Sujet Précédent Sujet Suivant

Virus win32/mebroot cheval de troie

Résolu/Fermé
toto.girard - 29 avril 2010 à 20:47
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 7 mai 2010 à 01:28

bonjour j'ai besoin d'aide mon antivirus nod 32 m'a trouvé une menace: win32/mebroot cheval de troie, j'ai essayé deux trois truc que j'ai trouvé sur le forum maisj'arrive pas a le supprimer. j'ai installé "Malwarebytes' Anti-Malware" mais j'ai toujours le cheval de troie.
svp aidez moi
A voir également:

17 réponses

Réponse 1 / 17
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
29 avril 2010 à 20:48
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

0
toto.girard
29 avril 2010 à 21:15
est ce que tu as pu voir mon rapport?
0
Réponse 2 / 17
toto.girard
29 avril 2010 à 20:58
merci pour ton aide voila le lien du rapport
http://www.cijoint.fr/cjlink.php?file=cj201004/cijOtmBtLZ.txt
0
Réponse 3 / 17
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
29 avril 2010 à 22:47
1) Il y a une barre d'outil néfaste sur ton ordinateur (Ask Toolbar)... Pour éviter ce genre d'infection, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

* Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log )



2) Il y a une infection de disque amovible :

* Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Double clique sur le programme USBFix sur ton Bureau.
* Au menu principal, choisis l'option 2 (Suppression)
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp

Aide en images : Nettoyage



3) Fais ce scan généraliste stp :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp



4) Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag
On supprimera les restes d'infection + mebroot à la prochaine manipulation ;)

0
toto.girard
2 mai 2010 à 09:34
merci de m'accorder de ton temps, voila j'ai tout fait, et voici les rapports:
ad remover http://www.cijoint.fr/cjlink.php?file=cj201005/cijh5H2Wne.txt
usb fix http://www.cijoint.fr/cjlink.php?file=cj201005/cij6p2FtHo.txt
malwarebytes http://www.cijoint.fr/cjlink.php?file=cj201005/cijHABPZmk.txt
zhpdiag http://www.cijoint.fr/cjlink.php?file=cj201005/cijrq4Ggy8.txt
0
Réponse 4 / 17
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 mai 2010 à 14:26
Il reste des éléments néfastes à supprimer :

* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle ce script et place le dans ZHPFix
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse



Ensuite, on s'occupe d'une autre infection (et oui, encore une) :


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
toto.girard
2 mai 2010 à 21:03
je sais pas ssi ca a bien marché parce qu'il me disait en erreur que ask tool bar etait introuvable

ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 02/05/2010 20:59:11
Fichier d'export Registre : C:\ZHPExportRegistry-02-05-2010-20-59-11.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O53 - SMSR:HKLM\...\startupreg\kqsfpjlthj [Key] . (.Pas de propriétaire - Pas de description.) -- c:\documents and settings\principal\local settings\application data\kqsfpjlthj.exe => Clé absente
O64 - Services: CurCS - C:\WINDOWS\system32\o.sys - k (k) .(.Pas de propriétaire - Pas de description.) - LEGACY_K => Clé absente
O64 - Services: CurCS - (.not file.) - {47172F89-DE6F-413B-BF6A0A7894502153} ({47172F89-DE6F-413B-BF6A0A7894502153}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{47172F89-DE6F-413B-BF6A0A7894502153} => Clé absente
O64 - Services: CurCS - (.not file.) - {E65F1AE9-7E57-49E5-A6A8FAAF93BFE3C1} ({E65F1AE9-7E57-49E5-A6A8FAAF93BFE3C1}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{E65F1AE9-7E57-49E5-A6A8FAAF93BFE3C1} => Clé absente
HKCU\Software\AskSearchAsst => Clé absente
HKLM\Software\AskTBar => Clé absente
HKLM\Software\Symantec => Clé absente
O64 - Services: CurCS - C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys - Symantec Eraser Control driver (eeCtrl) .(.Symantec Corporation - Symantec Eraser Control Driver.) - LEGACY_EECTRL => Clé absente

Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\WINDOWS\TEMP\uwqp.tmp\svchost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\TEMP\uwqp.tmp\svchost.exe => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\Else plus => Dossier absent
C:\Program Files\Navilog1 => Dossier absent
C:\Program Files\Norton AntiVirus => Dossier absent
C:\Program Files\Symantec => Dossier absent
C:\Program Files\Fichiers Communs\Symantec Shared => Dossier absent

