Csrrs.exe = Imitation & virus [Résolu/Fermé]

Signaler
-
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
-
Bonjour,

Depuis quelques jours Avast me signale les processus de Windows csrss.exe, mdm.exe, svchost.exe, et msmm.exe comme des virus.
Je pensais que Avast me reportait des faux positifs et je me suis renseigné.
Ces .exe ne doivent être en aucun cas or du dossier C:\Windows\system32
Or ils sont dans des dossiers du type C:\Documents and Settings\Admin\Locals Settings\Temp\~temp\hmml326
Les noms (hmml326, mlp250)... varient, et le dossier ~temp est caché.
J'ai aussi constaté que même en supprimant, ils reviennent au démarrage, et même si je ne les supprime pas, il y en a deux ou 3 en plus.
Dans chaque dossier se situe un "processus" avec une icone ou pas.
J'ai déja essayé de changer les programmes au démarrage dans msconfig mais ça revient quand même.
Que faire?
Merci de vos réponses.

21 réponses

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut _Joyau_'


On va leur réglé leur cas :-)

Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
Re :)
Un peu long, voilà le rapport :

ComboFix 10-05-07.07 - Maman 08/05/2010 22:04:34.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.595 [GMT 2:00]
Lancé depuis: c:\documents and settings\Maman\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100508-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Maman\LOCALS~1\Temp\sessmgr.exe
c:\documents and settings\Maman\Application Data\cisvc.exe
c:\documents and settings\Maman\Application Data\inst.exe
c:\documents and settings\Maman\Application Data\Microsoft\clipsrv.exe
c:\documents and settings\Maman\Local Settings\Application Data\cmstp.exe
c:\windows\dll.exe
c:\windows\dllhst3g.exe
c:\windows\esentutl.exe
c:\windows\system32\drivers\cmstp.exe
c:\windows\system32\drivers\mstsc.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((((((((( Fichiers créés du 2010-04-08 au 2010-05-08 ))))))))))))))))))))))))))))))))))))
.

2010-04-30 10:05 . 2010-04-30 10:55 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2010-04-29 10:43 . 2010-04-29 10:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Studio 12
2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Plus
2010-04-29 06:46 . 2010-04-29 06:46 -------- d-----w- c:\documents and settings\Maman\Application Data\proDAD
2010-04-28 15:58 . 2010-04-29 07:01 -------- d-----w- c:\program files\a-squared Free
2010-04-27 20:42 . 2010-04-29 08:31 -------- d-----w- c:\program files\SimpleOCR
2010-04-24 16:37 . 2010-04-24 16:37 49744 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-04-24 16:00 . 2010-04-24 16:00 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\MicroVision Applications
2010-04-24 16:00 . 2010-04-24 16:00 -------- d-----w- c:\program files\Fichiers communs\SureThing Shared
2010-04-24 16:00 . 2010-04-29 10:31 -------- d-----w- c:\program files\SureThing Express Labeler
2010-04-24 15:58 . 2010-04-29 08:27 -------- d-----w- c:\program files\LooksBuilderSE
2010-04-24 15:56 . 2010-04-24 15:56 -------- d-----w- c:\program files\Fichiers communs\Pinnacle
2010-04-24 15:55 . 2010-04-29 10:43 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\Downloaded Installations
2010-04-24 15:55 . 2010-04-24 16:06 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\Pinnacle
2010-04-24 15:54 . 2010-04-24 15:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate Collection
2010-04-24 15:14 . 1999-09-10 11:06 5600 ----a-w- c:\windows\system\winaspi.dll
2010-04-24 15:14 . 1999-09-10 11:06 4672 ----a-w- c:\windows\system\wowpost.exe
2010-04-24 15:14 . 1999-09-10 11:06 45056 ------w- c:\windows\system32\wnaspi32.dll
2010-04-24 15:14 . 1999-09-10 11:06 25244 ------w- c:\windows\system32\drivers\aspi32.sys
2010-04-24 15:13 . 2010-04-24 15:13 -------- d-----w- C:\adaptec
2010-04-24 14:49 . 2010-04-24 14:49 -------- d-----w- c:\documents and settings\Maman\Application Data\Canneverbe Limited
2010-04-24 14:49 . 2010-04-24 14:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2010-04-24 14:15 . 2010-04-24 14:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Astroburn Pro
2010-04-24 14:15 . 2010-04-24 14:15 -------- d-----w- c:\documents and settings\Maman\Application Data\Astroburn Pro
2010-04-24 13:56 . 2010-04-24 14:18 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-04-24 13:56 . 2010-04-24 13:56 691696 ------w- c:\windows\system32\drivers\sptd.sys
2010-04-24 13:55 . 2010-04-24 14:05 -------- d-----w- c:\documents and settings\Maman\Application Data\DAEMON Tools Lite
2010-04-24 13:55 . 2010-04-24 13:55 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-24 10:34 . 2010-04-24 10:34 -------- d-----w- c:\program files\CCleaner
2010-04-18 16:30 . 2010-04-18 16:30 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-04-18 16:30 . 2010-04-18 16:30 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe
2010-04-18 15:30 . 2010-04-18 15:30 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-04-18 15:11 . 2010-04-18 15:11 -------- d-----w- c:\program files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-08 20:16 . 2004-08-19 12:03 93890 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-08 20:16 . 2004-08-19 12:03 532460 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-08 16:12 . 2009-04-11 18:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-04-30 10:49 . 2009-10-18 16:42 -------- d-----w- c:\program files\DebugMode
2010-04-30 10:06 . 2010-04-30 10:05 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe
2010-04-30 07:56 . 2009-06-18 13:45 -------- d-----w- c:\program files\DivX
2010-04-29 10:44 . 2010-04-29 10:44 29926 ----a-r- c:\documents and settings\Maman\Application Data\Microsoft\Installer\{5EB90C06-964F-4195-B83E-BD7E55C88415}\ARPPRODUCTICON.exe
2010-04-29 10:36 . 2009-06-13 08:34 -------- d-----w- c:\program files\Pinnacle
2010-04-29 10:32 . 2009-06-13 08:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle
2010-04-29 08:33 . 2008-12-26 07:56 -------- d-----w- c:\program files\ArcSoft
2010-04-29 08:33 . 2006-07-11 18:52 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-29 08:32 . 2006-07-11 18:53 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared
2010-04-29 08:32 . 2006-07-11 18:57 -------- d-----w- c:\program files\Roxio
2010-04-29 08:30 . 2009-01-01 21:00 -------- d-----w- c:\program files\Windows Live
2010-04-29 08:30 . 2009-06-18 16:01 -------- d-----w- c:\program files\VSO
2010-04-29 08:30 . 2009-06-18 16:01 47360 ----a-w- c:\documents and settings\Maman\Application Data\pcouffin.sys
2010-04-29 08:30 . 2009-06-18 16:01 47360 ----a-w- c:\documents and settings\Maman\Application Data\pcouffin.sys
2010-04-29 08:30 . 2009-06-18 16:01 -------- d-----w- c:\documents and settings\Maman\Application Data\Vso
2010-04-29 08:29 . 2009-06-18 13:41 -------- d-----w- c:\program files\VirtualDubMOD
2010-04-27 17:25 . 2009-06-16 13:30 -------- d-----w- c:\program files\Messenger Plus! Live
2010-04-25 08:35 . 2008-10-09 13:34 79480 -c--a-w- c:\documents and settings\Maman\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-24 14:48 . 2010-03-26 11:46 -------- d-----w- c:\program files\burnatonce
2010-04-24 10:16 . 2009-04-12 15:01 -------- d-----w- c:\program files\AskTBar
2010-04-23 19:50 . 2008-09-16 14:35 -------- d-----w- c:\program files\Google
2010-04-17 16:04 . 2009-04-14 11:27 -------- d-----w- c:\documents and settings\Maman\Application Data\ArcSoft
2010-03-30 20:15 . 2008-09-22 17:29 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-03-26 19:20 . 2009-02-04 14:29 -------- d-----w- c:\documents and settings\Maman\Application Data\U3
2010-03-26 16:29 . 2010-03-26 16:29 -------- d-----w- c:\program files\Intelore
2010-03-26 15:57 . 2009-12-25 11:06 -------- d-----w- c:\program files\TubeMaster++
2010-03-26 15:30 . 2009-06-18 16:01 47360 ------w- c:\windows\system32\drivers\pcouffin.sys
2010-03-17 17:14 . 2009-12-25 11:44 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-03-15 15:02 . 2010-03-14 10:16 -------- d-----w- c:\program files\TeamViewer
2010-03-14 10:18 . 2010-03-14 10:18 -------- d-----w- c:\documents and settings\Maman\Application Data\TeamViewer
2010-03-10 17:28 . 2010-03-09 07:24 -------- d-----w- c:\program files\Zuma's Revenge!
2010-03-10 17:25 . 2010-03-10 17:24 -------- d-----w- c:\program files\PopCap Games
2010-03-10 17:04 . 2009-04-11 07:13 37 -c--a-w- c:\windows\popcinfo.dat
2010-03-10 16:27 . 2010-03-10 16:27 -------- d-----w- c:\documents and settings\Maman\Application Data\ACAMPREF
2010-03-10 16:27 . 2010-03-10 16:27 1409 ----a-w- c:\windows\Fonts\SToccata.fot
2010-03-10 16:16 . 2010-03-10 16:16 -------- d-----w- c:\documents and settings\Maman\Application Data\MusE
2010-03-10 16:11 . 2010-03-10 16:09 -------- d-----w- c:\program files\MuseScore 0.9
2010-03-10 06:16 . 2004-08-19 12:03 420352 ------w- c:\windows\system32\vbscript.dll
2010-03-04 14:06 . 2010-03-04 14:06 152576 ----a-w- c:\documents and settings\Maman\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-03-04 14:06 . 2010-03-04 14:06 79488 ----a-w- c:\documents and settings\Maman\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-04 14:05 . 2009-12-25 11:26 411368 ------w- c:\windows\system32\deploytk.dll
2010-02-25 06:17 . 2004-08-19 12:03 916480 ------w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-19 12:03 455680 ------w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2004-08-19 12:03 2148352 ------w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2004-08-03 23:48 2026496 ------w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 13:54 . 2008-07-18 08:13 1920 ----a-w- c:\windows\xlkfs.dat
2010-02-12 10:03 . 2010-03-03 09:08 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2004-08-19 12:03 100864 ------w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-19 12:03 226880 ------w- c:\windows\system32\drivers\tcpip6.sys
2010-01-29 19:42 . 2010-01-29 19:42 1553572 ----a-w- c:\program files\iCF.exe
2009-12-28 14:23 . 2009-12-24 17:50 2396672 ----a-w- c:\program files\lcp504en.exe
2009-12-28 10:14 . 2009-12-25 11:43 16721957 ----a-w- c:\program files\lc6setup_v6.0.7.exe
2009-12-28 10:12 . 2009-12-28 10:12 2981608 ----a-w- c:\program files\UsenetNLSetup_415934f.exe
2009-12-25 11:05 . 2009-12-25 11:05 7040498 ----a-w- c:\program files\tubemaster_tubemaster_1.5_francais_38784.exe
2009-12-25 11:01 . 2009-12-25 11:01 4455121 ----a-w- c:\program files\ophcrack-win32-installer-3.0.exe
2009-12-25 10:31 . 2009-12-25 10:31 7573628 ----a-w- c:\program files\ca_setup.exe
2009-12-24 17:58 . 2009-12-24 17:58 1945512 ----a-w- c:\program files\lcp504en.zip
2009-11-09 19:40 . 2009-11-09 19:40 2011060 ----a-w- c:\program files\MyDefrag-v4.2.5.exe
2009-08-23 10:13 . 2009-08-23 10:13 594984 ----a-w- c:\program files\cameramanvire.mp3
2009-08-22 19:37 . 2009-08-22 19:37 139211 ----a-w- c:\program files\Pcwarrior.zip
2009-08-22 19:37 . 2009-07-31 15:33 28263 ----a-w- c:\program files\qbslasky.zip
2009-08-22 19:24 . 2009-08-22 19:24 3347 ----a-w- c:\program files\opt.zip
2009-07-31 15:50 . 2009-07-31 15:50 3219948 ----a-w- c:\program files\cdbxp_setup_4.2.4.1430.exe
2009-07-31 15:36 . 2009-07-31 15:36 192612 ----a-w- c:\program files\qbasic.zip
2009-07-31 15:33 . 2009-07-31 15:32 1044693 ----a-w- c:\program files\qb45fr.zip
2009-06-16 13:29 . 2009-06-16 13:29 5167952 ----a-w- c:\program files\MsgPlusLive-481.exe
2009-06-16 13:19 . 2009-06-16 13:19 1144168 ----a-w- c:\program files\wlsetup-custom(2).exe
2009-06-16 13:18 . 2009-06-16 13:18 1144168 ----a-w- c:\program files\wlsetup-custom.exe
2009-06-16 13:18 . 2009-06-16 13:18 2054131 ----a-w- c:\program files\install-messenger9.exe
2009-06-15 14:51 . 2009-06-15 14:50 15124508 ----a-w- c:\program files\video-converter-studio.exe
2009-06-15 14:51 . 2009-06-15 14:51 1316970 ----a-w- c:\program files\RADTools.exe
2009-06-15 14:28 . 2009-06-15 14:28 71173 ----a-w- c:\program files\freezer v1.4 fr.zip
2009-06-13 07:33 . 2009-06-13 07:17 361488 ----a-w- c:\program files\Download StudioPlusTE10.6.0.3835 now.exe
2008-06-02 07:07 . 2010-02-16 13:16 7412 ----a-w- c:\program files\readme.txt
2008-06-02 07:07 . 2010-02-16 13:16 14038 ----a-w- c:\program files\astlog.chm
2001-01-15 18:01 . 2009-10-14 13:42 146577 -c--a-w- c:\program files\QBasic.chm
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-31 7561216]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Auto EPSON Stylus D88 Series sur TAKUMI"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide de HP Photosmart Premier.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide de HP Photosmart Premier.lnk
backup=c:\windows\pss\Démarrage rapide de HP Photosmart Premier.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancer l'utilitaire d'enregistrement.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancer l'utilitaire d'enregistrement.lnk
backup=c:\windows\pss\Lancer l'utilitaire d'enregistrement.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PHOTOfunSTUDIO.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PHOTOfunSTUDIO.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zzzHPSETUP]
d:\setup.exe \RESET [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42 36272 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2007-10-11 06:45 31232 ----a-w- c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BuildBU]
2004-02-19 04:23 61440 -c--a-w- c:\dell\bldbubg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D88 Series]
2005-01-27 04:00 98304 ------w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIABE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-02-19 00:41 49152 -c--a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2005-06-17 06:56 139264 -c--a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2005-06-10 09:44 249856 -c--a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-06-10 09:44 81920 -c--a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe]
2005-07-12 18:05 1117184 -c--a-w- c:\program files\McAfee\SpamKiller\MSKDetct.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 18:42 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2005-03-22 15:20 339968 -c--a-w- c:\windows\stsystra.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-10-21 13:58 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\freezer v1.4 fr\\freezer v1.4 fr\\freezer.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Logitech Touch Mouse Server\\iTouch-Server-Win.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\WiFiConnector\\NintendoWFCReg.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/04/2010 15:56 691696]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [30/09/2008 17:21 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/09/2008 17:21 20560]
S2 gupdate1c9bad189eab984;Service Google Update (gupdate1c9bad189eab984);c:\program files\Google\Update\GoogleUpdate.exe [11/04/2009 20:15 133104]
S3 LcAgent;LC Remote Agent;c:\windows\Temp\lcagent.exe --> c:\windows\Temp\lcagent.exe [?]
S3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23/01/2004 17:33 13952]
S3 PPortJoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23/01/2004 17:32 28800]
.
Contenu du dossier 'Tâches planifiées'

2010-05-08 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-16 18:13]

2010-05-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-11 18:15]

2010-05-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-11 18:15]

2008-09-17 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-19 02:34]

2010-05-08 c:\windows\Tasks\User_Feed_Synchronization-{A07544BB-C2A4-413A-99C7-954F268F0258}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.emule-france.com
uInternet Connection Wizard,ShellNext = hxxp://www.dell.fr/myway
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Maman\Application Data\Mozilla\Firefox\Profiles\ly2t5qs0.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Explorer_Run-Mstsc - c:\windows\System32\drivers\mstsc.exe
HKLM-Explorer_Run-Esent Utl - c:\windows\esentutl.exe
HKLM-Explorer_Run-ClipSrv - c:\docume~1\Maman\APPLIC~1\MICROS~1\clipsrv.exe
HKLM-Explorer_Run-CmSTP - c:\docume~1\Maman\LOCALS~1\APPLIC~1\cmstp.exe
HKLM-Explorer_Run-Cisvc - c:\docume~1\Maman\APPLIC~1\cisvc.exe
HKU-Default-Explorer_Run-DllHst - c:\windows\dllhst3g.exe
MSConfigStartUp-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
MSConfigStartUp-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe
MSConfigStartUp-McafWelcome - c:\progra~1\mcafee.com\agent\mcwelcom.exe
MSConfigStartUp-MCAgentExe - c:\progra~1\mcafee.com\agent\mcagent.exe
MSConfigStartUp-MCUpdateExe - c:\progra~1\mcafee.com\agent\mcupdate.exe
MSConfigStartUp-MPFExe - c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe
MSConfigStartUp-MSKAGENTEXE - c:\progra~1\McAfee\SPAMKI~1\MskAgent.exe
MSConfigStartUp-NMB - c:\windows\MxMySound.exe
MSConfigStartUp-OASClnt - c:\program files\McAfee.com\VSO\oasclnt.exe
MSConfigStartUp-RealTray - c:\program files\Real\RealPlayer\RealPlay.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
MSConfigStartUp-VirusScan Online - c:\progra~1\mcafee.com\vso\mcvsshld.exe
MSConfigStartUp-VSOCheckTask - c:\progra~1\McAfee.com\VSO\mcmnhdlr.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-08 22:12
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spsp.sys hal.dll >>UNKNOWN [0x86786938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7656f28
\Driver\ACPI -> ACPI.sys @ 0xf73ddcb8
\Driver\atapi -> atapi.sys @ 0xf7372b40
\Driver\iaStor -> iastor.sys @ 0xf72d5020
IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) PRO/1000 PL Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7193bb0
PacketIndicateHandler -> NDIS.sys @ 0xf71a0a21
SendHandler -> NDIS.sys @ 0xf717e87b
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040210900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3556)
c:\windows\system32\msi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-05-08 22:17:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-08 20:17

Avant-CF: 213 521 608 704 octets libres
Après-CF: 213 537 804 288 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 90F8E5721C5BF56B5EABE8E3E91A3478
Desolé du double post mais j'ai oublié de dire que j'ai jamais eu Mc-Afee
Et il m'a dit que je l'avais --'
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut _Joyau_'


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++ :)
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Ok, je fais ça et je poste :)
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Voila le rapport de Gmer :)

:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-09 10:33:31
Windows 5.1.2600 Service Pack 3
Running: 22w7szm2.exe; Driver: C:\DOCUME~1\Maman\LOCALS~1\Temp\axtdypoc.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xEBCD56B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xEBCD5574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xEBCD5A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xEBCD514C]
SSDT spyf.sys ZwEnumerateKey [0xF7437DA4]
SSDT spyf.sys ZwEnumerateValueKey [0xF7438132]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xEBCD564E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xEBCD508C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xEBCD50F0]
SSDT spyf.sys ZwQueryKey [0xF743820A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xEBCD576E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xEBCD572E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xEBCD58AE]

INT 0x62 ? 867D7BF8
INT 0x63 ? 86765BF8
INT 0x84 ? 85D07BF8
INT 0x94 ? 85D07BF8
INT 0xA4 ? 85D07BF8
INT 0xB4 ? 85D07BF8

---- Kernel code sections - GMER 1.0.15 ----

? spyf.sys Le fichier spécifié est introuvable. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF63EE380, 0x21F1AD, 0xE8000020]
.text USBPORT.SYS!DllUnload F63798AC 5 Bytes JMP 85D071D8

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7420042] spyf.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F742013E] spyf.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74200C0] spyf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7420800] spyf.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74206D6] spyf.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[880] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[880] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 867641F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbehci \Device\USBPDO-0 85C941F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 867661F8
Device \Driver\dmio \Device\DmControl\DmConfig 867661F8
Device \Driver\dmio \Device\DmControl\DmPnP 867661F8
Device \Driver\dmio \Device\DmControl\DmInfo 867661F8
Device \Driver\usbuhci \Device\USBPDO-1 85CC11F8
Device \Driver\usbuhci \Device\USBPDO-2 85CC11F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{1C719838-24A7-416F-8DD7-F0F7552D0BEA} 85517500
Device \Driver\usbuhci \Device\USBPDO-3 85CC11F8
Device \Driver\usbuhci \Device\USBPDO-4 85CC11F8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Ftdisk \Device\HarddiskVolume1 867D81F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 867D81F8
Device \Driver\Cdrom \Device\CdRom0 85C881F8
Device \Driver\iastor \Device\Ide\iaStor0 [F72D5020] iastor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\iastor \Device\Ide\IAAStorageDevice-0 [F72D5020] iastor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom1 85C881F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 867D81F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 85517500
Device \Driver\NetBT \Device\NetbiosSmb 85517500

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBFDO-0 85CC11F8
Device \Driver\usbuhci \Device\USBFDO-1 85CC11F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 850541F8
Device \Driver\usbuhci \Device\USBFDO-2 85CC11F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 850541F8
Device \Driver\usbuhci \Device\USBFDO-3 85CC11F8
Device \Driver\usbehci \Device\USBFDO-4 85C941F8
Device \Driver\Ftdisk \Device\FtControl 867D81F8
Device \FileSystem\Fastfat \Fat 84F78500
Device \FileSystem\Fastfat \Fat B01D8297

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Cdfs \Cdfs 85AE92C8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x07 0xB6 0x9F 0x61 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x07 0xB6 0x9F 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x7A 0x45 0x05 0xFD ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xE9 0x02 0x6C 0xFA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.15 ----
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut _Joyau_'


Télécharge MBR par (GMER) sur ton Bureau :

http://www2.gmer.net/mbr/mbr.exe

- Désactive tous les programmes de protection (antivirus, antispyware etc.)
https://forum.pcastuces.com/default.asp

- Double-clique sur mbr.exe > une fenêtre noire va s'ouvrir et se refermer.
- Poste le rapport mbr.log qui apparaît.


@++ :)
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Re ;o

Je voulais te dire que depuis le 1er ou le 2ème scan, plus rien
Yen a un des deux qui a supprimé des fichiers, et au démarrage plus rien ne vient, le dossier ~temp n'existe plus et avast ne me signale plus rien. Est-ce utile de continuer et de faire ce scan?
Merci :D
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut _Joyau_'


Je te ferais pas passé des scan pour rien, Combofix m'indique que la MBR a été modifié par le Rootkit, là on vérifie si Combofix a réussi a réparer.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spsp.sys hal.dll >>UNKNOWN [0x86786938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7656f28
\Driver\ACPI -> ACPI.sys @ 0xf73ddcb8
\Driver\atapi -> atapi.sys @ 0xf7372b40
\Driver\iaStor -> iastor.sys @ 0xf72d5020
IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) PRO/1000 PL Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7193bb0
PacketIndicateHandler -> NDIS.sys @ 0xf71a0a21
SendHandler -> NDIS.sys @ 0xf717e87b
user & kernel MBR OK


Donc j'attends ton rapport a moins que tu veux en resté là avec la possibilité que la MBR soit encore corrompu...


@++ :)
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Aucun problème, je le fais te je poste :)
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Voilà ;o
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut _Joyau_'


Tiens voilà, pas trop long....

La MBR es OK, on va vérifier si rien de caché :

Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++ :)
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Très long scan... 36%
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut _Joyau_'


Effectivement un peu plus long que le scan pour la MBR :-))


@++ :)

P.S. - va promener le chien
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

I love les chiens =)

Bref...
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Dsl du retard

Le rapport :)

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ec45bcaed15b224aaa94d83c49b41ec6
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-05-10 07:53:03
# local_time=2010-05-10 09:53:03 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=769 16775125 100 98 233 209796506 0 0
# compatibility_mode=8192 67108863 100 0 86353 86353 0 0
# scanned=88325
# found=2
# cleaned=2
# scan_time=13040
C:\Program Files\LCP\Data\pwdump3\pwservice.exe Win32/PSWTool.PWDump3 application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP304\A0103124.exe Win32/PSWTool.PWDump3 application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C


A tte ;o
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut _Joyau_'


Tu supprimeras ce dossier en gras:
C:\Program Files\LCP


Pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php


-----


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre :
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.


@++ :)
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Re :)

Le rapport de ToolsCleaner :


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !




Sinon, j'avais déjà CCleaner et je l'utilise, je trouve que c'est un très bon outil ;o
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut _Joyau_'


Je te donne quelques consignes de sécurité :

- Windows Update parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d'infection (µTorrent, BitTorrent, eMule, Limewire, etc..) https://forum.malekal.com/viewtopic.php?t=893&start=
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/


De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
https://www.commentcamarche.net/faq/11365-marquer-un-fil-de-discussion-comme-etant-resolu

Bonne journée/soirée et bon surf


@++ :)
Messages postés
10
Date d'inscription
samedi 8 mai 2010
Statut
Membre
Dernière intervention
14 mai 2010

Bonjour,

Merci pour toutes tes réponses et pour le temps que tu as pris à me répondre, et pour tous ces conseils. =)

_Joyau_