---\\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\regutils.dll


---\\ Pilotes lancés au démarrage (O41)
O41 - Driver: AVG Free AVI Loader Driver x86 (AvgLdx86) . (.AVG Technologies CZ, s.r.o. - AVG AVI Loader Driver.) - C:\Windows\system32\Drivers\avgldx86.sys
O41 - Driver: AVG Free On-access Scanner Minifilter Driver x86 (AvgMfx86) . (.AVG Technologies CZ, s.r.o. - AVG Resident Shield Minifilter Driver.) - C:\Windows\system32\Drivers\avgmfx86.sys
O41 - Driver: AVG Free Network Redirector (AvgTdiX) . (.AVG Technologies CZ, s.r.o. - AVG Network connection watcher.) - C:\Windows\system32\Drivers\avgtdix.sys
0
Réponse 7 / 20
Ajdu49
 
---\\ Logiciels installés (O42)
O42 - Logiciel: ANIWZCS2 Service - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: AVG Free 9.0 - (.AVG Technologies.) [HKLM]
O42 - Logiciel: AVI ReComp 1.4.5 - (.Mateusz Gola (aka Prozac).) [HKLM]
O42 - Logiciel: Ad-Aware - (.Lavasoft.) [HKLM]
O42 - Logiciel: Adobe Bridge 1.0 - (.Adobe Systems.) [HKLM]
O42 - Logiciel: Adobe Common File Installer - (.Adobe System Incorporated.) [HKLM]
O42 - Logiciel: Adobe Download Manager - (.NOS Microsystems Ltd..) [HKLM]
O42 - Logiciel: Adobe Flash Player 10 Plugin - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Adobe Help Center 1.0 - (.Adobe Systems.) [HKLM]
O42 - Logiciel: Adobe Photoshop CS2 - (.Adobe Systems, Inc..) [HKLM]
O42 - Logiciel: Adobe Reader 9.3.2 - Français - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Adobe Stock Photos 1.0 - (.Adobe Systems.) [HKLM]
O42 - Logiciel: Apple Application Support - (.Apple Inc..) [HKLM]
O42 - Logiciel: Apple Mobile Device Support - (.Apple Inc..) [HKLM]
O42 - Logiciel: Apple Software Update - (.Apple Inc..) [HKLM]
O42 - Logiciel: Ask.com Search Assistant 1.0.2 - (.Ask.com.) [HKLM]
O42 - Logiciel: Assistant de connexion Windows Live - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: AudibleManager - (.Audible, Inc..) [HKLM]
O42 - Logiciel: AviSynth 2.5 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Belkin 54Mbps Wireless Network Adapter - (.Belkin.) [HKLM]
O42 - Logiciel: Bonjour - (.Apple Inc..) [HKLM]
O42 - Logiciel: CCleaner - (.Piriform.) [HKLM]
O42 - Logiciel: Catalyst Control Center - Branding - (.ATI.) [HKLM]
O42 - Logiciel: CodeBlocks - (.The Code::Blocks Team.) [HKCU]
O42 - Logiciel: Company of Heroes - (.THQ Inc..) [HKLM]
O42 - Logiciel: Creative MediaSource 5 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Creative Software AutoUpdate - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Creative System Information - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Creative ZEN V Series (R2) - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: D-Link Wireless N DWA-140 - (.D-Link.) [HKLM]
O42 - Logiciel: Fable - The Lost Chapters - (.Microsoft Game Studios.) [HKLM]
O42 - Logiciel: Fraps (remove only) - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Free iPod Video Converter 1.34 - (.Jodix Technologies Ltd..) [HKLM]
O42 - Logiciel: Gestionnaire de disques amovible Creative - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Gestionnaire pour appareils Windows Mobile - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Grand Theft Auto IV - (.Rockstar Games.) [HKLM]
O42 - Logiciel: HydraVision - (.ATI Technologies Inc..) [HKLM]
O42 - Logiciel: Installation Windows Live - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Java(TM) 6 Update 16 - (.Sun Microsystems, Inc..) [HKLM]
O42 - Logiciel: Java(TM) 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM]
O42 - Logiciel: K-Lite Mega Codec Pack 5.6.1 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: LimeWire 4.18.8 - (.Lime Wire, LLC.) [HKLM]
O42 - Logiciel: Logiciel d'archivage WinRAR - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: MP3 Player Recovery Tool - (.Creative Labs.) [HKLM]
O42 - Logiciel: MSVCRT - (.Microsoft.) [HKLM]
O42 - Logiciel: Malwarebytes' Anti-Malware - (.Malwarebytes Corporation.) [HKLM]
O42 - Logiciel: Mass Effect - (.Electronic Arts, Inc..) [HKLM]
O42 - Logiciel: McAfee Security Scan - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Messenger Plus! Live - (.Yuna Software.) [HKLM]
O42 - Logiciel: Microsoft Choice Guard - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Games for Windows - LIVE Redistributable - (.Microsoft Corporation.) [HKLM]
0
Réponse 8 / 20
Ajdu49
 