Fichier :
c:\windows\system32\o.sys [4736] => Fichier absent
c:\documents and settings\principal\local settings\application data\kqsfpjlthj.exe => Fichier absent
c:\documents and settings\principal\local settings\application data\gsasack_nav.dat => Fichier absent
c:\documents and settings\principal\local settings\application data\gsasack_navps.dat => Fichier absent
c:\documents and settings\principal\local settings\application data\hokumn_nav.dat => Fichier absent
c:\documents and settings\principal\local settings\application data\hokumn_navps.dat => Fichier absent
c:\documents and settings\principal\local settings\application data\zuavbuau_nav.dat => Fichier absent
c:\documents and settings\principal\local settings\application data\zuavbuau_navps.dat => Fichier absent
c:\windows\system32\readme.txt => Fichier absent
mscoree.dll => Fichier absent

Logiciel :
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] => Logiciel supprimé avec succès
O42 - Logiciel: Search Settings 1.2 - (.Pas de propriétaire.) [HKLM] => Logiciel absent

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85AD0098]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85ad0098
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85AD0098]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85ad0098
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 8
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 5
Fichier : 10
Logiciel : 2
Master Boot Record : 50
Autre : 0


End of the scan
0
Réponse 6 / 17
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 mai 2010 à 23:39
Ok, j'attends le rapport de Gmer ;)

0
Réponse 7 / 17
toto.girard
3 mai 2010 à 07:32
je suis desolé je le dépose ici parce que je n'arrive pas a le deposer sur le site,

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-03 02:52:36
Windows 5.1.2600 Service Pack 3
Running: llwh1hsj[1].exe; Driver: C:\DOCUME~1\PRINCI~1\LOCALS~1\Temp\kgldypog.sys


---- System - GMER 1.0.15 ----

SSDT 85E52580 ZwAssignProcessToJobObject
SSDT 85E53100 ZwDebugActiveProcess
SSDT 85E52B30 ZwDuplicateObject
SSDT 85E51CC0 ZwOpenProcess
SSDT 85E51FC0 ZwOpenThread
SSDT 85E529C0 ZwProtectVirtualMemory
SSDT 85E52860 ZwSetContextThread
SSDT 85E526E0 ZwSetInformationThread
SSDT 85E4F700 ZwSetSecurityObject
SSDT 85E52420 ZwSuspendProcess
SSDT 85E522C0 ZwSuspendThread
SSDT 85E51E50 ZwTerminateProcess
SSDT 85E52150 ZwTerminateThread
SSDT 85E52F50 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

? C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys Le fichier spécifié est introuvable. !
? C:\DOCUME~1\PRINCI~1\LOCALS~1\Temp\mbr.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[496] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 40D4F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40EC2046 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40EC1FC7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40EC200B C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40EC1F53 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40EC1F8D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 1 Byte [E9]
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40EC2081 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40D717EA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] ole32.dll!OleLoadFromStream 774E9C85 5 Bytes JMP 40EC2243 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] ws2_32.dll!getaddrinfo 719F2A6F 5 Bytes JMP 46CAE71D C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] ws2_32.dll!closesocket 719F3E2B 5 Bytes JMP 46CAEEE9 C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] ws2_32.dll!socket 719F4211 5 Bytes JMP 46CAE59E C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] ws2_32.dll!connect 719F4A07 5 Bytes JMP 46CAE62A C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] ws2_32.dll!send 719F4C27 5 Bytes JMP 46CAE9ED C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] ws2_32.dll!recv 719F676F 5 Bytes JMP 46CAF1C3 C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\Explorer.EXE[1940] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01702E70] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[1940] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01702C30] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[1940] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01702C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[1940] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01702C40] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00AC2E70] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00AC2C30] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00AC2C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Internet Explorer\IEXPLORE.EXE[2196] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00AC2C40] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe[3308] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00A82E70] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe[3308] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00A82C30] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe[3308] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00A82C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe[3308] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00A82C40] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Windows Live\Toolbar\wltuser.exe[3912] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00C52E70] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Windows Live\Toolbar\wltuser.exe[3912] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00C52C30] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Windows Live\Toolbar\wltuser.exe[3912] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00C52C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Program Files\Windows Live\Toolbar\wltuser.exe[3912] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00C52C40] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Documents and Settings\principal\Local Settings\Temporary Internet Files\Content.IE5\R5EP8DQ3\llwh1hsj[1].exe[6528] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00AE2E70] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Documents and Settings\principal\Local Settings\Temporary Internet Files\Content.IE5\R5EP8DQ3\llwh1hsj[1].exe[6528] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00AE2C30] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Documents and Settings\principal\Local Settings\Temporary Internet Files\Content.IE5\R5EP8DQ3\llwh1hsj[1].exe[6528] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00AE2C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Documents and Settings\principal\Local Settings\Temporary Internet Files\Content.IE5\R5EP8DQ3\llwh1hsj[1].exe[6528] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00AE2C40] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

