TrojanSPM/LX BAT/Agent.143 HTML/FakeAlert.AUD

Résolu
bradyhop Messages postés 5 Statut Membre -  
 gen-hackman -


Bonjour,
je crois que j'ai des problèmes sur mon pc: mon antivirus (Avira) a signalé que j'ai ceci:
TrojanSPM/LX
BAT/Agent.143
HTML/FakeAlert.AUD
TR/Rootkit.Gen

quelqu'un peut-il m'aider à m'en débarrasser?
J'ai essayé de les supprimer, je n'y arrive pas!
merci!

57 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème de sécurité sur Windows XP et Firefox 3.6.3, où l’antivirus Avira signale des malwares et des menaces telles que TrojanSPM/LX BAT/Agent, nécessitant une désinfection complète et une analyse approfondie du système. Des mesures incluent l’utilisation de ComboFix pour supprimer les éléments détectés, puis des outils de nettoyage comme CCleaner, Malwarebytes et ATF Cleaner pour sécuriser et nettoyer le système. D'autres recommandations portent sur la mise à jour des composants critiques (Java, navigateur), l’installation d’un pare-feu fiable, la vérification des points de restauration et le nettoyage des disques. Pour éviter les répétitions, privilégier les sources officielles et sauvegarder les données avant de réinstaller les programmes critiques et surveiller les alertes antivirus, puis effectuer des tests de stabilité après chaque étape.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonsoir,

    * Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
    Double clique sur RSIT.exe pour lancer l'outil.
    Clique sur ' continue ' à l'écran Disclaimer.
    Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
    (log.txt & info.txt)
    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note:
    si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, poste moi seulement les liens

    http://www.cijoint.fr/index.php
    0
  2. bradyhop Messages postés 5 Statut Membre
     
    C'était effectivement trop lourd...
    voici le lien:
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijXnwJbdC.txt
    http://www.cijoint.fr/cjlink.php?file=cj201005/cij1Dp0t7r.txt
    je me suis aperçu après qu'il fallait un lien PAR FICHIER, j'ai donc rechargé le log.txt qui doit être le premier lien. le deuxième est pour info.txt
    0
  3. Utilisateur anonyme
     
    avira a vu juste :-)

    il y a du monde sur ton pc, on va tout virer :-)

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    ► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    ou ici :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    /!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\INSTALLES LA CONSOLE DE RECUPERATION

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  4. bradyhop Messages postés 5 Statut Membre
     
    J'ai telechargé Combofix, puis arrêté tous les programmes y compris avira.
    J'ai retiré mon antenne wifi externe pour couper physiquement la connexion avec internet. (une antenne wifi sur port usb, ressemblant à une clé usb)
    J'ai lancé Combofix et à un moment, il m'a demandé une connexion à internet pour installer la console de récupération -> INCOMPATIBLE avec l'absence de connexion à internet que tu as demandé: j'ai refusé la connexion à internet et je l'ai laissé continuer... j'espère que ca ne pose pas de problème!

    De plus mon pc a eu du mal à redémarrer. D'habitude, c'est pas génial, mal là, il m'a bien fait chier!

    voici le rapport:
    ComboFix 10-05-05.0D - Propriétaire 06/05/2010 20:05:57.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.479.240 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\PROPRI~1\LOCALS~1\Temp\svchost.exe
    c:\documents and settings\Propriétaire\Recent\Thumbs.db
    c:\windows\system32\11478.exe
    c:\windows\system32\15724.exe
    c:\windows\system32\18467.exe
    c:\windows\system32\19169.exe
    c:\windows\system32\23281.exe
    c:\windows\system32\24464.exe
    c:\windows\system32\26500.exe
    c:\windows\system32\26962.exe
    c:\windows\system32\28145.exe
    c:\windows\system32\29358.exe
    c:\windows\system32\41.exe
    c:\windows\system32\5705.exe
    c:\windows\system32\6334.exe
    c:\windows\system32\ES15.exe
    c:\windows\system32\helpers32.dll
    c:\windows\system32\smss32.exe
    c:\windows\system32\winlogon32.exe