O42 - Logiciel: Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Visual C++ 2005 Redistributable - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Mozilla Firefox (3.6.3) - (.Mozilla.) [HKLM]
O42 - Logiciel: Mumble and Murmur - (.Mumble.) [HKLM]
O42 - Logiciel: Neverwinter Nights - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Notepad++ - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: OpenOffice.org 3.1 - (.OpenOffice.org.) [HKLM]
O42 - Logiciel: Outil de téléchargement Windows Live - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: PhotoFiltre - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: QuickTime - (.Apple Inc..) [HKLM]
O42 - Logiciel: Rockstar Games Social Club - (.Rockstar Games.) [HKLM]
O42 - Logiciel: SAGEM Wi-Fi 11g USB adapter (pilote) - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: SUPER © Version 2010.bld.37 (Jan 2, 2010) - (.eRightSoft.) [HKLM]
O42 - Logiciel: Sagem Wi-Fi 11g USB adapter (driver) - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Skype web features - (.Skype Technologies S.A..) [HKLM]
O42 - Logiciel: Skype(TM) 4.1 - (.Skype Technologies S.A..) [HKLM]
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM]
O42 - Logiciel: Stronghold Legends - (.Firefly Studios.) [HKLM]
O42 - Logiciel: System Requirements Lab - (.Husdawg, LLC.) [HKLM]
O42 - Logiciel: TeamSpeak 2 RC2 - (.Dominating Bytes Design.) [HKLM]
O42 - Logiciel: TeamSpeak 3 Client - (.TeamSpeak Systems GmbH.) [HKCU]
O42 - Logiciel: TeamViewer 4 - (.TeamViewer GmbH.) [HKLM]
O42 - Logiciel: TeamViewer 5 - (.TeamViewer GmbH.) [HKLM]
O42 - Logiciel: VLC media player 1.0.3 - (.VideoLAN Team.) [HKLM]
O42 - Logiciel: VobSub 2.23 - (.Gabest.) [HKLM]
O42 - Logiciel: Vuze - (.Vuze Inc..) [HKLM]
O42 - Logiciel: Windows Driver Package - SiS (SISAGP) System (09/08/2009 7.2.0.1231) - (.SiS.) [HKLM]
O42 - Logiciel: Windows Live Call - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live Communications Platform - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live Messenger - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live OneCare safety scanner - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Media Player Firefox Plugin - (.Microsoft Corp.) [HKLM]
O42 - Logiciel: Wow Cartographe 1.10 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: ZEN V Series Media Explorer - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: ZENcast Organizer - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: iTunes - (.Apple Inc..) [HKLM]