Device \Driver\usb_rndis \Device\{554571B2-CE32-4CEC-8C2A-E956DB322D78} RNDISMP.SYS (Remote NDIS Miniport/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device \Driver\atapi \Device\Ide\IdePort0 85AD0098
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-5 85AD0098
Device \Driver\atapi \Device\Ide\IdePort1 85AD0098
Device \Driver\atapi \Device\Ide\IdePort2 85AD0098
Device \Driver\atapi \Device\Ide\IdePort3 85AD0098
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-1b 85AD0098
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-13 85AD0098
Device \Driver\Disk \Device\Harddisk0\DR0 mbr.sys
Device \Driver\Disk \Device\Harddisk1\DR4 mbr.sys
Device \Driver\Disk \Device\Harddisk1\DP(1)0-0+8 mbr.sys
Device \Driver\Disk \Device\Harddisk2\DR5 mbr.sys
Device \Driver\Disk \Device\Harddisk2\DP(1)0-0+9 mbr.sys
Device \Driver\Disk \Device\Harddisk3\DP(1)0-0+a mbr.sys
Device \Driver\Disk \Device\Harddisk3\DR6 mbr.sys
Device \Driver\Disk \Device\Harddisk4\DP(1)0-0+b mbr.sys
Device \Driver\Disk \Device\Harddisk4\DR7 mbr.sys

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272c822f1
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000272c822f1 (not active ControlSet)

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;

---- EOF - GMER 1.0.15 ----
0
Réponse 8 / 17
toto.girard
3 mai 2010 à 07:34
je te met quand meme le lien j'ai reussi a le faire passer sur le site.http://www.cijoint.fr/cjlink.php?file=cj201005/cij36dWPHI.txt
0
Réponse 9 / 17
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mai 2010 à 15:25
Est-ce que NOD32 détecte toujours mebroot ?


Je voudrais vérifier quelque chose :

* Télécharge Load_tdsskiller (de Loup Blanc) sur ton Bureau
* Lance load_tdsskiller
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
0
Réponse 10 / 17
toto.girard
3 mai 2010 à 20:28
non apparemment nod 32 ne detecte plus win32/mebroot, ni aucun autre cheval de troie.

le rapport:

20:20:52:937 4632 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
20:20:52:937 4632 ================================================================================
20:20:52:937 4632 SystemInfo:

20:20:52:937 4632 OS Version: 5.1.2600 ServicePack: 3.0
20:20:52:937 4632 Product type: Workstation
20:20:52:937 4632 ComputerName: FABIEN
20:20:52:937 4632 UserName: principal
20:20:52:937 4632 Windows directory: C:\WINDOWS
20:20:52:937 4632 Processor architecture: Intel x86
20:20:52:937 4632 Number of processors: 1
20:20:52:937 4632 Page size: 0x1000
20:20:52:953 4632 Boot type: Normal boot
20:20:52:953 4632 ================================================================================
20:20:52:953 4632 UnloadDriverW: NtUnloadDriver error 2
20:20:52:953 4632 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
20:20:53:218 4632 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
20:20:53:218 4632 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
20:20:53:218 4632 wfopen_ex: Trying to KLMD file open
20:20:53:218 4632 wfopen_ex: File opened ok (Flags 2)
20:20:53:218 4632 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
20:20:53:218 4632 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
20:20:53:218 4632 wfopen_ex: Trying to KLMD file open
20:20:53:218 4632 wfopen_ex: File opened ok (Flags 2)
20:20:53:218 4632 Initialize success
20:20:53:218 4632
20:20:53:218 4632 Scanning Services ...
20:20:53:593 4632 Raw services enum returned 415 services
20:20:53:609 4632
20:20:53:609 4632 Scanning Kernel memory ...
20:20:53:609 4632 Devices to scan: 13
20:20:53:609 4632
20:20:53:609 4632 Driver Name: Disk
20:20:53:609 4632 IRP_MJ_CREATE : F7774BB0
20:20:53:609 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:609 4632 IRP_MJ_CLOSE : F7774BB0
20:20:53:625 4632 IRP_MJ_READ : F776ED1F
20:20:53:625 4632 IRP_MJ_WRITE : F776ED1F
20:20:53:625 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:625 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:625 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:625 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:625 4632 IRP_MJ_FLUSH_BUFFERS : F776F2E2
20:20:53:625 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:625 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:625 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:625 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:625 4632 IRP_MJ_DEVICE_CONTROL : F776F3BB
20:20:53:625 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7772F28
20:20:53:625 4632 IRP_MJ_SHUTDOWN : F776F2E2
20:20:53:625 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:625 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:625 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:625 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:625 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:625 4632 IRP_MJ_POWER : F7770C82
20:20:53:625 4632 IRP_MJ_SYSTEM_CONTROL : F777599E
20:20:53:625 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:625 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:625 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:656 4632 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
20:20:53:656 4632
20:20:53:656 4632 Driver Name: Disk
20:20:53:656 4632 IRP_MJ_CREATE : F7774BB0
20:20:53:656 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:656 4632 IRP_MJ_CLOSE : F7774BB0
20:20:53:656 4632 IRP_MJ_READ : F776ED1F
20:20:53:656 4632 IRP_MJ_WRITE : F776ED1F
20:20:53:656 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:656 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:656 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:656 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:656 4632 IRP_MJ_FLUSH_BUFFERS : F776F2E2
20:20:53:656 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:656 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:656 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:656 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:656 4632 IRP_MJ_DEVICE_CONTROL : F776F3BB
20:20:53:656 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7772F28
20:20:53:656 4632 IRP_MJ_SHUTDOWN : F776F2E2
20:20:53:656 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:656 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:656 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:656 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:656 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:656 4632 IRP_MJ_POWER : F7770C82
20:20:53:656 4632 IRP_MJ_SYSTEM_CONTROL : F777599E
20:20:53:656 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:656 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:656 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:656 4632 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
20:20:53:656 4632
20:20:53:656 4632 Driver Name: Disk
20:20:53:656 4632 IRP_MJ_CREATE : F7774BB0
20:20:53:656 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:656 4632 IRP_MJ_CLOSE : F7774BB0
20:20:53:656 4632 IRP_MJ_READ : F776ED1F
20:20:53:656 4632 IRP_MJ_WRITE : F776ED1F
20:20:53:656 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:656 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:656 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:656 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:656 4632 IRP_MJ_FLUSH_BUFFERS : F776F2E2
20:20:53:656 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:656 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:656 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:656 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:656 4632 IRP_MJ_DEVICE_CONTROL : F776F3BB
20:20:53:656 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7772F28
20:20:53:656 4632 IRP_MJ_SHUTDOWN : F776F2E2
20:20:53:656 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:656 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:656 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:656 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:656 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:656 4632 IRP_MJ_POWER : F7770C82
20:20:53:656 4632 IRP_MJ_SYSTEM_CONTROL : F777599E
20:20:53:656 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:656 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:656 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:656 4632 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
20:20:53:656 4632
20:20:53:656 4632 Driver Name: Disk