    Une copie infectée de c:\windows\system32\logman.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\logman.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-06 16:12 . 2010-05-06 16:13 -------- d-----w- C:\rsit
    2010-05-06 13:43 . 2010-05-06 13:43 74752 ------w- c:\windows\system32\dcfa.sys
    2010-05-06 13:37 . 2010-05-06 18:25 859648 ----a-w- c:\windows\system32\drivers\fasabvqv.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-06 16:13 . 2009-08-03 19:24 -------- d-----w- c:\program files\Trend Micro
    2010-04-06 09:41 . 2003-04-24 12:00 81294 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-06 09:41 . 2003-04-24 12:00 501470 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-12 09:42 . 2010-03-12 09:42 -------- d-----w- c:\program files\Fichiers communs\Java
    2010-03-12 09:41 . 2009-01-05 22:15 -------- d-----w- c:\program files\Java
    2010-03-10 06:16 . 2003-04-24 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-25 06:17 . 2003-04-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 12:31 . 2003-04-24 12:00 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-16 19:33 . 2003-04-24 12:00 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-02-16 19:33 . 2002-08-29 11:42 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-02-12 10:03 . 2010-02-25 11:20 293376 ------w- c:\windows\system32\browserchoice.exe
    2010-02-12 04:46 . 2003-04-24 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
    2010-02-11 12:01 . 2003-04-24 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PCTVOICE"="pctspk.exe" [2002-09-10 167936]
    "fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-5 110592]
    NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2008-7-1 1929216]
    Utility Tray.lnk - c:\windows\system32\sistray.exe [2008-9-20 352256]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\WINDOWS\\system32\\dplaysvr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

    R1 dcfa;dcfa;c:\windows\system32\dcfa.sys [06/05/2010 15:43 74752]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/11/2009 00:32 108289]
    R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09/10/2007 13:13 38144]
    R3 MTC0001_MPB;MPB device driver;c:\windows\system32\NTMPB.SYS [21/09/2008 11:56 5072]
    S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28/12/2007 15:02 287232]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - fasabvqv
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Connection Wizard,ShellNext = iexplore
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    Trusted Zone: buy-security-essentials.com
    Trusted Zone: download-soft-package.com
    Trusted Zone: download-software-package.com
    Trusted Zone: get-key-se10.com
    Trusted Zone: is-software-download.com
    Trusted Zone: buy-security-essentials.com
    Trusted Zone: get-key-se10.com
    FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cd30eozs.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-06 20:22
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fasabvqv]

    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(1188)
    c:\windows\system32\msls31.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\HPZipm12.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\System32\wbem\wmiapsrv.exe
    c:\windows\system32\pctspk.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-06 20:31:35 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-06 18:31

    Avant-CF: 977 190 912 octets libres
    Après-CF: 1 294 884 864 octets libres

    - - End Of File - - D3DA4CE82A45F572BBC7E915946542E5
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bradyhop Messages postés 5 Statut Membre
     
    pendant l'analyse, Combofix m'a demandé une connexion internet pour installer la console de récupération. comme tu as demandé de couper la connexion internet pendant l'opération, j'ai refusé et j'ai laissé continuer l'analyse. J'espère que c'est pas trop grave!
    de plus, il a eu du mal à redémarrer (plus que d'habitude)
    voici le rapport:

    ComboFix 10-05-05.0D - Propriétaire 06/05/2010 20:05:57.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.479.240 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\PROPRI~1\LOCALS~1\Temp\svchost.exe
    c:\documents and settings\Propriétaire\Recent\Thumbs.db
    c:\windows\system32\11478.exe
    c:\windows\system32\15724.exe
    c:\windows\system32\18467.exe
    c:\windows\system32\19169.exe
    c:\windows\system32\23281.exe
    c:\windows\system32\24464.exe
    c:\windows\system32\26500.exe
    c:\windows\system32\26962.exe
    c:\windows\system32\28145.exe
    c:\windows\system32\29358.exe
    c:\windows\system32\41.exe
    c:\windows\system32\5705.exe
    c:\windows\system32\6334.exe
    c:\windows\system32\ES15.exe
    c:\windows\system32\helpers32.dll
    c:\windows\system32\smss32.exe
    c:\windows\system32\winlogon32.exe

    Une copie infectée de c:\windows\system32\logman.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\logman.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-06 16:12 . 2010-05-06 16:13 -------- d-----w- C:\rsit
    2010-05-06 13:43 . 2010-05-06 13:43 74752 ------w- c:\windows\system32\dcfa.sys
    2010-05-06 13:37 . 2010-05-06 18:25 859648 ----a-w- c:\windows\system32\drivers\fasabvqv.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-06 16:13 . 2009-08-03 19:24 -------- d-----w- c:\program files\Trend Micro
    2010-04-06 09:41 . 2003-04-24 12:00 81294 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-06 09:41 . 2003-04-24 12:00 501470 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-12 09:42 . 2010-03-12 09:42 -------- d-----w- c:\program files\Fichiers communs\Java
    2010-03-12 09:41 . 2009-01-05 22:15 -------- d-----w- c:\program files\Java
    2010-03-10 06:16 . 2003-04-24 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-25 06:17 . 2003-04-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 12:31 . 2003-04-24 12:00 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-16 19:33 . 2003-04-24 12:00 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-02-16 19:33 . 2002-08-29 11:42 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-02-12 10:03 . 2010-02-25 11:20 293376 ------w- c:\windows\system32\browserchoice.exe
    2010-02-12 04:46 . 2003-04-24 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
    2010-02-11 12:01 . 2003-04-24 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PCTVOICE"="pctspk.exe" [2002-09-10 167936]
    "fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-5 110592]
    NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2008-7-1 1929216]
    Utility Tray.lnk - c:\windows\system32\sistray.exe [2008-9-20 352256]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\WINDOWS\\system32\\dplaysvr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

    R1 dcfa;dcfa;c:\windows\system32\dcfa.sys [06/05/2010 15:43 74752]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/11/2009 00:32 108289]
    R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09/10/2007 13:13 38144]
    R3 MTC0001_MPB;MPB device driver;c:\windows\system32\NTMPB.SYS [21/09/2008 11:56 5072]
    S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28/12/2007 15:02 287232]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - fasabvqv
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Connection Wizard,ShellNext = iexplore
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    Trusted Zone: buy-security-essentials.com
    Trusted Zone: download-soft-package.com
    Trusted Zone: download-software-package.com
    Trusted Zone: get-key-se10.com
    Trusted Zone: is-software-download.com
    Trusted Zone: buy-security-essentials.com
    Trusted Zone: get-key-se10.com
    FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cd30eozs.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-06 20:22
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fasabvqv]

    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(1188)
    c:\windows\system32\msls31.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\HPZipm12.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\System32\wbem\wmiapsrv.exe
    c:\windows\system32\pctspk.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-06 20:31:35 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-06 18:31

    Avant-CF: 977 190 912 octets libres
    Après-CF: 1 294 884 864 octets libres

    - - End Of File - - D3DA4CE82A45F572BBC7E915946542E5
    0
  7. Utilisateur anonyme
     
    tout s'est bien passé j'espère :-)

    repasse un autre rsit et poste son rapport

    note, tu n'auras qu'un seul rapport (log.txt)

    si le rapport ne passe pas ici, hébérge le sur le site de cijoint et laisse le lien sur ton prochain message
    0
  8. bradyhop
     
    oui, tout s'est bien passé :-)
    pour le message précédent, j'ai cru qu'il n'était pas passé, alors j'ai recommencé...
    voici le rapport log.txt:

    Logfile of random's system information tool 1.07 (written by random/random)
    Run by Propriétaire at 2010-05-06 21:01:18
    Microsoft Windows XP Édition familiale Service Pack 2
    System drive C: has 1 GB (4%) free of 30 GB
    Total RAM: 479 MB (25% free)

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 21:01:31, on 06/05/2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
    C:\WINDOWS\system32\sistray.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Propriétaire\Bureau\RSIT.exe
    C:\Program Files\trend micro\Propriétaire.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
    O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
    O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://*.buy-security-essentials.com
    O15 - Trusted Zone: http://*.download-soft-package.com
    O15 - Trusted Zone: http://*.download-software-package.com
    O15 - Trusted Zone: http://*.get-key-se10.com
    O15 - Trusted Zone: http://*.is-software-download.com
    O15 - Trusted Zone: http://*.buy-security-essentials.com (HKLM)
    O15 - Trusted Zone: http://*.get-key-se10.com (HKLM)
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
    O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
    0
  9. bradyhop
     
    sinon, je viens de refaire un scan avec avira et il trouve qu'il y a TR/Rootkit.GEN, un de ceux détectés au début.
    voici le rapport d'avira, si ca peut aider?

    Avira AntiVir Personal
    Date de création du fichier de rapport : jeudi 6 mai 2010 22:21

    La recherche porte sur 2075343 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 2) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : VEROPORTABLE

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 12:02:00
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:02:00
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:02:00
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:17:50
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 11:29:47
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 21:50:34
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 11:52:14
    VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 11:52:14
    VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 11:52:15
    VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 11:52:15
    VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 11:52:15
    VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 11:52:15
    VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 11:52:16
    VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 11:52:16
    VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 11:52:16
    VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 08:25:41
    VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 08:55:11
    VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 09:13:58
    VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 07:12:10
    VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 19:01:50
    VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 20:13:28
    VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 20:54:15
    VBASE021.VDF : 7.10.7.27 2048 Bytes 04/05/2010 20:54:15
    VBASE022.VDF : 7.10.7.28 2048 Bytes 04/05/2010 20:54:15
    VBASE023.VDF : 7.10.7.29 2048 Bytes 04/05/2010 20:54:15
    VBASE024.VDF : 7.10.7.30 2048 Bytes 04/05/2010 20:54:15
    VBASE025.VDF : 7.10.7.31 2048 Bytes 04/05/2010 20:54:15
    VBASE026.VDF : 7.10.7.32 2048 Bytes 04/05/2010 20:54:15
    VBASE027.VDF : 7.10.7.33 2048 Bytes 04/05/2010 20:54:15
    VBASE028.VDF : 7.10.7.34 2048 Bytes 04/05/2010 20:54:15
    VBASE029.VDF : 7.10.7.35 2048 Bytes 04/05/2010 20:54:15
    VBASE030.VDF : 7.10.7.36 2048 Bytes 04/05/2010 20:54:15
    VBASE031.VDF : 7.10.7.46 102912 Bytes 05/05/2010 20:54:35
    Version du moteur : 8.2.1.236
    AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 13:30:47
    AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 05/05/2010 20:54:43
    AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 16:16:18
    AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 13:30:48
    AERDL.DLL : 8.1.4.6 541043 Bytes 16/04/2010 11:53:49
    AEPACK.DLL : 8.2.1.1 426358 Bytes 22/03/2010 12:27:05
    AEOFFICE.DLL : 8.1.0.41 201083 Bytes 19/03/2010 12:03:51
    AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05/05/2010 20:54:41
    AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 11:38:45
    AEGEN.DLL : 8.1.3.7 373106 Bytes 16/04/2010 11:52:37
    AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 13:30:46
    AECORE.DLL : 8.1.15.1 192886 Bytes 05/05/2010 20:54:36
    AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 13:30:45
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 16/11/2009 22:40:50
    AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 09:48:07
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 16/11/2009 22:40:48
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 12:01:58

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen

    Début de la recherche : jeudi 6 mai 2010 22:21

    La recherche d'objets cachés commence.
    Une instance de la bibliothèque ARK fonctionne déjà.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sistray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WG111v3.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'pctspk.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '31' processus ont été contrôlés avec '31' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '51' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\Documents and Settings\All Users\Bureau\Programme d'installation d'Adobe Reader 9\Data1.cab
    [0] Type d'archive: CAB (Microsoft)
    --> MyriadPro_Regular.otf
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    C:\WINDOWS\system32\dcfa.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\WINDOWS\system32\drivers\fasabvqv.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    Recherche débutant dans 'D:\'

    Début de la désinfection :
    C:\WINDOWS\system32\drivers\fasabvqv.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c56337d.qua' !

    Fin de la recherche : jeudi 6 mai 2010 23:22
    Temps nécessaire: 53:00 Minute(s)

    La recherche a été effectuée intégralement

    5759 Les répertoires ont été contrôlés
    193858 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    3 Impossible de contrôler des fichiers
    193854 Fichiers non infectés
    1297 Les archives ont été contrôlées
    4 Avertissements
    2 Consignes
    0
  10. bradyhop
     
    avec un tel TR/Rootkit.Gen sur mon pc et avant d'aller dormir, vaut-il mieux:
    -ne pas eteindre le pc et risquer la propagation du mal?
    -éteindre le pc et risquer qu'il ne redémarre pas demain?
    -le mettre en veille?

    merci!
    0
  11. Utilisateur anonyme
     
    bonjour,

    fais les analyser séparement sur virus total :

    *Analyse de fichier suspect avec virus total :
    Rends toi sur ce site :
    https://www.virustotal.com/gui/
    clique sur parcourir et cherche ce fichier :

    C:\WINDOWS\system32\dcfa.sys

    C:\WINDOWS\system32\drivers\fasabvqv.sys


    clique sur send file
    un rappoort va s-élaborer ligne à ligne
    attends un peu, il doit comprendre la taille du fichier envoyé
    sauvegarde le rapport avec le bloc note
    copie le résultat dans ton prochain message.
    Merci
    0
  12. bradyhop
     
    Bonjour,

    Alors j'ai cherché les 2fichiers et le rapport qui a été donné est le même pour les 2 :

    0 bytes size received / Se ha recibido un archivo vacio

    Il n'y a apparemment rien dans ces fichiers, est ce normal, ai je bien fait la manip, que dois je faire?

    Merci
    0
  13. gen-hackman
     
    bonjour c'est normal , l'infection empeche la lecture des fichiers :)
    0
  14. bradyhop
     
    Merci :)

    J'en déduis donc que je suis loin d'en avoir fini avec ce virus...quelle est donc la suite des opérations?
    0
  15. gen-hackman
     
    bon electricien ne sera pas de retour avant tard dans l'apres midi , je vais te faire avancer un peu

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge List_Kill'em

    List_Kill'em

    List_Kill'em

    et enregistre le sur ton bureau

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer Shortcut
    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
    0
  16. bradyhop
     
    En tout cas merci à vous deux. C'est gentil de m'avancer car j'avoue que ce soir c'est moi qui part pour un concert demain soir et je ne vais rentrer que dimanche soir.

    Le rapport étant trop long je l'ai mis sur ci joint, voici le lien :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijXb24lom.txt

    Merci
    0
  17. gen-hackman
     
    ▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Kill_Rtk

    un document texte va s'ouvrir à l'apparition de : Text Please

    ▶copie/colle le texte en gras ci-dessous :

    dcfa
    fasabvqv


    ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

    Laisse travailler l'outil

    à la fin un rapport s'ouvre ,

    ▶ poste le resultat

    ensuite :

    ▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ▶ choisis l'Option Clean

    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse
    0
  18. bradyhop
     
    Je viens de faire la première partie au moment où j'ai lancé l'outil j'ai eu le message suivant qui est apparu :

    "An error 0 X 00000057 occured during the delation of file
    C:/Windows/System 32/drivers/fasabvqv.sys
    le module spécifié est introuvable"

    J'ai fait ok.

    Voici le rapport :

    ¤¤¤¤¤¤¤¤¤¤ Kill_Rtk By g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤ Rootkit ¤¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ Services :

    ¤¤¤¤¤ Files :

    ¤ File deleted !! : C:\WINDOWS\System32\Drivers\fasabvqv.sys

    ¤¤¤¤¤ Keys | Root

    ¤ Key deleted !! : HKLM\System\CurrentControlSet\Enum\Root\LEGACY_dcfa
    ¤ Key deleted !! : HKLM\System\CurrentControlSet\Enum\Root\LEGACY_fasabvqv
    ¤ Key deleted !! : HKLM\System\ControlSet001\Enum\Root\LEGACY_dcfa
    ¤ Key deleted !! : HKLM\System\ControlSet001\Enum\Root\LEGACY_fasabvqv
    ¤ Key deleted !! : HKLM\System\ControlSet003\Enum\Root\LEGACY_dcfa
    ¤ Key deleted !! : HKLM\System\ControlSet003\Enum\Root\LEGACY_fasabvqv

    ¤¤¤¤¤ Keys | Services

    ¤ Key deleted !! : HKLM\System\CurrentControlSet\Services\dcfa
    ¤ Key deleted !! : HKLM\System\Controlset001\Services\dcfa
    ¤ Key deleted !! : HKLM\System\Controlset003\Services\dcfa

    Je passe à la deuxième partie avec option Clean
    0
  19. Bradyhop
     
    Donc je viens de finir la deuxième partie voici le rapport:

    Kill'em by g3n-h@ckm@n 2.0.0.0

    User : Propriétaire (Administrateurs)
    Update on 07/05/2010 by g3n-h@ckm@n ::::: 00.55
    Start at: 12:29:46 | 07/05/2010

    Intel(R) Pentium(R) 4 CPU 2.80GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

    C:\ -> Disque fixe local | 29,29 Go (1,21 Go free) | NTFS
    D:\ -> Disque fixe local | 26,59 Go (188,77 Mo free) | NTFS
    E:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\List_Kill'em\ERUNT.EXE
    C:\Program Files\List_Kill'em\pv.exe

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\WINDOWS\002134_.tmp
    Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
    Quarantined & Deleted !! : C:\WINDOWS\SET7.tmp

    Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET32.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET34.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET38.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET39.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET40.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\2316081392fb1b33d375a326.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\39e045d4e294561c274d9d21.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\3c4fd9ff5e90a2525ab90a0.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\3d6cbe567dd4e51185b561b6.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\4dbdb77018043a5e8e3f992.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\53d224bee18c53ede3b17edc.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\5fddfba0ea2439ad75357730.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\688a7d135fd3cd269792070b.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\69a62d2c1b406654699021c.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\6c0532f3addfb3b2bc3e967b.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\71d3c03124057dab6e5291f9.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\726743ae9a9b3fb5d1c62859.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\81b9dd716219532799a0143.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\8541c59c44b6f78a87602c5.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\8bb997f9693a08f9ff1b39fd.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\8c5b6114bf9c32d95708491d.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\9005c3f9350b1416259ab4f4.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\9999fb83fef6c322387548aa.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\a10ef50e7e6e0e5aac9112a1.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\a451389631834ad17d33e4c9.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\ac2d5a6cb279338630116012.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\ad30fbadf1424ed7d1cc1f9a.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\b1fa61f02d56c64fb25114ff.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\b346b26dec3d29c37b87af07.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\b7c1f3fd4a1a4ffa1f20b46.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\b91347ac8f090c151a5c1e4.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\bdaa51c3f40ecc62872a6db.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\c4ed167e8789cf703bcab07d.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\c5a07f6d4df0d55d11e7a0df.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\c697f6bc49694b0fef320a0a.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\c9d66442ab9af9ba965aa83d.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\ce17c0ccff9ad5719a384875.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\d72545162dc28bb034f8b5a0.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\d7bd0e17250d0b3dfcde7a77.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\de4c9d5dbe6c5da449979d5b.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\e1985964ac208cde1d1e36e1.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\ebaa70875edbc1ab97ae5580.tmp
    Quarantined & Deleted !! : C:\WINDOWS\Temp\fdcced64c9fa5a3830e705b6.tmp
    Quarantined & Deleted !! : C:\Documents and Settings\Propri'taire\Application Data\GDIPFONTCACHEV1.DAT
    Quarantined & Deleted !! : C:\Documents and Settings\Propri'taire\Application Data\qvjsge.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Propri'taire\RefEdit.exd

    =======
    Hosts :
    =======

    127.0.0.1 localhost

    ========
    Registry
    ========

    Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
    Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
    Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
    Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
    =================
    Internet Explorer
    =================

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
    Local Page REG_SZ C:\WINDOWS\system32\blank.htm
    Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
    Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.google.com/?gws_rd=ssl
    Local Page REG_SZ C:\WINDOWS\system32\blank.htm
    Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    ===============
    Security Center
    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    AntiVirusDisableNotify REG_DWORD 0 (0x0)
    FirewallDisableNotify REG_DWORD 0 (0x0)
    UpdatesDisableNotify REG_DWORD 0 (0x0)
    AntiVirusOverride REG_DWORD 1 (0x1)
    FirewallOverride REG_DWORD 1 (0x1)
    FirstRunDisabled REG_DWORD 1 (0x1)

    ========
    Services
    =========

    Ndisuio : Start = 3
    Ip6Fw : Start = 2
    SharedAccess : Start = 2
    wuauserv : Start = 2
    wscsvc : Start = 2

    ============
    Disk Cleaned
    anti-ver blaster : OK
    Prefetch cleaned
    ================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Merci
    0
  20. gen-hackman
     
    ▶ Télécharge : Gmer (by Przemyslaw Gmerek)

    ▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

    ▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

    Ensuite

    ▶ sur les lignes rouge:

    ▶ Services:cliques droit delete service
    ▶ Process:cliques droit kill process
    ▶ Adl ,file:cliques droit delete files
    0
  • 1
  • 2
  • 3