---\\ HKCU & HKLM Software Keys
[HKCU\Software\AC3Filter]
[HKCU\Software\ANI]
[HKCU\Software\ATI]
[HKCU\Software\Adobe]
[HKCU\Software\AppDataLow]
[HKCU\Software\Apple Computer, Inc.]
[HKCU\Software\AskSearchAsst]
[HKCU\Software\Audible]
[HKCU\Software\Avg]
[HKCU\Software\Azureus]
[HKCU\Software\Blizzard Entertainment]
[HKCU\Software\CDDB]
[HKCU\Software\Classes]
[HKCU\Software\Clients]
[HKCU\Software\Creative Tech]
[HKCU\Software\Cygnus Solutions]
[HKCU\Software\DivXNetworks]
[HKCU\Software\Fraps3]
[HKCU\Software\GNU]
[HKCU\Software\GSpot Appliance Corp]
[HKCU\Software\Gabest]
[HKCU\Software\GameSpy]
[HKCU\Software\Haali]
[HKCU\Software\Hewlett-Packard]
[HKCU\Software\IM Providers]
[HKCU\Software\JavaSoft]
[HKCU\Software\Lavasoft]
[HKCU\Software\MONOGRAM]
[HKCU\Software\Macromedia]
[HKCU\Software\Malwarebytes' Anti-Malware]
[HKCU\Software\MediaInfo]
[HKCU\Software\Mumble]
[HKCU\Software\Netscape]
[HKCU\Software\Patchou]
[HKCU\Software\Piriform]
[HKCU\Software\Policies]
[HKCU\Software\RealNetworks]
[HKCU\Software\Safer Networking Limited]
[HKCU\Software\SecuROM]
[HKCU\Software\Skype]
[HKCU\Software\System Requirements Lab]
[HKCU\Software\THQ]
[HKCU\Software\TeamViewer]
[HKCU\Software\Trolltech]
[HKCU\Software\WinRAR SFX]
[HKCU\Software\WinRAR]
[HKCU\Software\Xobni]
[HKCU\Software\YahooPartnerToolbar]
[HKCU\Software\ej-technologies]
[HKCU\Software\madFlac]
[HKLM\Software\AMD]
[HKLM\Software\ANI]
[HKLM\Software\ATI Technologies]
[HKLM\Software\ATI]
[HKLM\Software\Adobe Systems]
[HKLM\Software\Adobe]
[HKLM\Software\Alpha Networks]
[HKLM\Software\Apple Computer, Inc.]
[HKLM\Software\Apple Inc.]
[HKLM\Software\Audible]
[HKLM\Software\Avg]
[HKLM\Software\AviSynth]
[HKLM\Software\Azureus]
[HKLM\Software\Belkin]
[HKLM\Software\BioWare]
[HKLM\Software\Blizzard Entertainment]
[HKLM\Software\CDDB]
[HKLM\Software\Classes]
[HKLM\Software\Clients]
[HKLM\Software\Codec Tweak Tool]
[HKLM\Software\Creative Tech]
[HKLM\Software\Cygnus Solutions]
[HKLM\Software\D-Link]
[HKLM\Software\DeathSoft]
[HKLM\Software\DivXNetworks]
[HKLM\Software\Electronic Arts]
[HKLM\Software\Firefly Studios]
[HKLM\Software\Fraps2]
[HKLM\Software\GEAR Software]
[HKLM\Software\GNU]
[HKLM\Software\Google]
[HKLM\Software\HaaliMkx]
[HKLM\Software\Hewlett-Packard]
[HKLM\Software\InstallShield]
[HKLM\Software\Intel]
[HKLM\Software\JavaSoft]
[HKLM\Software\Jodix]
[HKLM\Software\JreMetrics]
[HKLM\Software\KLCodecPack]
[HKLM\Software\Lavasoft]
[HKLM\Software\Licenses]
[HKLM\Software\Logitech]
[HKLM\Software\Macromedia]
[HKLM\Software\McAfee.com]
[HKLM\Software\MimarSinan]
[HKLM\Software\MozillaPlugins]
[HKLM\Software\Mozilla]
[HKLM\Software\NOS]
[HKLM\Software\ODBC]
[HKLM\Software\OpenOffice.org]
[HKLM\Software\Patchou]
[HKLM\Software\Policies]
[HKLM\Software\RealNetworks]
[HKLM\Software\RegisteredApplications]
[HKLM\Software\Rockstar Games]
[HKLM\Software\S3R521]
[HKLM\Software\Safer Networking Limited]
[HKLM\Software\Sagem]
[HKLM\Software\SiS]
[HKLM\Software\Skype]
[HKLM\Software\Sonic]
[HKLM\Software\Sun Microsystems]
[HKLM\Software\THQ]
[HKLM\Software\TeamViewer]
[HKLM\Software\VideoLAN]
[HKLM\Software\WinRAR]
[HKLM\Software\Windows]
[HKLM\Software\ZSMC]
[HKLM\Software\ej-technologies]
[HKLM\Software\mozilla.org]
0
Réponse 9 / 20
Ajdu49
 
