Sujet Précédent Sujet Suivant

TrojanSPM/LX BAT/Agent.143 HTML/FakeAlert.AUD

Résolu/Fermé
bradyhop Messages postés 5 Date d'inscription jeudi 6 mai 2010 Statut Membre Dernière intervention 11 mai 2010 - 6 mai 2010 à 18:08
 Utilisateur anonyme - 11 mai 2010 à 22:40


Bonjour,
je crois que j'ai des problèmes sur mon pc: mon antivirus (Avira) a signalé que j'ai ceci:
TrojanSPM/LX
BAT/Agent.143
HTML/FakeAlert.AUD
TR/Rootkit.Gen

quelqu'un peut-il m'aider à m'en débarrasser?
J'ai essayé de les supprimer, je n'y arrive pas!
merci!
A voir également:

57 réponses

Réponse 1 / 57
Utilisateur anonyme
6 mai 2010 à 18:09
bonsoir,

* Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
http://images.malwareremoval.com/random/RSIT.exe

Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil.
Clique sur ' continue ' à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note:
si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, poste moi seulement les liens

http://www.cijoint.fr/index.php
0
Réponse 2 / 57
bradyhop Messages postés 5 Date d'inscription jeudi 6 mai 2010 Statut Membre Dernière intervention 11 mai 2010
6 mai 2010 à 18:23
C'était effectivement trop lourd...
voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijXnwJbdC.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cij1Dp0t7r.txt
je me suis aperçu après qu'il fallait un lien PAR FICHIER, j'ai donc rechargé le log.txt qui doit être le premier lien. le deuxième est pour info.txt
0
Réponse 3 / 57
Utilisateur anonyme
6 mai 2010 à 19:48
avira a vu juste :-)

il y a du monde sur ton pc, on va tout virer :-)

* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!


► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\INSTALLES LA CONSOLE DE RECUPERATION

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 4 / 57
bradyhop Messages postés 5 Date d'inscription jeudi 6 mai 2010 Statut Membre Dernière intervention 11 mai 2010
6 mai 2010 à 20:43
J'ai telechargé Combofix, puis arrêté tous les programmes y compris avira.
J'ai retiré mon antenne wifi externe pour couper physiquement la connexion avec internet. (une antenne wifi sur port usb, ressemblant à une clé usb)
J'ai lancé Combofix et à un moment, il m'a demandé une connexion à internet pour installer la console de récupération -> INCOMPATIBLE avec l'absence de connexion à internet que tu as demandé: j'ai refusé la connexion à internet et je l'ai laissé continuer... j'espère que ca ne pose pas de problème!

De plus mon pc a eu du mal à redémarrer. D'habitude, c'est pas génial, mal là, il m'a bien fait chier!

voici le rapport:
ComboFix 10-05-05.0D - Propriétaire 06/05/2010 20:05:57.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.479.240 [GMT 2:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\PROPRI~1\LOCALS~1\Temp\svchost.exe
c:\documents and settings\Propriétaire\Recent\Thumbs.db
c:\windows\system32\11478.exe
c:\windows\system32\15724.exe
c:\windows\system32\18467.exe
c:\windows\system32\19169.exe
c:\windows\system32\23281.exe
c:\windows\system32\24464.exe
c:\windows\system32\26500.exe
c:\windows\system32\26962.exe
c:\windows\system32\28145.exe
c:\windows\system32\29358.exe
c:\windows\system32\41.exe
c:\windows\system32\5705.exe
c:\windows\system32\6334.exe
c:\windows\system32\ES15.exe
c:\windows\system32\helpers32.dll
c:\windows\system32\smss32.exe
c:\windows\system32\winlogon32.exe

Une copie infectée de c:\windows\system32\logman.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\logman.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
.

2010-05-06 16:12 . 2010-05-06 16:13 -------- d-----w- C:\rsit
2010-05-06 13:43 . 2010-05-06 13:43 74752 ------w- c:\windows\system32\dcfa.sys
2010-05-06 13:37 . 2010-05-06 18:25 859648 ----a-w- c:\windows\system32\drivers\fasabvqv.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 16:13 . 2009-08-03 19:24 -------- d-----w- c:\program files\Trend Micro
2010-04-06 09:41 . 2003-04-24 12:00 81294 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-06 09:41 . 2003-04-24 12:00 501470 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-12 09:42 . 2010-03-12 09:42 -------- d-----w- c:\program files\Fichiers communs\Java
2010-03-12 09:41 . 2009-01-05 22:15 -------- d-----w- c:\program files\Java
2010-03-10 06:16 . 2003-04-24 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2003-04-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 12:31 . 2003-04-24 12:00 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:33 . 2003-04-24 12:00 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:33 . 2002-08-29 11:42 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-25 11:20 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:46 . 2003-04-24 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2003-04-24 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"="pctspk.exe" [2002-09-10 167936]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-5 110592]
NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2008-7-1 1929216]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2008-9-20 352256]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R1 dcfa;dcfa;c:\windows\system32\dcfa.sys [06/05/2010 15:43 74752]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/11/2009 00:32 108289]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09/10/2007 13:13 38144]
R3 MTC0001_MPB;MPB device driver;c:\windows\system32\NTMPB.SYS [21/09/2008 11:56 5072]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28/12/2007 15:02 287232]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - fasabvqv
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: buy-security-essentials.com
Trusted Zone: download-soft-package.com
Trusted Zone: download-software-package.com
Trusted Zone: get-key-se10.com
Trusted Zone: is-software-download.com
Trusted Zone: buy-security-essentials.com
Trusted Zone: get-key-se10.com
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cd30eozs.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-06 20:22
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fasabvqv]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1188)
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\pctspk.exe
.
**************************************************************************
.
Heure de fin: 2010-05-06 20:31:35 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-06 18:31

Avant-CF: 977 190 912 octets libres
Après-CF: 1 294 884 864 octets libres

- - End Of File - - D3DA4CE82A45F572BBC7E915946542E5
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 57
bradyhop Messages postés 5 Date d'inscription jeudi 6 mai 2010 Statut Membre Dernière intervention 11 mai 2010
6 mai 2010 à 20:48
pendant l'analyse, Combofix m'a demandé une connexion internet pour installer la console de récupération. comme tu as demandé de couper la connexion internet pendant l'opération, j'ai refusé et j'ai laissé continuer l'analyse. J'espère que c'est pas trop grave!
de plus, il a eu du mal à redémarrer (plus que d'habitude)
voici le rapport:


ComboFix 10-05-05.0D - Propriétaire 06/05/2010 20:05:57.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.479.240 [GMT 2:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\PROPRI~1\LOCALS~1\Temp\svchost.exe
c:\documents and settings\Propriétaire\Recent\Thumbs.db
c:\windows\system32\11478.exe
c:\windows\system32\15724.exe
c:\windows\system32\18467.exe
c:\windows\system32\19169.exe
c:\windows\system32\23281.exe
c:\windows\system32\24464.exe
c:\windows\system32\26500.exe
c:\windows\system32\26962.exe
c:\windows\system32\28145.exe
c:\windows\system32\29358.exe
c:\windows\system32\41.exe
c:\windows\system32\5705.exe
c:\windows\system32\6334.exe
c:\windows\system32\ES15.exe
c:\windows\system32\helpers32.dll
c:\windows\system32\smss32.exe
c:\windows\system32\winlogon32.exe

Une copie infectée de c:\windows\system32\logman.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\logman.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
.

2010-05-06 16:12 . 2010-05-06 16:13 -------- d-----w- C:\rsit
2010-05-06 13:43 . 2010-05-06 13:43 74752 ------w- c:\windows\system32\dcfa.sys
2010-05-06 13:37 . 2010-05-06 18:25 859648 ----a-w- c:\windows\system32\drivers\fasabvqv.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 16:13 . 2009-08-03 19:24 -------- d-----w- c:\program files\Trend Micro
2010-04-06 09:41 . 2003-04-24 12:00 81294 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-06 09:41 . 2003-04-24 12:00 501470 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-12 09:42 . 2010-03-12 09:42 -------- d-----w- c:\program files\Fichiers communs\Java
2010-03-12 09:41 . 2009-01-05 22:15 -------- d-----w- c:\program files\Java
2010-03-10 06:16 . 2003-04-24 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2003-04-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 12:31 . 2003-04-24 12:00 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:33 . 2003-04-24 12:00 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:33 . 2002-08-29 11:42 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-25 11:20 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:46 . 2003-04-24 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2003-04-24 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"="pctspk.exe" [2002-09-10 167936]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-5 110592]
NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2008-7-1 1929216]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2008-9-20 352256]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R1 dcfa;dcfa;c:\windows\system32\dcfa.sys [06/05/2010 15:43 74752]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/11/2009 00:32 108289]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09/10/2007 13:13 38144]
R3 MTC0001_MPB;MPB device driver;c:\windows\system32\NTMPB.SYS [21/09/2008 11:56 5072]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28/12/2007 15:02 287232]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - fasabvqv
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: buy-security-essentials.com
Trusted Zone: download-soft-package.com
Trusted Zone: download-software-package.com
Trusted Zone: get-key-se10.com
Trusted Zone: is-software-download.com
Trusted Zone: buy-security-essentials.com
Trusted Zone: get-key-se10.com
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\cd30eozs.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-06 20:22
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fasabvqv]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1188)
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\pctspk.exe
.
**************************************************************************
.
Heure de fin: 2010-05-06 20:31:35 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-06 18:31

Avant-CF: 977 190 912 octets libres
Après-CF: 1 294 884 864 octets libres

- - End Of File - - D3DA4CE82A45F572BBC7E915946542E5
0
Réponse 6 / 57
Utilisateur anonyme
6 mai 2010 à 21:00
tout s'est bien passé j'espère :-)

repasse un autre rsit et poste son rapport

note, tu n'auras qu'un seul rapport (log.txt)

si le rapport ne passe pas ici, hébérge le sur le site de cijoint et laisse le lien sur ton prochain message
0
Réponse 7 / 57
bradyhop
6 mai 2010 à 21:17
oui, tout s'est bien passé :-)
pour le message précédent, j'ai cru qu'il n'était pas passé, alors j'ai recommencé...
voici le rapport log.txt:

Logfile of random's system information tool 1.07 (written by random/random)
Run by Propriétaire at 2010-05-06 21:01:18
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 1 GB (4%) free of 30 GB
Total RAM: 479 MB (25% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:01:31, on 06/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau\RSIT.exe
C:\Program Files\trend micro\Propriétaire.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.buy-security-essentials.com
O15 - Trusted Zone: http://*.download-soft-package.com
O15 - Trusted Zone: http://*.download-software-package.com
O15 - Trusted Zone: http://*.get-key-se10.com
O15 - Trusted Zone: http://*.is-software-download.com
O15 - Trusted Zone: http://*.buy-security-essentials.com (HKLM)
O15 - Trusted Zone: http://*.get-key-se10.com (HKLM)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
0
Réponse 8 / 57
bradyhop
6 mai 2010 à 23:25
sinon, je viens de refaire un scan avec avira et il trouve qu'il y a TR/Rootkit.GEN, un de ceux détectés au début.
voici le rapport d'avira, si ca peut aider?



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 6 mai 2010 22:21

La recherche porte sur 2075343 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : VEROPORTABLE

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 12:02:00
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:02:00
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:02:00
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:17:50
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 11:29:47
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 21:50:34
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 11:52:14
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 11:52:14
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 11:52:15
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 11:52:15
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 11:52:15
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 11:52:15
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 11:52:16
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 11:52:16
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 11:52:16
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 08:25:41
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 08:55:11
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 09:13:58
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 07:12:10
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 19:01:50
VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 20:13:28
VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 20:54:15
VBASE021.VDF : 7.10.7.27 2048 Bytes 04/05/2010 20:54:15
VBASE022.VDF : 7.10.7.28 2048 Bytes 04/05/2010 20:54:15
VBASE023.VDF : 7.10.7.29 2048 Bytes 04/05/2010 20:54:15
VBASE024.VDF : 7.10.7.30 2048 Bytes 04/05/2010 20:54:15
VBASE025.VDF : 7.10.7.31 2048 Bytes 04/05/2010 20:54:15
VBASE026.VDF : 7.10.7.32 2048 Bytes 04/05/2010 20:54:15
VBASE027.VDF : 7.10.7.33 2048 Bytes 04/05/2010 20:54:15
VBASE028.VDF : 7.10.7.34 2048 Bytes 04/05/2010 20:54:15
VBASE029.VDF : 7.10.7.35 2048 Bytes 04/05/2010 20:54:15
VBASE030.VDF : 7.10.7.36 2048 Bytes 04/05/2010 20:54:15
VBASE031.VDF : 7.10.7.46 102912 Bytes 05/05/2010 20:54:35
Version du moteur : 8.2.1.236
AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 13:30:47
AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 05/05/2010 20:54:43
AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 16:16:18
AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 13:30:48
AERDL.DLL : 8.1.4.6 541043 Bytes 16/04/2010 11:53:49
AEPACK.DLL : 8.2.1.1 426358 Bytes 22/03/2010 12:27:05
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 19/03/2010 12:03:51
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05/05/2010 20:54:41
AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 11:38:45
AEGEN.DLL : 8.1.3.7 373106 Bytes 16/04/2010 11:52:37
AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 13:30:46
AECORE.DLL : 8.1.15.1 192886 Bytes 05/05/2010 20:54:36
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 13:30:45
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 16/11/2009 22:40:50
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 09:48:07
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 16/11/2009 22:40:48
RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 12:01:58

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 6 mai 2010 22:21

La recherche d'objets cachés commence.
Une instance de la bibliothèque ARK fonctionne déjà.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sistray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WG111v3.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pctspk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'31' processus ont été contrôlés avec '31' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '51' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\All Users\Bureau\Programme d'installation d'Adobe Reader 9\Data1.cab
[0] Type d'archive: CAB (Microsoft)
--> MyriadPro_Regular.otf
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\WINDOWS\system32\dcfa.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\fasabvqv.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\WINDOWS\system32\drivers\fasabvqv.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c56337d.qua' !


Fin de la recherche : jeudi 6 mai 2010 23:22
Temps nécessaire: 53:00 Minute(s)

La recherche a été effectuée intégralement

5759 Les répertoires ont été contrôlés
193858 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
193854 Fichiers non infectés
1297 Les archives ont été contrôlées
4 Avertissements
2 Consignes
0
Réponse 9 / 57
bradyhop
7 mai 2010 à 00:10
avec un tel TR/Rootkit.Gen sur mon pc et avant d'aller dormir, vaut-il mieux:
-ne pas eteindre le pc et risquer la propagation du mal?
-éteindre le pc et risquer qu'il ne redémarre pas demain?
-le mettre en veille?

merci!
0
Réponse 10 / 57
Utilisateur anonyme
Modifié par Electricien 69 le 7/05/2010 à 07:09
bonjour,

fais les analyser séparement sur virus total :


*Analyse de fichier suspect avec virus total :
Rends toi sur ce site :
https://www.virustotal.com/gui/
clique sur parcourir et cherche ce fichier :


C:\WINDOWS\system32\dcfa.sys

C:\WINDOWS\system32\drivers\fasabvqv.sys


clique sur send file
un rappoort va s-élaborer ligne à ligne
attends un peu, il doit comprendre la taille du fichier envoyé
sauvegarde le rapport avec le bloc note
copie le résultat dans ton prochain message.
Merci
0
Réponse 11 / 57
bradyhop
7 mai 2010 à 10:13
Bonjour,

Alors j'ai cherché les 2fichiers et le rapport qui a été donné est le même pour les 2 :

0 bytes size received / Se ha recibido un archivo vacio

Il n'y a apparemment rien dans ces fichiers, est ce normal, ai je bien fait la manip, que dois je faire?

Merci
0
Réponse 12 / 57
Utilisateur anonyme
7 mai 2010 à 10:19
bonjour c'est normal , l'infection empeche la lecture des fichiers :)
0
Réponse 13 / 57
bradyhop
7 mai 2010 à 10:37
Merci :)

J'en déduis donc que je suis loin d'en avoir fini avec ce virus...quelle est donc la suite des opérations?
0
Réponse 14 / 57
Utilisateur anonyme
7 mai 2010 à 10:47
bon electricien ne sera pas de retour avant tard dans l'apres midi , je vais te faire avancer un peu

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge List_Kill'em

List_Kill'em

List_Kill'em

et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer Shortcut
♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
0
Réponse 15 / 57
bradyhop
7 mai 2010 à 11:28
En tout cas merci à vous deux. C'est gentil de m'avancer car j'avoue que ce soir c'est moi qui part pour un concert demain soir et je ne vais rentrer que dimanche soir.


Le rapport étant trop long je l'ai mis sur ci joint, voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijXb24lom.txt

Merci
0
Réponse 16 / 57
Utilisateur anonyme
7 mai 2010 à 12:01
▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Kill_Rtk

un document texte va s'ouvrir à l'apparition de : Text Please

▶copie/colle le texte en gras ci-dessous :

dcfa
fasabvqv


ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil

à la fin un rapport s'ouvre ,

▶ poste le resultat

ensuite :

▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0
Réponse 17 / 57
bradyhop
7 mai 2010 à 12:19
Je viens de faire la première partie au moment où j'ai lancé l'outil j'ai eu le message suivant qui est apparu :

"An error 0 X 00000057 occured during the delation of file
C:/Windows/System 32/drivers/fasabvqv.sys
le module spécifié est introuvable"

J'ai fait ok.

Voici le rapport :

¤¤¤¤¤¤¤¤¤¤ Kill_Rtk By g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤ Rootkit ¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ Services :


¤¤¤¤¤ Files :

¤ File deleted !! : C:\WINDOWS\System32\Drivers\fasabvqv.sys

¤¤¤¤¤ Keys | Root

¤ Key deleted !! : HKLM\System\CurrentControlSet\Enum\Root\LEGACY_dcfa
¤ Key deleted !! : HKLM\System\CurrentControlSet\Enum\Root\LEGACY_fasabvqv
¤ Key deleted !! : HKLM\System\ControlSet001\Enum\Root\LEGACY_dcfa
¤ Key deleted !! : HKLM\System\ControlSet001\Enum\Root\LEGACY_fasabvqv
¤ Key deleted !! : HKLM\System\ControlSet003\Enum\Root\LEGACY_dcfa
¤ Key deleted !! : HKLM\System\ControlSet003\Enum\Root\LEGACY_fasabvqv

¤¤¤¤¤ Keys | Services

¤ Key deleted !! : HKLM\System\CurrentControlSet\Services\dcfa
¤ Key deleted !! : HKLM\System\Controlset001\Services\dcfa
¤ Key deleted !! : HKLM\System\Controlset003\Services\dcfa


Je passe à la deuxième partie avec option Clean
0
Réponse 18 / 57
Utilisateur anonyme
7 mai 2010 à 12:21
ok :)
0
Réponse 19 / 57
Bradyhop
7 mai 2010 à 12:58
Donc je viens de finir la deuxième partie voici le rapport:

Kill'em by g3n-h@ckm@n 2.0.0.0

User : Propriétaire (Administrateurs)
Update on 07/05/2010 by g3n-h@ckm@n ::::: 00.55
Start at: 12:29:46 | 07/05/2010

Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 29,29 Go (1,21 Go free) | NTFS
D:\ -> Disque fixe local | 26,59 Go (188,77 Mo free) | NTFS
E:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\WINDOWS\002134_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET7.tmp

Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\SET32.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET34.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET38.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET39.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET40.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\2316081392fb1b33d375a326.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\39e045d4e294561c274d9d21.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\3c4fd9ff5e90a2525ab90a0.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\3d6cbe567dd4e51185b561b6.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\4dbdb77018043a5e8e3f992.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\53d224bee18c53ede3b17edc.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\5fddfba0ea2439ad75357730.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\688a7d135fd3cd269792070b.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\69a62d2c1b406654699021c.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\6c0532f3addfb3b2bc3e967b.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\71d3c03124057dab6e5291f9.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\726743ae9a9b3fb5d1c62859.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\81b9dd716219532799a0143.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\8541c59c44b6f78a87602c5.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\8bb997f9693a08f9ff1b39fd.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\8c5b6114bf9c32d95708491d.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\9005c3f9350b1416259ab4f4.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\9999fb83fef6c322387548aa.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\a10ef50e7e6e0e5aac9112a1.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\a451389631834ad17d33e4c9.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\ac2d5a6cb279338630116012.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\ad30fbadf1424ed7d1cc1f9a.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\b1fa61f02d56c64fb25114ff.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\b346b26dec3d29c37b87af07.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\b7c1f3fd4a1a4ffa1f20b46.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\b91347ac8f090c151a5c1e4.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\bdaa51c3f40ecc62872a6db.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\c4ed167e8789cf703bcab07d.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\c5a07f6d4df0d55d11e7a0df.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\c697f6bc49694b0fef320a0a.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\c9d66442ab9af9ba965aa83d.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\ce17c0ccff9ad5719a384875.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\d72545162dc28bb034f8b5a0.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\d7bd0e17250d0b3dfcde7a77.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\de4c9d5dbe6c5da449979d5b.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\e1985964ac208cde1d1e36e1.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\ebaa70875edbc1ab97ae5580.tmp
Quarantined & Deleted !! : C:\WINDOWS\Temp\fdcced64c9fa5a3830e705b6.tmp
Quarantined & Deleted !! : C:\Documents and Settings\Propri'taire\Application Data\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Documents and Settings\Propri'taire\Application Data\qvjsge.dat
Quarantined & Deleted !! : C:\Documents and Settings\Propri'taire\RefEdit.exd

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)
FirstRunDisabled REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Merci
0
Réponse 20 / 57
Utilisateur anonyme
7 mai 2010 à 13:06
▶ Télécharge : Gmer (by Przemyslaw Gmerek)


▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0

Discussions similaires

QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses
Boucle sur la première diapositive d'une présentation
ND83 -
ndubau -

3 réponses
Market feedback agent s'est arrêté. Toutes mes messageries sont bloquées ainsi t
Val -
Utilisateur anonyme -

1 réponse
&nbsp ; Quelle Fonction ?
-Jeff- -
sl4ck -

14 réponses
Espace en HTML
baissaoui -
baissaoui -

0 réponse