Virus protector bloque mon pc !

Anais -  
 gen-hackman -
Bonjour,

Hier j'ai le logiciel Virus protector qui s'est mis en route, jai du le telecharger sans le savoir, il n'arreté pas de s'ouvrir, j'ai essayé de le supprimer mais sans succés, pas grave, je me suis dit que je verrais ça demain. Se matin j'allume le pc, et là, le logiciel prends toute la page !! je ne peux plus acceder à rien.
Du coup je fais une petite recherche à partir de mon autre pc, et je trouve 2 solution.

* Demarer avec l'invite de commande, puis dir.exe pour supprimer certains fichier, mais il est noté fichier introuvable

* Restaurer le system, probléme : Aucun point de restauration n'a été creer ..

Je ne sais plus quoi faire ! Mon second pc est un eeepc, c'est limité =(

34 réponses

  • 1
  • 2
Résumé de la discussion

Le sujet décrit une infection par un logiciel malveillant baptisé Virus Protector qui se déclenche à l'insu de l'utilisateur et bloque l'affichage et l'accès au système.
Plusieurs éléments suggèrent une architecture avancée de type rootkit, avec des composants cachés, des processus et des pilotes détectés, et la restauration système indisponible sur certaines machines.
Des solutions indirectes sont discutées, comme démarrer en mode sans échec ou via l'invite de commande pour supprimer des fichiers et des points de restauration manquants.
Des retours évoquent le recours à un support externe, notamment un live USB Linux, pour accéder au disque et nettoyer les traces sans démarrer Windows.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Profil bloqué
     
    Bonjour Demmare en mode sans echec f8 si je me trompe pas.
    0
    1. Anais
       
      Déjà fait ! Ca ne sert à rien
      0
  2. sherred Messages postés 8605 Statut Membre 351
     
    bonjour
    Télécharger Rkill de Grinler sur le bureau, fait double clic pour le lancer.
    Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
    Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
    tu commence par le premier Rkill EXE ,tu tente de poster HijackThis,
    http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

    si cela ne fonctionne tu passe au second Rkill COM ,ETC...
    Rkill EXE: Rkill EXE:
    https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe

    Rkill COM: Rkill COM:
    https://download.bleepingcomputer.com/grinler/rkill.com https://download.bleepingcomputer.com/grinler/rkill.com

    Rkill SCR: Rkill RCS:
    https://download.bleepingcomputer.com/grinler/rkill.scr https://download.bleepingcomputer.com/grinler/rkill.scr

    Rkill PIF: Rkill PIF:
    http://download.bleepingcomputer.com/grinler/rkill.pif http://download.bleepingcomputer.com/grinler/rkill.pif
    pour Vista et Seven faire un clic-droit et Exécuter en tant qu'Administrateur)
    ------------------
    ensuite
    télécharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    le programme va se mettre automatiquement a jour.
    S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
    https://www.malekal.com/tutorial-aboutbuster/
    Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log
    0
    1. Anais
       
      Je ne peux acceder à rien, donc aucun moyen de telecharger un logiciel sur le web
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      ok
      regarde si le demarrage sans echec fontionne
      Pour démarrer en mode sans échec AVEC prise en charge reseau

      >>1--demarre ou redémarre l'ordinateur. L'affichage affichent la progression du BIOS,

      >>2--A la fin du chargement du BIOS, tapotte sur la touche F8 de ton clavier. jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas redémarre l'ordinateur et essaye de nouveau.

      >>3--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec avec prise en charge reseau » dans le menu puis appuie sur Entrée.


      si ca fonctionne telecharge Malwarebyte's et fait comme sur le message plus haut
      sans utilisé rkill
      0
    3. Anais
       
      j'ai redemarer en mode sans echec avec prise en charge reseau, mais c'est toujours pareil, "l'anti-virus" prends toujours tous l'ecran, toujours accés à rien.
      0
    4. Anais
       
      "tu a acces a l'ivite de commande tu disait plus haut

      donc tu ouvre l'invite de commande et tu tape "explorer" ou "explorer.exe"
      et la tu peu mettre l'add " http://www.malwarebytes.org/mbam/program/mbam-setup.exe"
      dans la case adresse "