--\\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory ----D- C:\Program Files\802.11 Wireless LAN
O43 - CFD:Common File Directory ----D- C:\Program Files\Adobe
O43 - CFD:Common File Directory ----D- C:\Program Files\ANI
O43 - CFD:Common File Directory ----D- C:\Program Files\Apple Software Update
O43 - CFD:Common File Directory ----D- C:\Program Files\Ask Search Assistant
O43 - CFD:Common File Directory ----D- C:\Program Files\ATI
O43 - CFD:Common File Directory ----D- C:\Program Files\ATI Technologies
O43 - CFD:Common File Directory ----D- C:\Program Files\Audible
O43 - CFD:Common File Directory ----D- C:\Program Files\AVG
O43 - CFD:Common File Directory ----D- C:\Program Files\AVI ReComp
O43 - CFD:Common File Directory ----D- C:\Program Files\AviSynth 2.5
O43 - CFD:Common File Directory ----D- C:\Program Files\Belkin
O43 - CFD:Common File Directory ----D- C:\Program Files\Bonjour
O43 - CFD:Common File Directory ----D- C:\Program Files\CCleaner
O43 - CFD:Common File Directory ----D- C:\Program Files\CodeBlocks
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files
O43 - CFD:Common File Directory ----D- C:\Program Files\Creative
O43 - CFD:Common File Directory --H-D- C:\Program Files\Creative Installation Information
O43 - CFD:Common File Directory ----D- C:\Program Files\D-Link
O43 - CFD:Common File Directory ----D- C:\Program Files\DIFX
O43 - CFD:Common File Directory ----D- C:\Program Files\DVD Maker
O43 - CFD:Common File Directory ----D- C:\Program Files\eRightSoft
O43 - CFD:Common File Directory -SH-D- C:\Program Files\Fichiers communs
O43 - CFD:Common File Directory ----D- C:\Program Files\Firefly Studios
O43 - CFD:Common File Directory ----D- C:\Program Files\Free iPod Video Converter
O43 - CFD:Common File Directory ----D- C:\Program Files\Gabest
O43 - CFD:Common File Directory --H-D- C:\Program Files\InstallShield Installation Information
O43 - CFD:Common File Directory ----D- C:\Program Files\Internet Explorer
O43 - CFD:Common File Directory ----D- C:\Program Files\iPod
O43 - CFD:Common File Directory ----D- C:\Program Files\iTunes
O43 - CFD:Common File Directory ----D- C:\Program Files\Java
O43 - CFD:Common File Directory ----D- C:\Program Files\JRE
O43 - CFD:Common File Directory ----D- C:\Program Files\K-Lite Codec Pack
O43 - CFD:Common File Directory ----D- C:\Program Files\Lavasoft
O43 - CFD:Common File Directory ----D- C:\Program Files\LimeWire
O43 - CFD:Common File Directory ----D- C:\Program Files\Malwarebytes' Anti-Malware
O43 - CFD:Common File Directory ----D- C:\Program Files\Mass Effect
O43 - CFD:Common File Directory ----D- C:\Program Files\McAfee Security Scan
O43 - CFD:Common File Directory ----D- C:\Program Files\Messenger Plus! Live
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Games
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Games for Windows - LIVE
O43 - CFD:Common File Directory ----D- C:\Program Files\Mozilla Firefox
O43 - CFD:Common File Directory ----D- C:\Program Files\MSBuild
O43 - CFD:Common File Directory ----D- C:\Program Files\Mumble
O43 - CFD:Common File Directory ----D- C:\Program Files\NOS
O43 - CFD:Common File Directory ----D- C:\Program Files\Notepad++
O43 - CFD:Common File Directory ----D- C:\Program Files\OpenOffice.org 3
O43 - CFD:Common File Directory ----D- C:\Program Files\PhotoFiltre
O43 - CFD:Common File Directory ----D- C:\Program Files\Photoshop CS2
O43 - CFD:Common File Directory ----D- C:\Program Files\QuickTime
O43 - CFD:Common File Directory ----D- C:\Program Files\Reference Assemblies
O43 - CFD:Common File Directory ----D- C:\Program Files\Rockstar Games
O43 - CFD:Common File Directory ----D- C:\Program Files\Roxio
O43 - CFD:Common File Directory R---D- C:\Program Files\Skype
O43 - CFD:Common File Directory ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD:Common File Directory ----D- C:\Program Files\Spyware Doctor
O43 - CFD:Common File Directory ----D- C:\Program Files\SystemRequirementsLab
O43 - CFD:Common File Directory ----D- C:\Program Files\Teamspeak2_RC2
O43 - CFD:Common File Directory ----D- C:\Program Files\TeamViewer
O43 - CFD:Common File Directory ----D- C:\Program Files\THQ
O43 - CFD:Common File Directory --H-D- C:\Program Files\Uninstall Information
O43 - CFD:Common File Directory ----D- C:\Program Files\VideoLAN
O43 - CFD:Common File Directory ----D- C:\Program Files\Vuze
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Defender
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Journal
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Live
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Live Safety Center
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Live SkyDrive
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Mail
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Media Player
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows NT
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Photo Viewer
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Portable Devices
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Sidebar
O43 - CFD:Common File Directory ----D- C:\Program Files\WinRAR
O43 - CFD:Common File Directory ----D- C:\Program Files\World of Warcraft
O43 - CFD:Common File Directory ----D- C:\Program Files\WowCartographe
O43 - CFD:Common File Directory ----D- C:\Program Files\ZHPDiag
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Adobe
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Adobe Systems Shared
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Apple
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\BioWare
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Creative
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\InstallShield
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Java
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\logishrd
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\microsoft shared
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Roxio Shared
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Services
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Skype
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\SpeechEngines
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\System
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Windows Live
0
Réponse 10 / 20
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Il faut que tu arrives à l'héberger, ici ça ne passera pas... Tu as déjà posté 3 messages et il n'y a qu'une petite partie du rapport.

Où est-ce que ça bloque ?
0
Réponse 11 / 20
Ajdu49
 
Quand je lance l'upload ca met "Page réinitialisée", j'ai essayé avec différent hébergeurs ca fail toujours --'
0
Réponse 12 / 20
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Ah... Ca ne va pas faciliter les choses !
Garde le rapport de ZHPDiag sur ton Bureau. Fais aussi ces deux analyses :


1) Gmer

/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.



2) Fais ce scan généraliste stp :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport sur ton Bureau
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes


Envoie moi les trois rapports (ZHPDiag, Gmer, MalwareBytes) par e-mail à cette adresse stp : anthony5151@trashmail.net

0
Réponse 13 / 20
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
J'ai bien reçu les rapports de ZHPDiag et Gmer, je les remets ici : ZHPDiag / Gmer
Est-ce que MalwareBytes a détecté quelque chose ? Si oui, peux-tu vérifier dans l'onglet "rapports/logs" si tu retrouves le rapport ?


Sinon, Gmer montre bien une infection :

* Télécharge SEAF (de C_XX) sur ton Bureau.
* Lance SEAF
* Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
* Tape atapi.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
* A la fin, poste le rapport dans ta prochaine réponse


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Réponse 14 / 20
Ajdu49
 
Le rapport de SEAF

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 12:18:54 le 01/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. atapi.sys
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Informations supplémentaires
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. "c:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys" [ ----A---- | 21584 ]
16. TC: 14/07/2009,01:11:15 | TM: 14/07/2009,03:26:15 | DA: 14/07/2009,01:11:15
17. MD5: 338c86357871c167a96ab976519bf59e
18.
19.
20. CompagnyName: Microsoft Corporation
21. ProductName: Microsoft® Windows® Operating System
22. InternalName: atapi.sys
23. OriginalFilename: atapi.sys
24. LegalCopyright: © Microsoft Corporation. All rights reserved.
25. ProductVersion: 6.1.7600.16385
26. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
27.
28. =========================
29.
30. "c:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys" [ ----A---- | 21584 ]
31. TC: 14/07/2009,01:11:15 | TM: 14/07/2009,03:26:15 | DA: 14/07/2009,01:11:15
32. MD5: 338c86357871c167a96ab976519bf59e
33.
34.
35. CompagnyName: Microsoft Corporation
36. ProductName: Microsoft® Windows® Operating System
37. InternalName: atapi.sys
38. OriginalFilename: atapi.sys
39. LegalCopyright: © Microsoft Corporation. All rights reserved.
40. ProductVersion: 6.1.7600.16385
41. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
42.
43. =========================
44.
45. "c:\Windows\System32\drivers\atapi.sys" [ ----A---- | 21584 ]
46. TC: 14/07/2009,01:11:15 | TM: 14/07/2009,03:26:15 | DA: 14/07/2009,01:11:15
47. MD5: 338c86357871c167a96ab976519bf59e
48.
49.
50. CompagnyName: Microsoft Corporation
51. ProductName: Microsoft® Windows® Operating System
52. InternalName: atapi.sys
53. OriginalFilename: atapi.sys
54. LegalCopyright: © Microsoft Corporation. All rights reserved.
55. ProductVersion: 6.1.7600.16385
56. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
57.
58. =========================
59.
60. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
61.
62. Aucun dossier trouvé
63.
64.
65. ====== Entrée(s) du registre ======
66.
67.
68.
69. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\PnpLockdownFiles]
70. "%SystemPath%\system32\DRIVERS\atapi.sys"=""
71.
72. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\atapi]
73. "ImagePath"="system32\DRIVERS\atapi.sys"
74.
75. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\atapi]
76. "ImagePath"="system32\DRIVERS\atapi.sys"
77.
78. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\atapi]
79. "ImagePath"="system32\DRIVERS\atapi.sys"
80.
81. =========================
82.
83. Fin à: 12:19:59 le 01/05/2010 ( E.O.F )
0
Réponse 15 / 20
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
/!\ ATTENTION /!\
Le script proposé ici a été écrit spécialement pour Ajdu49, il n'est pas transposable sur un autre ordinateur !


* Télécharge ce dossier
* Clique sur le fichier Script_batch. Il va placer une copie saine d'un fichier infecté à la racine de ton disque dur.
* Ensuite, on va utiliser The Avenger pour supprimer le fichier infecté et placer la copie à la place :


/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\

* Télécharge TheAvenger (de Swandog46) sur le Bureau --> Lance le --> Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil --> lis le et clique sur OK.
* Ouvre le fichier Script_TheAvenger --> Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger.
* Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
* A la fin, il te demandera de redémarrer ("reboot"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
* Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) --> Copie/colle ce rapport dans ta prochaine réponse stp.

0
Réponse 16 / 20
Ajdu49
 
VOila, désolé pour le temps de réponse, problèmes irl toussa... fin bref voici le rapport


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista [Erreur ici, je suis sous W7...]

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" completed successfully.

Completed script processing.

*******************

Finished! Terminate.
0
Réponse 17 / 20
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Fais redémarrer ton ordinateur et poste un dernier rapport de Gmer et ZHPDiag stp

0
Réponse 18 / 20
Ajdu49
 
Mon ami ne peut envoyer le rapport, mais ZHPDiag ne repère qu'une erreur, dans les programmes installés, Ask.com (jamais installé ca mais bon..) Sinon, AVG me trouve plus de Cheval de Troie PSW.Agent.AFCI; mais un Dropper2 placés toujours dans des fichiers program files... Peut être un rapport avec le fait que plusieur de mes applications ne se lancent plus automatiquement au démarrage?
Sinon le rapport de Gmer;
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-06 16:37:28
Windows 6.1.7600
Running: yz1kzx5k.exe; Driver: C:\Users\Alex\AppData\Local\Temp\pxldapow.sys


---- System - GMER 1.0.15 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8303AAF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8303A104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8303A3F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 830232D8
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83022898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8303A1DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8303A958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8303A6F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8303AF2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8303B1A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82C53599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82C77F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x9221C000, 0x2D5378, 0xE8000020]
.text peauth.sys 9F959C9D 28 Bytes [DE, 4B, E4, C1, C2, 91, 87, ...]
.text peauth.sys 9F959CC1 28 Bytes [DE, 4B, E4, C1, C2, 91, 87, ...]
PAGE peauth.sys 9F95FB9B 72 Bytes [0E, 84, AB, FB, 03, 32, 3C, ...]
PAGE peauth.sys 9F95FBEC 111 Bytes [67, EC, 9F, CE, 6A, 5A, B1, ...]
PAGE peauth.sys 9F96002C 102 Bytes [81, A2, F3, B8, 71, BF, 82, ...]
? C:\Users\Alex\AppData\Local\Temp\mbr.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] kernel32.dll!LockResource 7731345C 5 Bytes JMP 28001F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] kernel32.dll!CreateEventA 77313A2B 5 Bytes JMP 28001840 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] kernel32.dll!FindResourceW 7731922F 5 Bytes JMP 28001BE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] kernel32.dll!SizeofResource 7731924D 5 Bytes JMP 28001EE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] kernel32.dll!FindResourceExW 7731A7EF 5 Bytes JMP 28001C60 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] kernel32.dll!LoadResource 7731D3B0 5 Bytes JMP 28001E20 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] kernel32.dll!FindResourceExA 7731D4AD 7 Bytes JMP 28001D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] kernel32.dll!FindResourceA 7731D575 5 Bytes JMP 28001CF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] ADVAPI32.dll!CryptDecrypt 776F2140 5 Bytes JMP 28001060 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] ADVAPI32.dll!CryptDeriveKey 776F2150 5 Bytes JMP 28001000 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!SetWindowPlacement 77008169 5 Bytes JMP 28005E10 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!CreateDialogParamW 77009BFF 5 Bytes JMP 28006090 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!SetWindowRgn 7700B29A 7 Bytes JMP 28005F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!CreateWindowExW 77010E51 5 Bytes JMP 28003C60 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!LoadIconW 77011431 5 Bytes JMP 280068D0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!LoadImageW 77012323 5 Bytes JMP 280066E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!GetWindowLongW 770183A9 7 Bytes JMP 28006A70 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!PeekMessageW 770191B5 5 Bytes JMP 28004630 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!TrackPopupMenuEx 77035F72 5 Bytes JMP 28004F10 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] USER32.dll!MessageBoxIndirectW 7705E9C3 5 Bytes JMP 28006280 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] SHELL32.dll!Shell_NotifyIconW 7616FBE1 5 Bytes JMP 280033B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] ole32.dll!CoRegisterClassObject 77BB11F5 5 Bytes JMP 28002360 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] ole32.dll!CoInitializeEx 77BE0804 5 Bytes JMP 28002260 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] ole32.dll!CoCreateInstance 77BF57FC 1 Byte [E9]
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] ole32.dll!CoCreateInstance 77BF57FC 5 Bytes JMP 28002600 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] WININET.dll!InternetCloseHandle 7780C87E 5 Bytes JMP 2800A240 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] WININET.dll!InternetReadFile 7780E2A4 5 Bytes JMP 2800A090 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] WININET.dll!HttpOpenRequestA 7781043A 5 Bytes JMP 28009F00 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr .exe[316] WININET.dll!HttpSendRequestA 7788014C 5 Bytes JMP 2800A170 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Windows\system32\svchost.exe[1272] ntdll.dll!NtProtectVirtualMemory 77D45360 5 Bytes JMP 0035000A
.text C:\Windows\system32\svchost.exe[1272] ntdll.dll!NtWriteVirtualMemory 77D45EE0 5 Bytes JMP 0036000A
.text C:\Windows\system32\svchost.exe[1272] ntdll.dll!KiUserExceptionDispatcher 77D46448 5 Bytes JMP 0030000A
.text C:\Windows\system32\svchost.exe[1272] ole32.dll!CoCreateInstance 77BF57FC 5 Bytes JMP 00D6000A
.text C:\Windows\system32\svchost.exe[1272] USER32.dll!GetCursorPos 7700C198 5 Bytes JMP 00F6000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[2872] ntdll.dll!NtProtectVirtualMemory 77D45360 5 Bytes JMP 004B000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[2872] ntdll.dll!NtWriteVirtualMemory 77D45EE0 5 Bytes JMP 004C000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[2872] ntdll.dll!KiUserExceptionDispatcher 77D46448 5 Bytes JMP 0038000A
.text C:\Windows\Explorer.EXE[3568] ntdll.dll!NtProtectVirtualMemory 77D45360 5 Bytes JMP 0038000A
.text C:\Windows\Explorer.EXE[3568] ntdll.dll!NtWriteVirtualMemory 77D45EE0 5 Bytes JMP 0039000A
.text C:\Windows\Explorer.EXE[3568] ntdll.dll!KiUserExceptionDispatcher 77D46448 5 Bytes JMP 0037000A

---- Devices - GMER 1.0.15 ----

Device \Driver\ACPI_HAL \Device\00000043 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device -> \Driver\atapi \Device\Harddisk0\DR0 864FBEE4

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----
0
Réponse 19 / 20
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Apparemment le problème n'a pas été corrigé par la dernière manipulation avec The Avenger...


"Sinon, AVG me trouve plus de Cheval de Troie PSW.Agent.AFCI; mais un Dropper2 placés toujours dans des fichiers program files"

==> Quel est le nom et l'emplacement du fichier exactement ?

0
Réponse 20 / 20
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

-1

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses