Avira a détecté un virus: rootkit. Aide svp.
Résolu/Fermé
A voir également:
- Avira rootkit
- Avira - Télécharger - Antivirus & Antimalwares
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Anti rootkit gratuit - Télécharger - Antivirus & Antimalwares
- Avira rescue system - Télécharger - Antivirus & Antimalwares
40 réponses
Utilisateur anonyme
2 mai 2010 à 23:24
2 mai 2010 à 23:24
bonsoir
Il ne faut pas supprimer le fichier surtout
Attention, cet outil n'est pas à utiliser à la légère, et doit
être recommandé que par une personne formée à cet outil
Imprime la procédure
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
tutoriel pour bien utiliser l'outil
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
Surtout, accepte d'installer la console de récupération
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Il ne faut pas supprimer le fichier surtout
Attention, cet outil n'est pas à utiliser à la légère, et doit
être recommandé que par une personne formée à cet outil
Imprime la procédure
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
tutoriel pour bien utiliser l'outil
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
Surtout, accepte d'installer la console de récupération
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Utilisateur anonyme
Modifié par nathandre le 2/05/2010 à 23:45
Modifié par nathandre le 2/05/2010 à 23:45
dans aperçu, clique sur désactiver en face
d'antivir guard
je te fait faire combofix car antivir a trouvé des objets cachés par le rootkit et qu'il n'a pas supprimé
un rootkit ne se supprime pas comme cela, c'est malin, il cache des éléments pour
ne pas se faire remarquer
Ne t'inquiète pas, je connais cet outil, sinon, je ne l'aurai pas recommandé
Surtout, désactive toutes les protections, car ils risquent de gêner l'outil
Je verrai le résultat demain
d'antivir guard
je te fait faire combofix car antivir a trouvé des objets cachés par le rootkit et qu'il n'a pas supprimé
un rootkit ne se supprime pas comme cela, c'est malin, il cache des éléments pour
ne pas se faire remarquer
Ne t'inquiète pas, je connais cet outil, sinon, je ne l'aurai pas recommandé
Surtout, désactive toutes les protections, car ils risquent de gêner l'outil
Je verrai le résultat demain
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
3 mai 2010 à 13:56
3 mai 2010 à 13:56
Bonjour
Dans aperçu, clique sur Etat, puis clique sur
désactiver, pour désactiver AntiVir Guard
Dans aperçu, clique sur Etat, puis clique sur
désactiver, pour désactiver AntiVir Guard
Deux problèmes se posent. Combo me demande de renommer le fichier. Chose que j'ai faite, mais il ne me demande pas d'installer la console de récupération.
Utilisateur anonyme
Modifié par nathandre le 3/05/2010 à 14:15
Modifié par nathandre le 3/05/2010 à 14:15
Est-ce que tu sauvegardes régulièrement tes documents ?
Sinon, je te conseille de le faire
Continue, on verra bien
Sinon, je te conseille de le faire
Continue, on verra bien
ComboFix 10-05-02.03 - diane lore 03/05/2010 15:06:24.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.582 [GMT 2:00]
Lancé depuis: c:\documents and settings\diane lore\Bureau\Diane31.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\DIANEL~1\LOCALS~1\Temp\svchost.exe
c:\program files\WindowsUpdate
c:\recycler\S-1-5-21-1757981266-57989841-1547161642-1003
D:\Autorun.inf
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-03 au 2010-05-03 ))))))))))))))))))))))))))))))))))))
.
2010-05-02 20:24 . 2010-05-02 20:24 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-05-02 20:24 . 2010-05-02 20:24 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-05-02 12:59 . 2010-05-03 13:14 755200 ----a-w- c:\windows\system32\drivers\zfhwi.sys
2010-05-02 12:59 . 2008-04-13 09:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-05-02 12:59 . 2008-04-13 09:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-05-02 12:59 . 2008-04-13 09:41 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-05-02 12:59 . 2008-04-13 09:41 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-05-01 08:58 . 2008-04-14 12:00 838144 -c--a-w- c:\windows\system32\dllcache\chtbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 838144 ----a-w- c:\windows\system32\chtbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 1677824 -c--a-w- c:\windows\system32\dllcache\chsbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 1677824 ----a-w- c:\windows\system32\chsbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 98304 -c--a-w- c:\windows\system32\dllcache\msir3jp.dll
2010-05-01 08:58 . 2008-04-14 12:00 98304 ----a-w- c:\windows\system32\msir3jp.dll
2010-05-01 08:58 . 2008-04-14 12:00 70656 -c--a-w- c:\windows\system32\dllcache\korwbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 70656 ----a-w- c:\windows\system32\korwbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 10096640 -c--a-w- c:\windows\system32\dllcache\hwxcht.dll
2010-05-01 08:54 . 2001-08-23 15:47 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
2010-05-01 08:54 . 2001-08-23 15:47 8704 ----a-w- c:\windows\system32\kbdjpn.dll
2010-05-01 08:54 . 2001-08-23 15:47 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-05-01 08:54 . 2001-08-23 15:47 8192 ----a-w- c:\windows\system32\kbdkor.dll
2010-05-01 08:54 . 2001-08-17 20:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
2010-05-01 08:54 . 2001-08-17 20:55 6144 ----a-w- c:\windows\system32\kbd101c.dll
2010-05-01 08:54 . 2001-08-17 20:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
2010-05-01 08:54 . 2001-08-17 20:55 5632 ----a-w- c:\windows\system32\kbd103.dll
2010-05-01 08:54 . 2001-08-17 20:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101b.dll
2010-05-01 08:54 . 2001-08-17 20:55 6144 ----a-w- c:\windows\system32\kbd101b.dll
2010-05-01 08:54 . 2008-04-13 17:31 6144 -c--a-w- c:\windows\system32\dllcache\kbd106.dll
2010-05-01 08:54 . 2008-04-13 17:31 6144 ----a-w- c:\windows\system32\kbd106.dll
2010-04-24 18:56 . 2001-08-23 15:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
2010-04-24 18:56 . 2008-04-13 17:33 159232 ----a-w- c:\windows\system32\ptpusd.dll
2010-04-24 18:56 . 2008-04-13 09:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-04-24 18:56 . 2008-04-13 09:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-04-22 18:41 . 2010-04-22 18:41 49152 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-04-22 18:41 . 2010-04-22 18:41 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-04-22 18:41 . 2010-04-22 18:41 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-04-22 18:41 . 2010-04-22 18:41 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-04-22 18:41 . 2010-04-22 18:41 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-04-22 10:01 . 2010-04-22 10:01 -------- d-----w- c:\documents and settings\diane lore\Application Data\TeamViewer
2010-04-08 18:20 . 2010-04-08 18:20 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-04-08 18:20 . 2010-04-24 09:47 -------- d-----w- c:\documents and settings\diane lore\Application Data\skypePM
2010-04-08 18:18 . 2010-04-24 09:53 -------- d-----w- c:\documents and settings\diane lore\Application Data\Skype
2010-04-08 18:16 . 2010-04-08 18:16 -------- d-----w- c:\program files\Fichiers communs\Skype
2010-04-08 18:16 . 2010-04-08 18:18 -------- d-----r- c:\program files\Skype
2010-04-08 18:16 . 2010-04-08 18:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 20:03 . 2009-12-29 12:13 23856 ----a-w- c:\documents and settings\diane lore\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-02 19:34 . 2009-12-30 12:39 1 ----a-w- c:\documents and settings\diane lore\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-02 12:57 . 2010-05-02 12:57 16 ----a-w- c:\documents and settings\diane lore\Application Data\wzmjhy.dat
2010-04-22 18:41 . 2010-04-22 18:41 40960 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-04-22 18:41 . 2010-04-22 18:41 341600 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-04-22 18:41 . 2010-04-22 18:41 308808 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-04-22 18:41 . 2010-04-22 18:41 14848 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
2010-04-22 18:41 . 2010-04-22 18:40 -------- d-----w- c:\program files\Fichiers communs\Real
2010-04-22 18:40 . 2010-04-22 18:40 -------- d-----w- c:\program files\Real
2010-04-22 18:40 . 2010-04-22 18:40 -------- d-----w- c:\program files\Fichiers communs\xing shared
2010-04-22 18:40 . 2010-04-22 18:40 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-04-22 18:40 . 2010-04-22 18:40 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-04-19 23:21 . 2010-01-25 20:18 -------- d-----w- c:\documents and settings\diane lore\Application Data\vlc
2010-03-28 06:59 . 2008-10-28 22:19 49054 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 06:59 . 2008-10-28 22:19 368314 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-12 14:33 . 2010-01-28 21:06 -------- d-----w- c:\documents and settings\diane lore\Application Data\dvdcss
2010-03-10 06:16 . 2008-10-28 22:19 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-10-28 22:19 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-10-28 22:19 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2008-10-28 22:19 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-26 15:54 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-10-28 22:19 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-10-28 22:19 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-30 149280]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-07 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-04-22 202256]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-1 568176]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/12/2009 14:16 108289]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [28/10/2008 18:48 4300]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [28/10/2008 18:52 238464]
S2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 36864]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [30/10/2006 15:29 19840]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - zfhwi
.
Contenu du dossier 'Tâches planifiées'
2010-05-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3100145338-3209319609-4175075645-1005.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
2010-04-29 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3100145338-3209319609-4175075645-1005.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
DPF: {1D6E056F-D1BB-40F6-88E4-11EE98056FD2} - hxxp://wanadoofr.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-03 15:14
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi]
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\igfxdev.dll
.
Heure de fin: 2010-05-03 15:15:45
ComboFix-quarantined-files.txt 2010-05-03 13:15
Avant-CF: 44 527 271 936 octets libres
Après-CF: 44 867 096 576 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - 596453095F0C2B5BEC57AF1C9757D2F7
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.582 [GMT 2:00]
Lancé depuis: c:\documents and settings\diane lore\Bureau\Diane31.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\DIANEL~1\LOCALS~1\Temp\svchost.exe
c:\program files\WindowsUpdate
c:\recycler\S-1-5-21-1757981266-57989841-1547161642-1003
D:\Autorun.inf
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-03 au 2010-05-03 ))))))))))))))))))))))))))))))))))))
.
2010-05-02 20:24 . 2010-05-02 20:24 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-05-02 20:24 . 2010-05-02 20:24 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-05-02 12:59 . 2010-05-03 13:14 755200 ----a-w- c:\windows\system32\drivers\zfhwi.sys
2010-05-02 12:59 . 2008-04-13 09:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-05-02 12:59 . 2008-04-13 09:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-05-02 12:59 . 2008-04-13 09:41 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-05-02 12:59 . 2008-04-13 09:41 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-05-01 08:58 . 2008-04-14 12:00 838144 -c--a-w- c:\windows\system32\dllcache\chtbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 838144 ----a-w- c:\windows\system32\chtbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 1677824 -c--a-w- c:\windows\system32\dllcache\chsbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 1677824 ----a-w- c:\windows\system32\chsbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 98304 -c--a-w- c:\windows\system32\dllcache\msir3jp.dll
2010-05-01 08:58 . 2008-04-14 12:00 98304 ----a-w- c:\windows\system32\msir3jp.dll
2010-05-01 08:58 . 2008-04-14 12:00 70656 -c--a-w- c:\windows\system32\dllcache\korwbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 70656 ----a-w- c:\windows\system32\korwbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00 10096640 -c--a-w- c:\windows\system32\dllcache\hwxcht.dll
2010-05-01 08:54 . 2001-08-23 15:47 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
2010-05-01 08:54 . 2001-08-23 15:47 8704 ----a-w- c:\windows\system32\kbdjpn.dll
2010-05-01 08:54 . 2001-08-23 15:47 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-05-01 08:54 . 2001-08-23 15:47 8192 ----a-w- c:\windows\system32\kbdkor.dll
2010-05-01 08:54 . 2001-08-17 20:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
2010-05-01 08:54 . 2001-08-17 20:55 6144 ----a-w- c:\windows\system32\kbd101c.dll
2010-05-01 08:54 . 2001-08-17 20:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
2010-05-01 08:54 . 2001-08-17 20:55 5632 ----a-w- c:\windows\system32\kbd103.dll
2010-05-01 08:54 . 2001-08-17 20:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101b.dll
2010-05-01 08:54 . 2001-08-17 20:55 6144 ----a-w- c:\windows\system32\kbd101b.dll
2010-05-01 08:54 . 2008-04-13 17:31 6144 -c--a-w- c:\windows\system32\dllcache\kbd106.dll
2010-05-01 08:54 . 2008-04-13 17:31 6144 ----a-w- c:\windows\system32\kbd106.dll
2010-04-24 18:56 . 2001-08-23 15:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
2010-04-24 18:56 . 2008-04-13 17:33 159232 ----a-w- c:\windows\system32\ptpusd.dll
2010-04-24 18:56 . 2008-04-13 09:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-04-24 18:56 . 2008-04-13 09:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-04-22 18:41 . 2010-04-22 18:41 49152 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-04-22 18:41 . 2010-04-22 18:41 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-04-22 18:41 . 2010-04-22 18:41 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-04-22 18:41 . 2010-04-22 18:41 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-04-22 18:41 . 2010-04-22 18:41 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-04-22 10:01 . 2010-04-22 10:01 -------- d-----w- c:\documents and settings\diane lore\Application Data\TeamViewer
2010-04-08 18:20 . 2010-04-08 18:20 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-04-08 18:20 . 2010-04-24 09:47 -------- d-----w- c:\documents and settings\diane lore\Application Data\skypePM
2010-04-08 18:18 . 2010-04-24 09:53 -------- d-----w- c:\documents and settings\diane lore\Application Data\Skype
2010-04-08 18:16 . 2010-04-08 18:16 -------- d-----w- c:\program files\Fichiers communs\Skype
2010-04-08 18:16 . 2010-04-08 18:18 -------- d-----r- c:\program files\Skype
2010-04-08 18:16 . 2010-04-08 18:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 20:03 . 2009-12-29 12:13 23856 ----a-w- c:\documents and settings\diane lore\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-02 19:34 . 2009-12-30 12:39 1 ----a-w- c:\documents and settings\diane lore\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-02 12:57 . 2010-05-02 12:57 16 ----a-w- c:\documents and settings\diane lore\Application Data\wzmjhy.dat
2010-04-22 18:41 . 2010-04-22 18:41 40960 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-04-22 18:41 . 2010-04-22 18:41 341600 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-04-22 18:41 . 2010-04-22 18:41 308808 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-04-22 18:41 . 2010-04-22 18:41 14848 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
2010-04-22 18:41 . 2010-04-22 18:40 -------- d-----w- c:\program files\Fichiers communs\Real
2010-04-22 18:40 . 2010-04-22 18:40 -------- d-----w- c:\program files\Real
2010-04-22 18:40 . 2010-04-22 18:40 -------- d-----w- c:\program files\Fichiers communs\xing shared
2010-04-22 18:40 . 2010-04-22 18:40 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-04-22 18:40 . 2010-04-22 18:40 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-04-19 23:21 . 2010-01-25 20:18 -------- d-----w- c:\documents and settings\diane lore\Application Data\vlc
2010-03-28 06:59 . 2008-10-28 22:19 49054 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 06:59 . 2008-10-28 22:19 368314 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-12 14:33 . 2010-01-28 21:06 -------- d-----w- c:\documents and settings\diane lore\Application Data\dvdcss
2010-03-10 06:16 . 2008-10-28 22:19 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-10-28 22:19 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-10-28 22:19 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2008-10-28 22:19 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-26 15:54 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-10-28 22:19 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-10-28 22:19 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-30 149280]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-07 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-04-22 202256]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-1 568176]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/12/2009 14:16 108289]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [28/10/2008 18:48 4300]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [28/10/2008 18:52 238464]
S2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 36864]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [30/10/2006 15:29 19840]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - zfhwi
.
Contenu du dossier 'Tâches planifiées'
2010-05-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3100145338-3209319609-4175075645-1005.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
2010-04-29 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3100145338-3209319609-4175075645-1005.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
DPF: {1D6E056F-D1BB-40F6-88E4-11EE98056FD2} - hxxp://wanadoofr.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-03 15:14
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi]
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\igfxdev.dll
.
Heure de fin: 2010-05-03 15:15:45
ComboFix-quarantined-files.txt 2010-05-03 13:15
Avant-CF: 44 527 271 936 octets libres
Après-CF: 44 867 096 576 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - 596453095F0C2B5BEC57AF1C9757D2F7
Utilisateur anonyme
3 mai 2010 à 15:29
3 mai 2010 à 15:29
c:\windows\system32\drivers\zfhwi.sys
Analyse sur Virus Total ce fichier
https://www.virustotal.com/gui/
Clique sur parcourir
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
Clique sur envoyer le fichier
une fois le scan terminé, donne moi le résultat
Le rootkit est toujours présent, il se voit dans le rapport, mais je voudra vérifier
ce fichier, car apparamment, il est rootkité
Analyse sur Virus Total ce fichier
https://www.virustotal.com/gui/
Clique sur parcourir
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
Clique sur envoyer le fichier
une fois le scan terminé, donne moi le résultat
Le rootkit est toujours présent, il se voit dans le rapport, mais je voudra vérifier
ce fichier, car apparamment, il est rootkité
Utilisateur anonyme
Modifié par nathandre le 3/05/2010 à 15:54
Modifié par nathandre le 3/05/2010 à 15:54
l'espagnol, je ne le comprends pas
Le rootkit est toujours dans ton PC, car il y a un fichier et un service
il faut supprimer les 2 par une manip spéciale, sinon, il reviendra
Je vais revenir, car j'ai demandé avis, et j'attends la réponses
Si la réponse est favorable, je dois te préparer un script
Quand ton PC sera bien désinfecté, je te conseille vivement de changer
tes mots de passe
Le rootkit est toujours dans ton PC, car il y a un fichier et un service
il faut supprimer les 2 par une manip spéciale, sinon, il reviendra
Je vais revenir, car j'ai demandé avis, et j'attends la réponses
Si la réponse est favorable, je dois te préparer un script
Quand ton PC sera bien désinfecté, je te conseille vivement de changer
tes mots de passe
Je ne comprends pas non plus, désolée!
Merci encore pr tout, c'est vraiment gentil. Et merci du conseil, je changerai les mots de passe, je ne savais pas que le virus était dû à cela.
Merci encore pr tout, c'est vraiment gentil. Et merci du conseil, je changerai les mots de passe, je ne savais pas que le virus était dû à cela.
Utilisateur anonyme
3 mai 2010 à 16:13
3 mai 2010 à 16:13
Pour le moment, évite de taper tes mots de passe sur le clavier
J'attends la réponse
J'attends la réponse
Utilisateur anonyme
Modifié par nathandre le 3/05/2010 à 16:29
Modifié par nathandre le 3/05/2010 à 16:29
c:\windows\system32\MEMIO.SYS
Analyse sur Virus Total
https://www.virustotal.com/gui/
Clique sur parcourir
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
Clique sur envoyer le fichier
une fois le scan terminé, donne moi le résultat
Je dois partir, je reviendrai ce soir
Analyse sur Virus Total
https://www.virustotal.com/gui/
Clique sur parcourir
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
Clique sur envoyer le fichier
une fois le scan terminé, donne moi le résultat
Je dois partir, je reviendrai ce soir
Le fichier a déjà été analysé:
MD5: 8a4cb9438571814b128b6dc30d698064
First received: 2008.02.24 11:29:21 UTC
Date 2010.04.27 08:56:17 UTC [>6D]
Résultats 0/40
Permalink: analisis/2ce7dc464723c427c88e6ffb086330719dfe57f9ef0fe31ae9e0d8d0c910c388-1272358577
MD5: 8a4cb9438571814b128b6dc30d698064
First received: 2008.02.24 11:29:21 UTC
Date 2010.04.27 08:56:17 UTC [>6D]
Résultats 0/40
Permalink: analisis/2ce7dc464723c427c88e6ffb086330719dfe57f9ef0fe31ae9e0d8d0c910c388-1272358577
Utilisateur anonyme
3 mai 2010 à 22:30
3 mai 2010 à 22:30
Attention, ce script a été spécialement conçu pour diane31 . Il ne faut
en aucun cas le transporter sur un autre ordinateur, ce qui pourrai l'endommager
Garde toutes tes protections désactivées
Ouvre le bloc-notes, et copie/colle dans le bloc-note ce qui est en gras ci-dessous:
Suspect::[4]
C:\windows\system32\drivers\zfhwi.sys
KillAll::
Driver::
zfhwi
Rootkit::
C:\windows\system32\drivers\zfhwi.sys
file::
c:\documents and settings\diane lore\Application Data\wzmjhy.dat
registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi]
Enregistre ce fichier sur ton bureau et pas ailleurs sous le nom de CFScript.txt
Quitte le bloc-note
Fait un glisser-déposer de ce fichier CFScript.txt sur l'icône de ComboFix présent sur le bureau
Patiente le temps du scan. Le bureau va disparaitre à plusieurs reprises, c'est normal
Ne touche à rien pendant que le scan n'est pas terminé
Une fois le scan achevé,, poste le rapport. Il est sauvegardé dans C:\Combo Fix.txt
en aucun cas le transporter sur un autre ordinateur, ce qui pourrai l'endommager
Garde toutes tes protections désactivées
Ouvre le bloc-notes, et copie/colle dans le bloc-note ce qui est en gras ci-dessous:
Suspect::[4]
C:\windows\system32\drivers\zfhwi.sys
KillAll::
Driver::
zfhwi
Rootkit::
C:\windows\system32\drivers\zfhwi.sys
file::
c:\documents and settings\diane lore\Application Data\wzmjhy.dat
registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi]
Enregistre ce fichier sur ton bureau et pas ailleurs sous le nom de CFScript.txt
Quitte le bloc-note
Fait un glisser-déposer de ce fichier CFScript.txt sur l'icône de ComboFix présent sur le bureau
Patiente le temps du scan. Le bureau va disparaitre à plusieurs reprises, c'est normal
Ne touche à rien pendant que le scan n'est pas terminé
Une fois le scan achevé,, poste le rapport. Il est sauvegardé dans C:\Combo Fix.txt