      Je n'ai pas accés à Internet, je ne sais pas pourquoi.
      J'ai vu que comme ça je peux avoir accés à mes disques dur, je vais essayé de telecharger ce que tu m'as dit via l'eeepc et le transferais avec le disque dur externe sur l'autre. Je sais pas si ça va marcher.
      0
    5. Anais
       
      J'ai reussi à mettre le programme sur le pc, je l'ai installé mais il ne se lance pas, je desespere.
      J'ai aussi voulu ouvrir un logiciel qui permet de controler l'ordinateur à distance (au cas où quelqu'un voulait m'aider de cette façon) et pareil, ça ne s'ouvre pas.
      0
  3. sherred Messages postés 8605 Statut Membre 351
     
    si tu peu supprimer des fichiers par l'intermediaire de l'invite de commande

    les voici
    c:\Documents and Settings\Bleeping\Application Data\<random>.exe
    c:\Documents and Settings\Bleeping\Application Data\<random>.dll
    c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.exe
    c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.dll
    c:\Program Files\Internet Explorer\<random>.exe
    c:\Program Files\Internet Explorer\<random>.dll
    c:\WINDOWS\<random>.exe
    c:\WINDOWS\<random>.dll
    c:\WINDOWS\system32\<random>.exe
    c:\WINDOWS\system32\<random>.dll
    c:\WINDOWS\system32\drivers\<random>.exe
    c:\WINDOWS\system32\drivers\<random>.dll
    0
    1. Anais
       
      Il ne trouve pas ses fichiers "fichiers inexistants" =(
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      je me suis mal exprimer <random> en language informatique est un nombre aleatoir

      et tu doit avoir un processus qui tourne [random].exe x6 si tu fait un alt ctrl suppr
      dans le gestionnaire des taches si tu peu y acceder il faut stopper [random].exe x6
      ( random) etant un chiffre
      0
    3. Anais
       
      Non, je ne peux pas y acceder. Bien compliqué tout ça =(
      0
    4. sherred Messages postés 8605 Statut Membre 351
       
      recherche encore une fois par exemple dans application Data il doit y avoir un 215489.exe
      ce sont des nombres aleatoires

      c:\Documents and Settings\Bleeping\Application Data\<random>.exe
      c:\Documents and Settings\Bleeping\Application Data\<random>.dll
      c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.exe
      c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.dll
      c:\Program Files\Internet Explorer\<random>.exe
      c:\Program Files\Internet Explorer\<random>.dll
      c:\WINDOWS\<random>.exe
      c:\WINDOWS\<random>.dll
      c:\WINDOWS\system32\<random>.exe
      c:\WINDOWS\system32\<random>.dll
      c:\WINDOWS\system32\drivers\<random>.exe
      c:\WINDOWS\system32\drivers\<random>.dll
      0
    5. Anais
       
      Je viens de taper "dir" (sans le .exe) et j'ai tout un tas de truc, c'est là dedans que je suis cencé supprimer quelque chose ?

      Oui je sais, je ne suis pas doué du tout =S
      0
  4. sherred Messages postés 8605 Statut Membre 351
     
    je vois
    le language "dos" n'est pas ta tasse de thé
    tu dois taper "cd" et le chemin a suivre
    donc , pour la premiere ligne
    "cd Documents and Settings"
    "cd Bleeping"
    "cd Application Data"
    ou bien entendu tu peu le faire en entier "cd Documents and Settings\Bleeping\Application Data"
    et la tu fait un "dir" tu cherche le "random".exe exemple: 321.exe
    et la tu fait un "delete 321.exe" par exemple
    pour revenir en arriere tu fait "cd.."autant de fois qu'il faut
    on peu faire plus direct maisje ne veux pas t'embrouillé
    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    bonjour un coup de main m'a ete demandé

    Anais :

    dans ton invité de commande tape :

    dir /A/B/S "%Userprofile%\Application data\*.exe" >> c:\a.txt

    puis ensuite :

    reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >> c:\a.txt

    puis ensuite :

    for /f "tokens=*" %%a in ('dir /A/B/S "%Homedrive%\*.*" ^|findstr "\\Protector"') do echo %%~a >> c:\a.txt

    puis ensuite :

    notepad c:\a.txt

    valide par entrée a chaque fois

    donne les resultats obtenus
    ?G3?-?@¢??@?(TM)©®?
    0
    1. gen-hackman
       
      moindre souci d'incomprehension , , pose des questions
      ecris exactement ce que tu lis

      pour le caractère "|" c'est altGr + 6
      pour le caractere "^"' c'est AltGr + 9
      0
    2. Anais56 Messages postés 39 Statut Membre
       
      Je marque exactement la même chose où jai des choses à remplacer ?
      Normal que c'est marqué "c:\windows\system32\ " sans même que je tape quelque chose ?
      0
    3. gen-hackman
       
      oui tu ecris après le : ">"

      si tu n"'y arrive pas on fera encore autrement t'inquiete j'ai des ressources
      0
    4. Anais56 Messages postés 39 Statut Membre
       
      Alors, si je marque exactement dir /A/B/S "%Userprofile%\Application data\*.exe" >> c:\a.txt , ça me dis que le chemin d'accés spécifié est introuvable.

      Merci de passé autant de temps pour m'aider, c'est gentil, surtout que ça ne doit pas être simple avec moi.
      0
    5. Anais56 Messages postés 39 Statut Membre
       
      J'ai fait une petite faute de frappe la 1ere fois, j'ai donc retappé, ça me donne fichier introuvable .. pas beaucoup mieux :/
      0
  7. gen-hackman
     
    ok tu es sur vista ?
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      Oops, oui ! J'ai oublié de le precisé désolé
      0
  8. gen-hackman
     
    je comprends mieux pas grave fais les autres
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      Pour le suivant, Erreur : la modification du Registre a été désactivé par votre administrateur.
      0
    2. Anais56 Messages postés 39 Statut Membre
       
      Ensuite, le 3 éme %%a était innatendu.
      0
    3. Anais56 Messages postés 39 Statut Membre
       
      le dernier m'ouvre le bloc note vide
      0
  9. gen-hackman
     
    logique pour le dernier.....

    attends je viens de voir un truc......tu peux lancer un logiciel de ta clé usb tu as dit ?
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      J'ai pu l'installer mais pas le lancer
      0
  10. gen-hackman
     
    bon je vais essayer de te concocter un truc

    essaie de lancer ceci en attendant et dis si ca demarre :

    http://www.forum-aide-contre-virus.be/listkillem/download/Anaïs.pif
    0
    1. gen-hackman
       
      tu le copies sur la cle usb puis tu laces la commande :

      X:\Anaïs.pif

      X etant la lettre de ta clé
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      sa clé est reconnue ???
      0
  11. gen-hackman
     
    bah comment elle aurait mit mbam ?
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      oui c'est vrai ... disque dur externe
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      il existe des antivir et des outils que l'ont peut booter au demarrage ou executer en commande dos tel que http://www.sophos.com/tools/sav32sfx.exe (c'est pas le meilleur exemple)
      qu'en pense tu ?
      ou mieux https://www.commentcamarche.net/faq/22656-antivirus-bootable-scanner-son-systeme-avec-antivir
      0
  12. gen-hackman
     
    l'inconvenient est que si presence de rootkits qui bloque les exe , y a rien qui demarre c'est pour ca que je lui ai envoyé sous format .pif
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      je comprend , et je te fait confiance, c'est pour cela que je t'ai demandé de l'aide
      mais tu pense que un cd bootable pourait etre bloqué par un rootkits ? c'est peu probable non ?
      0
  13. gen-hackman
     
    tout à fait tant que le win ne demarre pas^^

    d'ou l'utilité dans certains cas des boots linux :)
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      C'est bien compliqué tout ça ^^
      Je mange et je fais ce que tu m'a dit aprés.
      0
  14. gen-hackman
     
    ok bon ap' ;)
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      Désolé, je n'ai pas pu me conecter avant maintenant.
      Le lien que tu m'as donné est mort
      0
  15. gen-hackman
     
    celui-ci ? (desolé j'essaie tous les mioyens ^^=

    http://sd-1.archive-host.com/membres/up/829108531491024/Temp_Tools/gmer.zip
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      Celui çi c'est bon ^^
      0
  16. gen-hackman
     
    bien !!
    0
    1. gen-hackman
       
      super reponds oui
      0
    2. Anais56 Messages postés 39 Statut Membre
       
      Ok
      0
    3. Anais56 Messages postés 39 Statut Membre
       
      J'ai eu se message : WARNING !!! GMER has found system modification caused bye ROOTKIT activity

      Aprés le scan s'est terminé, jdois te dire quoi ?
      0
  17. gen-hackman
     
    et tu as un rapport a fournir ?
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      Bah j'ai la liste de tout ce qui a été scanné, avec quelques trucs en rouge
      0
  18. gen-hackman
     
    tu as suivi toutes les indications ?
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      Quels indication ? Je n'ai rien eu !
      La photo que je t'ai envoyé c'est ce que j'ai eu quand j'ai lancé le programme, ensuite ça a scanné jusqu'à ce que j'ai le message que je t'ai noté plus haut, c'est tout.
      0
  19. gen-hackman
     
    j'attends le rapport
    0
    1. Anais56 Messages postés 39 Statut Membre
       
      GMER 1.0.15.15281 - http://www.gmer.net
      Rootkit scan 2010-05-08 19:53:33
      Windows 6.0.6001 Service Pack 1
      Running: gmer.exe; Driver: C:\Users\ANAS~1\AppData\Local\Temp\ugtdrpow.sys


      ---- System - GMER 1.0.15 ----

      INT 0x52 ? 8562CBF8
      INT 0x62 ? 8562CBF8
      INT 0x72 ? 8562CBF8
      INT 0x82 ? 84497BF8
      INT 0x92 ? 84497BF8
      INT 0xA2 ? 84497BF8
      INT 0xB3 ? 8562CBF8

      Code 8585ECD8 ZwEnumerateKey
      Code 8585E2F8 ZwFlushInstructionCache
      Code 85869D75 IofCallDriver
      Code 8584F5C6 IofCompleteRequest

      ---- Kernel code sections - GMER 1.0.15 ----

      .text ntkrnlpa.exe!IofCompleteRequest 8207CFE2 5 Bytes JMP 8584F5CB
      .text ntkrnlpa.exe!IofCallDriver 820FEF6F 5 Bytes JMP 85869D7A
      PAGE ntkrnlpa.exe!ZwFlushInstructionCache 821F530B 5 Bytes JMP 8585E2FC
      PAGE ntkrnlpa.exe!ZwEnumerateKey 8224ABA2 5 Bytes JMP 8585ECDC
      ? System32\Drivers\spex.sys Le fichier spécifié est introuvable. !
      .text USBPORT.SYS!DllUnload 82DBB46F 5 Bytes JMP 8562C1D8

      ---- Kernel IAT/EAT - GMER 1.0.15 ----

      IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8060F6D2] \SystemRoot\System32\Drivers\spex.sys
      IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8060F040] \SystemRoot\System32\Drivers\spex.sys
      IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8060F7FC] \SystemRoot\System32\Drivers\spex.sys
      IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8060F0BE] \SystemRoot\System32\Drivers\spex.sys
      IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8060F13C] \SystemRoot\System32\Drivers\spex.sys
      IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8061ED92] \SystemRoot\System32\Drivers\spex.sys

      ---- Devices - GMER 1.0.15 ----

      Device \FileSystem\Ntfs \Ntfs 852591F8
      Device \FileSystem\fastfat \FatCdrom 8589D1F8

      AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
      AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

      Device \Driver\volmgr \Device\VolMgrControl 852561F8
      Device \Driver\usbohci \Device\USBPDO-0 855171F8
      Device \Driver\usbohci \Device\USBPDO-1 855171F8
      Device \Driver\usbohci \Device\USBPDO-2 855171F8
      Device \Driver\usbohci \Device\USBPDO-3 855171F8
      Device \Driver\sptd \Device\1795317086 spex.sys
      Device \Driver\usbohci \Device\USBPDO-4 855171F8
      Device \Driver\usbehci \Device\USBPDO-5 855061F8
      Device \Driver\volmgr \Device\HarddiskVolume1 852561F8

      AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
      AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

      Device \Driver\volmgr \Device\HarddiskVolume2 852561F8

      AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
      AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

      Device \Driver\volmgr \Device\HarddiskVolume3 852561F8

      AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
      AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

      Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 852581F8
      Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-4 852581F8
      Device \Driver\atapi \Device\Ide\IdePort0 852581F8
      Device \Driver\atapi \Device\Ide\IdePort1 852581F8
      Device \Driver\atapi \Device\Ide\IdePort2 852581F8
      Device \Driver\atapi \Device\Ide\IdePort3 852581F8
      Device \Driver\volmgr \Device\HarddiskVolume5 852561F8

      AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
      AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

      Device \Driver\USBSTOR \Device\00000091 8583C500
      Device \Driver\USBSTOR \Device\00000092 8583C500
      Device \Driver\iScsiPrt \Device\RaidPort0 855E0500
      Device \Driver\PCI_PNP7036 \Device\0000005d spex.sys
      Device \Driver\usbohci \Device\USBFDO-0 855171F8
      Device \Driver\usbohci \Device\USBFDO-1 855171F8
      Device \Driver\usbohci \Device\USBFDO-2 855171F8
      Device \Driver\usbohci \Device\USBFDO-3 855171F8
      Device \Driver\usbohci \Device\USBFDO-4 855171F8
      Device \Driver\usbehci \Device\USBFDO-5 855061F8
      Device \Driver\aaywi2tf \Device\Scsi\aaywi2tf1 855CB500
      Device \FileSystem\fastfat \Fat 8589D1F8

      AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

      Device \FileSystem\cdfs \Cdfs 859A8500
      Device \FileSystem\cdfs \Cdfs 8B6DA797
      ---- Processes - GMER 1.0.15 ----

      Library \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll (*** hidden *** ) @ C:\Windows\system32\svchost.exe [864] 0x10000000
      Library F:\gmer.exe (*** hidden *** ) @ F:\gmer.exe [1980] 0x00400000

      ---- Services - GMER 1.0.15 ----

      Service C:\Windows\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!

      ---- Registry - GMER 1.0.15 ----

      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start 1
      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type 1
      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group file system
      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
      Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x10 0xCE 0xE7 0x7B ...
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@start 1
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@type 1
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@group file system
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
      Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@start 1
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@type 1
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@group file system
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
      Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
      Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
      Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
      Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x10 0xCE 0xE7 0x7B ...
      Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

      ---- Files - GMER 1.0.15 ----

      File C:\Program Files\ATI Technologies\ATI.ACE\Core-Implementation\fr\CLI.Component.Dashboard.resources.dll (size mismatch) 147456/184320 bytes executable
      File C:\Program Files\ATI Technologies\ATI.ACE\Graphics-Light\de\CLI.Caste.Graphics.Runtime.resources.dll (size mismatch) 36864/5120 bytes executable
      File C:\Program Files\System\Ole DB\fr-FR\sqloledb.rll.mui (size mismatch) 69632/57344 bytes executable
      File C:\Program Files\SYSTRAN\6\Dicts\ljstpl.dll (size mismatch) 58880/54784 bytes executable
      File C:\Program Files\DivX\DivX Converter\gzHF330.ddc (size mismatch) 102400/61440 bytes executable
      File C:\Program Files\Yamicsoft\Vista Manager\Uninstall.ico (size mismatch) 10752/15086 bytes executable
      File C:\Program Files\Microsoft Games\Purble Place\PurblePlace2.dll (size mismatch) 28665856/8384512 bytes executable
      File C:\Windows\System32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys 48128 bytes executable <-- ROOTKIT !!!
      File C:\Windows\System32\DriverStore\FileRepository\prnca001.inf_92fbd03f\I386\CNBI860.GPD (size mismatch) 74752/18517 bytes executable
      File C:\Windows\System32\gxvxccount 4 bytes
      File C:\Windows\System32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll 22529 bytes executable
      File C:\Windows\System32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll 27649 bytes executable
      File C:\Windows\System32\kbdax2.dll (size mismatch) 5632/6656 bytes executable
      File C:\Windows\System32\spool\drivers\w32x86\3\fr-FR\CN50002.DLL.mui (size mismatch) 5120/2560 bytes executable
      File C:\Windows\winsxs\Backup\x86_microsoft-windows-mlang.resources_31bf3856ad364e35_6.0.6001.18000_hr-hr_6f01d038eaea2599.manifest (size mismatch) 16384/3699 bytes executable
      File C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\Tfs_DAV 0 bytes

      ---- EOF - GMER 1.0.15 ----
      0
    2. Anais56 Messages postés 39 Statut Membre
       
      C'est ça ?
      0
    3. sherred Messages postés 8605 Statut Membre 351
       
      ouai il est là , c'est pas une serie de chiffres mais de lettres aleatoire


      GL
      0
  • 1
  • 2