20:20:53:656 4632 IRP_MJ_CREATE : F7774BB0
20:20:53:671 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:671 4632 IRP_MJ_CLOSE : F7774BB0
20:20:53:671 4632 IRP_MJ_READ : F776ED1F
20:20:53:671 4632 IRP_MJ_WRITE : F776ED1F
20:20:53:671 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:671 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:671 4632 IRP_MJ_FLUSH_BUFFERS : F776F2E2
20:20:53:671 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_DEVICE_CONTROL : F776F3BB
20:20:53:671 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7772F28
20:20:53:671 4632 IRP_MJ_SHUTDOWN : F776F2E2
20:20:53:671 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:671 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:671 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:671 4632 IRP_MJ_POWER : F7770C82
20:20:53:671 4632 IRP_MJ_SYSTEM_CONTROL : F777599E
20:20:53:671 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:671 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:671 4632 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
20:20:53:671 4632
20:20:53:671 4632 Driver Name: Disk
20:20:53:671 4632 IRP_MJ_CREATE : F7774BB0
20:20:53:671 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:671 4632 IRP_MJ_CLOSE : F7774BB0
20:20:53:671 4632 IRP_MJ_READ : F776ED1F
20:20:53:671 4632 IRP_MJ_WRITE : F776ED1F
20:20:53:671 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:671 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:671 4632 IRP_MJ_FLUSH_BUFFERS : F776F2E2
20:20:53:671 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_DEVICE_CONTROL : F776F3BB
20:20:53:671 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7772F28
20:20:53:671 4632 IRP_MJ_SHUTDOWN : F776F2E2
20:20:53:671 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:671 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:671 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:671 4632 IRP_MJ_POWER : F7770C82
20:20:53:671 4632 IRP_MJ_SYSTEM_CONTROL : F777599E
20:20:53:671 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:671 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:671 4632 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
20:20:53:671 4632
20:20:53:671 4632 Driver Name: USBSTOR
20:20:53:671 4632 IRP_MJ_CREATE : F7A2B218
20:20:53:671 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:671 4632 IRP_MJ_CLOSE : F7A2B218
20:20:53:671 4632 IRP_MJ_READ : F7A2B23C
20:20:53:671 4632 IRP_MJ_WRITE : F7A2B23C
20:20:53:671 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:671 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:671 4632 IRP_MJ_FLUSH_BUFFERS : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:671 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_DEVICE_CONTROL : F7A2B180
20:20:53:671 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7A269E6
20:20:53:671 4632 IRP_MJ_SHUTDOWN : 804F9759
20:20:53:671 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:671 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:671 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:671 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:671 4632 IRP_MJ_POWER : F7A2A5F0
20:20:53:671 4632 IRP_MJ_SYSTEM_CONTROL : F7A28A6E
20:20:53:671 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:671 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:671 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:703 4632 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
20:20:53:703 4632
20:20:53:703 4632 Driver Name: USBSTOR
20:20:53:703 4632 IRP_MJ_CREATE : F7A2B218
20:20:53:703 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:703 4632 IRP_MJ_CLOSE : F7A2B218
20:20:53:703 4632 IRP_MJ_READ : F7A2B23C
20:20:53:703 4632 IRP_MJ_WRITE : F7A2B23C
20:20:53:703 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:703 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:703 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:703 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:703 4632 IRP_MJ_FLUSH_BUFFERS : 804F9759
20:20:53:703 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:703 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:703 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:703 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:703 4632 IRP_MJ_DEVICE_CONTROL : F7A2B180
20:20:53:703 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7A269E6
20:20:53:703 4632 IRP_MJ_SHUTDOWN : 804F9759
20:20:53:703 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:703 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:703 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:703 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:703 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:703 4632 IRP_MJ_POWER : F7A2A5F0
20:20:53:703 4632 IRP_MJ_SYSTEM_CONTROL : F7A28A6E
20:20:53:703 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:703 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:703 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:703 4632 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
20:20:53:703 4632
20:20:53:703 4632 Driver Name: USBSTOR
20:20:53:703 4632 IRP_MJ_CREATE : F7A2B218
20:20:53:703 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:703 4632 IRP_MJ_CLOSE : F7A2B218
20:20:53:703 4632 IRP_MJ_READ : F7A2B23C
20:20:53:703 4632 IRP_MJ_WRITE : F7A2B23C
20:20:53:703 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:703 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:703 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:703 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:703 4632 IRP_MJ_FLUSH_BUFFERS : 804F9759
20:20:53:703 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:703 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:703 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:703 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:703 4632 IRP_MJ_DEVICE_CONTROL : F7A2B180
20:20:53:703 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7A269E6
20:20:53:703 4632 IRP_MJ_SHUTDOWN : 804F9759
20:20:53:703 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:703 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:703 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:703 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:703 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:703 4632 IRP_MJ_POWER : F7A2A5F0
20:20:53:703 4632 IRP_MJ_SYSTEM_CONTROL : F7A28A6E
20:20:53:703 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:703 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:703 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:718 4632 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
20:20:53:718 4632
20:20:53:718 4632 Driver Name: USBSTOR
20:20:53:718 4632 IRP_MJ_CREATE : F7A2B218
20:20:53:718 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:718 4632 IRP_MJ_CLOSE : F7A2B218
20:20:53:718 4632 IRP_MJ_READ : F7A2B23C
20:20:53:718 4632 IRP_MJ_WRITE : F7A2B23C
20:20:53:718 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:718 4632 IRP_MJ_FLUSH_BUFFERS : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_DEVICE_CONTROL : F7A2B180
20:20:53:718 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7A269E6
20:20:53:718 4632 IRP_MJ_SHUTDOWN : 804F9759
20:20:53:718 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:718 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_POWER : F7A2A5F0
20:20:53:718 4632 IRP_MJ_SYSTEM_CONTROL : F7A28A6E
20:20:53:718 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:718 4632 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
20:20:53:718 4632
20:20:53:718 4632 Driver Name: Disk
20:20:53:718 4632 IRP_MJ_CREATE : F7774BB0
20:20:53:718 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:718 4632 IRP_MJ_CLOSE : F7774BB0
20:20:53:718 4632 IRP_MJ_READ : F776ED1F
20:20:53:718 4632 IRP_MJ_WRITE : F776ED1F
20:20:53:718 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:718 4632 IRP_MJ_FLUSH_BUFFERS : F776F2E2
20:20:53:718 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_DEVICE_CONTROL : F776F3BB
20:20:53:718 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7772F28
20:20:53:718 4632 IRP_MJ_SHUTDOWN : F776F2E2
20:20:53:718 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:718 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_POWER : F7770C82
20:20:53:718 4632 IRP_MJ_SYSTEM_CONTROL : F777599E
20:20:53:718 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:718 4632 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
20:20:53:718 4632
20:20:53:718 4632 Driver Name: Disk
20:20:53:718 4632 IRP_MJ_CREATE : F7774BB0
20:20:53:718 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:718 4632 IRP_MJ_CLOSE : F7774BB0
20:20:53:718 4632 IRP_MJ_READ : F776ED1F
20:20:53:718 4632 IRP_MJ_WRITE : F776ED1F
20:20:53:718 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:718 4632 IRP_MJ_FLUSH_BUFFERS : F776F2E2
20:20:53:718 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_DEVICE_CONTROL : F776F3BB
20:20:53:718 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7772F28
20:20:53:718 4632 IRP_MJ_SHUTDOWN : F776F2E2
20:20:53:718 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:718 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_POWER : F7770C82
20:20:53:718 4632 IRP_MJ_SYSTEM_CONTROL : F777599E
20:20:53:718 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:718 4632 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
20:20:53:718 4632
20:20:53:718 4632 Driver Name: Disk
20:20:53:718 4632 IRP_MJ_CREATE : F7774BB0
20:20:53:718 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:718 4632 IRP_MJ_CLOSE : F7774BB0
20:20:53:718 4632 IRP_MJ_READ : F776ED1F
20:20:53:718 4632 IRP_MJ_WRITE : F776ED1F
20:20:53:718 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:718 4632 IRP_MJ_FLUSH_BUFFERS : F776F2E2
20:20:53:718 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_DEVICE_CONTROL : F776F3BB
20:20:53:718 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7772F28
20:20:53:718 4632 IRP_MJ_SHUTDOWN : F776F2E2
20:20:53:718 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:718 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_POWER : F7770C82
20:20:53:718 4632 IRP_MJ_SYSTEM_CONTROL : F777599E
20:20:53:718 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:718 4632 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
20:20:53:718 4632
20:20:53:718 4632 Driver Name: atapi
20:20:53:718 4632 IRP_MJ_CREATE : F76A06F2
20:20:53:718 4632 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
20:20:53:718 4632 IRP_MJ_CLOSE : F76A06F2
20:20:53:718 4632 IRP_MJ_READ : 804F9759
20:20:53:718 4632 IRP_MJ_WRITE : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_EA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_EA : 804F9759
20:20:53:718 4632 IRP_MJ_FLUSH_BUFFERS : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
20:20:53:718 4632 IRP_MJ_DIRECTORY_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_DEVICE_CONTROL : F76A0712
20:20:53:718 4632 IRP_MJ_INTERNAL_DEVICE_CONTROL : F769C852
20:20:53:718 4632 IRP_MJ_SHUTDOWN : 804F9759
20:20:53:718 4632 IRP_MJ_LOCK_CONTROL : 804F9759
20:20:53:718 4632 IRP_MJ_CLEANUP : 804F9759
20:20:53:718 4632 IRP_MJ_CREATE_MAILSLOT : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_SET_SECURITY : 804F9759
20:20:53:718 4632 IRP_MJ_POWER : F76A073C
20:20:53:718 4632 IRP_MJ_SYSTEM_CONTROL : F76A7336
20:20:53:718 4632 IRP_MJ_DEVICE_CHANGE : 804F9759
20:20:53:718 4632 IRP_MJ_QUERY_QUOTA : 804F9759
20:20:53:718 4632 IRP_MJ_SET_QUOTA : 804F9759
20:20:53:734 4632 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
20:20:53:734 4632
20:20:53:734 4632 Completed
20:20:53:734 4632
20:20:53:734 4632 Results:
20:20:53:734 4632 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
20:20:53:734 4632 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
20:20:53:734 4632 File objects infected / cured / cured on reboot: 0 / 0 / 0
20:20:53:734 4632
20:20:53:750 4632 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
20:20:53:750 4632 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
20:20:53:750 4632 KLMD(ARK) unloaded successfully
0
Réponse 11 / 17
toto.girard
3 mai 2010 à 20:31
quand le bloc c'est ouvert apres l'analyse il etait vide alors je suis allé le chercher dans c: comme tu m'avais dit.
0
Réponse 12 / 17
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mai 2010 à 22:27
Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp
0
Réponse 13 / 17
toto.girard
4 mai 2010 à 21:05
rapport zhp

http://www.cijoint.fr/cjlink.php?file=cj201005/cijfaMzqkI.txt
0
Réponse 14 / 17
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 mai 2010 à 13:46
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).



1) Les barres d'outils

Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille de désinstaller les tiennes, tu en as 3 ! (barre d'outil Google, Windows Live, Yahoo).
Pour ça, ferme ton navigateur, puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle la Google Toolbar, la Yahoo Toolbar et la Windows Live Toolbar.



2) Sécurise ton ordinateur

* Logiciels de protection :
Garde un antivirus (NOD32 dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins --> désinstalle Trojan Remover.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Internet Explorer n'est pas à jour, c'est une faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes. Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes (J2SE Runtime Environment 5.0 Update 6 / Java 6 Update 3 / Java SE Runtime Environment 6 Update 1) et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Je vois que tu utilises Adobe Reader et qu'en plus il n'est pas à jour, c'est une grosse faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Ensuite, je te conseille de le remplacer par Sumatra PDF qui est beaucoup plus léger et qui pose beaucoup moins de problèmes de sécurité.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)



3) Télécharge hijackthis --> installe le --> lance le --> choisis "Do a system scan only" --> coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :

R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) (2008, 7, 28, 01) -- C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - Global Startup: Adobe Gamma Loader.lnk . (.Adobe Systems, Inc. - Adobe Gamma Loader.) -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk . (.Logitech - LDM Configuration Application.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: WinZip Quick Pick.lnk . (.WinZip Computing, S.L. - WinZip Executable.) -- C:\Program Files\WinZip\WZQKPICK.EXE

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"



4) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aider



5) Télécharge Ccleaner. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation), puis lance le.
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



6) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



8) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.



9) Ton ordinateur a été sévèrement compromis : par précaution, je te conseille de changer tous tes mots de passe importants (mots de passe de ta banque en ligne, ebay, paypal etc...), pour éviter qu'ils ne soient utilisés par quelqu'un d'autre si l'infection les a récupérés...




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

0
Réponse 15 / 17
toto.girard
5 mai 2010 à 21:30
merci pour tout je n'arrive pas a purger la restauration du systeme parce que je n'ai pas les meme oinglet que dans le tutoriel, moi je n'ai pas l'onglet restauration systeme
0
Réponse 16 / 17
toto.girard
5 mai 2010 à 21:41
ma barre d'outil internet est en anglais et mes options internet dans le poste de travail sont en anglais, t'as une astuce pour y remettre en francais.merci
0
Réponse 17 / 17
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
7 mai 2010 à 01:28
Quelle "barre d'outil internet" ?

0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses