Csrrs.exe = Imitation & virusRésolu/Fermé

Question

Bonjour,

Depuis quelques jours Avast me signale les processus de Windows csrss.exe, mdm.exe, svchost.exe, et msmm.exe comme des virus.
Je pensais que Avast me reportait des faux positifs et je me suis renseigné.
Ces .exe ne doivent être en aucun cas or du dossier C:\Windows\system32
Or ils sont dans des dossiers du type C:\Documents and Settings\Admin\Locals Settings\Temp\~temp\hmml326
Les noms (hmml326, mlp250)... varient, et le dossier ~temp est caché.
J'ai aussi constaté que même en supprimant, ils reviennent au démarrage, et même si je ne les supprime pas, il y en a deux ou 3 en plus.
Dans chaque dossier se situe un "processus" avec une icone ou pas.
J'ai déja essayé de changer les programmes au démarrage dans msconfig mais ça revient quand même.
Que faire?
Merci de vos réponses.

Configuration: Windows XP / Firefox 3.6.3

dédétraqué · Answer

Salut _Joyau_'


On va leur réglé leur cas  :-)

Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

_Joyau_' · Answer

Re :) Un peu long, voilà le rapport : ComboFix 10-05-07.07 - Maman 08/05/2010 22:04:34.1.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.595 [GMT 2:00] Lancé depuis: c:\documents and settings\Maman\Bureau\ComboFix.exe AV: avast! antivirus 4.8.1368 [VPS 100508-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83} FW: *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\docume~1\Maman\LOCALS~1\Temp\sessmgr.exe c:\documents and settings\Maman\Application Data\cisvc.exe c:\documents and settings\Maman\Application Data\inst.exe c:\documents and settings\Maman\Application Data\Microsoft\clipsrv.exe c:\documents and settings\Maman\Local Settings\Application Data\cmstp.exe c:\windows\dll.exe c:\windows\dllhst3g.exe c:\windows\esentutl.exe c:\windows\system32\drivers\cmstp.exe c:\windows\system32\drivers\mstsc.exe . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-08 au 2010-05-08 )))))))))))))))))))))))))))))))))))) . 2010-04-30 10:05 . 2010-04-30 10:55 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS 2010-04-29 10:43 . 2010-04-29 10:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate 2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\program files\Fichiers communs\Yahoo! 2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Studio 12 2010-04-29 10:36 . 2010-04-29 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Plus 2010-04-29 06:46 . 2010-04-29 06:46 -------- d-----w- c:\documents and settings\Maman\Application Data\proDAD 2010-04-28 15:58 . 2010-04-29 07:01 -------- d-----w- c:\program files\a-squared Free 2010-04-27 20:42 . 2010-04-29 08:31 -------- d-----w- c:\program files\SimpleOCR 2010-04-24 16:37 . 2010-04-24 16:37 49744 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat 2010-04-24 16:00 . 2010-04-24 16:00 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\MicroVision Applications 2010-04-24 16:00 . 2010-04-24 16:00 -------- d-----w- c:\program files\Fichiers communs\SureThing Shared 2010-04-24 16:00 . 2010-04-29 10:31 -------- d-----w- c:\program files\SureThing Express Labeler 2010-04-24 15:58 . 2010-04-29 08:27 -------- d-----w- c:\program files\LooksBuilderSE 2010-04-24 15:56 . 2010-04-24 15:56 -------- d-----w- c:\program files\Fichiers communs\Pinnacle 2010-04-24 15:55 . 2010-04-29 10:43 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\Downloaded Installations 2010-04-24 15:55 . 2010-04-24 16:06 -------- d-----w- c:\documents and settings\Maman\Local Settings\Application Data\Pinnacle 2010-04-24 15:54 . 2010-04-24 15:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate Collection 2010-04-24 15:14 . 1999-09-10 11:06 5600 ----a-w- c:\windows\system\winaspi.dll 2010-04-24 15:14 . 1999-09-10 11:06 4672 ----a-w- c:\windows\system\wowpost.exe 2010-04-24 15:14 . 1999-09-10 11:06 45056 ------w- c:\windows\system32\wnaspi32.dll 2010-04-24 15:14 . 1999-09-10 11:06 25244 ------w- c:\windows\system32\drivers\aspi32.sys 2010-04-24 15:13 . 2010-04-24 15:13 -------- d-----w- C:\adaptec 2010-04-24 14:49 . 2010-04-24 14:49 -------- d-----w- c:\documents and settings\Maman\Application Data\Canneverbe Limited 2010-04-24 14:49 . 2010-04-24 14:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited 2010-04-24 14:15 . 2010-04-24 14:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Astroburn Pro 2010-04-24 14:15 . 2010-04-24 14:15 -------- d-----w- c:\documents and settings\Maman\Application Data\Astroburn Pro 2010-04-24 13:56 . 2010-04-24 14:18 -------- d-----w- c:\program files\DAEMON Tools Toolbar 2010-04-24 13:56 . 2010-04-24 13:56 691696 ------w- c:\windows\system32\drivers\sptd.sys 2010-04-24 13:55 . 2010-04-24 14:05 -------- d-----w- c:\documents and settings\Maman\Application Data\DAEMON Tools Lite 2010-04-24 13:55 . 2010-04-24 13:55 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite 2010-04-24 10:34 . 2010-04-24 10:34 -------- d-----w- c:\program files\CCleaner 2010-04-18 16:30 . 2010-04-18 16:30 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache 2010-04-18 16:30 . 2010-04-18 16:30 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe 2010-04-18 15:30 . 2010-04-18 15:30 -------- d-----w- c:\documents and settings\LocalService\Bureau 2010-04-18 15:11 . 2010-04-18 15:11 -------- d-----w- c:\program files\Trend Micro . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-08 20:16 . 2004-08-19 12:03 93890 ----a-w- c:\windows\system32\perfc00C.dat 2010-05-08 20:16 . 2004-08-19 12:03 532460 ----a-w- c:\windows\system32\perfh00C.dat 2010-05-08 16:12 . 2009-04-11 18:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater 2010-04-30 10:49 . 2009-10-18 16:42 -------- d-----w- c:\program files\DebugMode 2010-04-30 10:06 . 2010-04-30 10:05 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe 2010-04-30 07:56 . 2009-06-18 13:45 -------- d-----w- c:\program files\DivX 2010-04-29 10:44 . 2010-04-29 10:44 29926 ----a-r- c:\documents and settings\Maman\Application Data\Microsoft\Installer\{5EB90C06-964F-4195-B83E-BD7E55C88415}\ARPPRODUCTICON.exe 2010-04-29 10:36 . 2009-06-13 08:34 -------- d-----w- c:\program files\Pinnacle 2010-04-29 10:32 . 2009-06-13 08:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle 2010-04-29 08:33 . 2008-12-26 07:56 -------- d-----w- c:\program files\ArcSoft 2010-04-29 08:33 . 2006-07-11 18:52 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-04-29 08:32 . 2006-07-11 18:53 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared 2010-04-29 08:32 . 2006-07-11 18:57 -------- d-----w- c:\program files\Roxio 2010-04-29 08:30 . 2009-01-01 21:00 -------- d-----w- c:\program files\Windows Live 2010-04-29 08:30 . 2009-06-18 16:01 -------- d-----w- c:\program files\VSO 2010-04-29 08:30 . 2009-06-18 16:01 47360 ----a-w- c:\documents and settings\Maman\Application Data\pcouffin.sys 2010-04-29 08:30 . 2009-06-18 16:01 47360 ----a-w- c:\documents and settings\Maman\Application Data\pcouffin.sys 2010-04-29 08:30 . 2009-06-18 16:01 -------- d-----w- c:\documents and settings\Maman\Application Data\Vso 2010-04-29 08:29 . 2009-06-18 13:41 -------- d-----w- c:\program files\VirtualDubMOD 2010-04-27 17:25 . 2009-06-16 13:30 -------- d-----w- c:\program files\Messenger Plus! Live 2010-04-25 08:35 . 2008-10-09 13:34 79480 -c--a-w- c:\documents and settings\Maman\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2010-04-24 14:48 . 2010-03-26 11:46 -------- d-----w- c:\program files\burnatonce 2010-04-24 10:16 . 2009-04-12 15:01 -------- d-----w- c:\program files\AskTBar 2010-04-23 19:50 . 2008-09-16 14:35 -------- d-----w- c:\program files\Google 2010-04-17 16:04 . 2009-04-14 11:27 -------- d-----w- c:\documents and settings\Maman\Application Data\ArcSoft 2010-03-30 20:15 . 2008-09-22 17:29 -------- d-----w- c:\program files\Fichiers communs\Adobe 2010-03-26 19:20 . 2009-02-04 14:29 -------- d-----w- c:\documents and settings\Maman\Application Data\U3 2010-03-26 16:29 . 2010-03-26 16:29 -------- d-----w- c:\program files\Intelore 2010-03-26 15:57 . 2009-12-25 11:06 -------- d-----w- c:\program files\TubeMaster++ 2010-03-26 15:30 . 2009-06-18 16:01 47360 ------w- c:\windows\system32\drivers\pcouffin.sys 2010-03-17 17:14 . 2009-12-25 11:44 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 2010-03-15 15:02 . 2010-03-14 10:16 -------- d-----w- c:\program files\TeamViewer 2010-03-14 10:18 . 2010-03-14 10:18 -------- d-----w- c:\documents and settings\Maman\Application Data\TeamViewer 2010-03-10 17:28 . 2010-03-09 07:24 -------- d-----w- c:\program files\Zuma's Revenge! 2010-03-10 17:25 . 2010-03-10 17:24 -------- d-----w- c:\program files\PopCap Games 2010-03-10 17:04 . 2009-04-11 07:13 37 -c--a-w- c:\windows\popcinfo.dat 2010-03-10 16:27 . 2010-03-10 16:27 -------- d-----w- c:\documents and settings\Maman\Application Data\ACAMPREF 2010-03-10 16:27 . 2010-03-10 16:27 1409 ----a-w- c:\windows\Fonts\SToccata.fot 2010-03-10 16:16 . 2010-03-10 16:16 -------- d-----w- c:\documents and settings\Maman\Application Data\MusE 2010-03-10 16:11 . 2010-03-10 16:09 -------- d-----w- c:\program files\MuseScore 0.9 2010-03-10 06:16 . 2004-08-19 12:03 420352 ------w- c:\windows\system32\vbscript.dll 2010-03-04 14:06 . 2010-03-04 14:06 152576 ----a-w- c:\documents and settings\Maman\Application Data\Sun\Java\jre1.6.0_17\lzma.dll 2010-03-04 14:06 . 2010-03-04 14:06 79488 ----a-w- c:\documents and settings\Maman\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll 2010-03-04 14:05 . 2009-12-25 11:26 411368 ------w- c:\windows\system32\deploytk.dll 2010-02-25 06:17 . 2004-08-19 12:03 916480 ------w- c:\windows\system32\wininet.dll 2010-02-24 13:11 . 2004-08-19 12:03 455680 ------w- c:\windows\system32\drivers\mrxsmb.sys 2010-02-16 19:06 . 2004-08-19 12:03 2148352 ------w- c:\windows\system32 toskrnl.exe 2010-02-16 19:06 . 2004-08-03 23:48 2026496 ------w- c:\windows\system32 tkrnlpa.exe 2010-02-16 13:54 . 2008-07-18 08:13 1920 ----a-w- c:\windows\xlkfs.dat 2010-02-12 10:03 . 2010-03-03 09:08 293376 ------w- c:\windows\system32\browserchoice.exe 2010-02-12 04:34 . 2004-08-19 12:03 100864 ------w- c:\windows\system32\6to4svc.dll 2010-02-11 12:02 . 2004-08-19 12:03 226880 ------w- c:\windows\system32\drivers cpip6.sys 2010-01-29 19:42 . 2010-01-29 19:42 1553572 ----a-w- c:\program files\iCF.exe 2009-12-28 14:23 . 2009-12-24 17:50 2396672 ----a-w- c:\program files\lcp504en.exe 2009-12-28 10:14 . 2009-12-25 11:43 16721957 ----a-w- c:\program files\lc6setup_v6.0.7.exe 2009-12-28 10:12 . 2009-12-28 10:12 2981608 ----a-w- c:\program files\UsenetNLSetup_415934f.exe 2009-12-25 11:05 . 2009-12-25 11:05 7040498 ----a-w- c:\program files ubemaster_tubemaster_1.5_francais_38784.exe 2009-12-25 11:01 . 2009-12-25 11:01 4455121 ----a-w- c:\program files\ophcrack-win32-installer-3.0.exe 2009-12-25 10:31 . 2009-12-25 10:31 7573628 ----a-w- c:\program files\ca_setup.exe 2009-12-24 17:58 . 2009-12-24 17:58 1945512 ----a-w- c:\program files\lcp504en.zip 2009-11-09 19:40 . 2009-11-09 19:40 2011060 ----a-w- c:\program files\MyDefrag-v4.2.5.exe 2009-08-23 10:13 . 2009-08-23 10:13 594984 ----a-w- c:\program files\cameramanvire.mp3 2009-08-22 19:37 . 2009-08-22 19:37 139211 ----a-w- c:\program files\Pcwarrior.zip 2009-08-22 19:37 . 2009-07-31 15:33 28263 ----a-w- c:\program files\qbslasky.zip 2009-08-22 19:24 . 2009-08-22 19:24 3347 ----a-w- c:\program files\opt.zip 2009-07-31 15:50 . 2009-07-31 15:50 3219948 ----a-w- c:\program files\cdbxp_setup_4.2.4.1430.exe 2009-07-31 15:36 . 2009-07-31 15:36 192612 ----a-w- c:\program files\qbasic.zip 2009-07-31 15:33 . 2009-07-31 15:32 1044693 ----a-w- c:\program files\qb45fr.zip 2009-06-16 13:29 . 2009-06-16 13:29 5167952 ----a-w- c:\program files\MsgPlusLive-481.exe 2009-06-16 13:19 . 2009-06-16 13:19 1144168 ----a-w- c:\program files\wlsetup-custom(2).exe 2009-06-16 13:18 . 2009-06-16 13:18 1144168 ----a-w- c:\program files\wlsetup-custom.exe 2009-06-16 13:18 . 2009-06-16 13:18 2054131 ----a-w- c:\program files\install-messenger9.exe 2009-06-15 14:51 . 2009-06-15 14:50 15124508 ----a-w- c:\program files\video-converter-studio.exe 2009-06-15 14:51 . 2009-06-15 14:51 1316970 ----a-w- c:\program files\RADTools.exe 2009-06-15 14:28 . 2009-06-15 14:28 71173 ----a-w- c:\program files\freezer v1.4 fr.zip 2009-06-13 07:33 . 2009-06-13 07:17 361488 ----a-w- c:\program files\Download StudioPlusTE10.6.0.3835 now.exe 2008-06-02 07:07 . 2010-02-16 13:16 7412 ----a-w- c:\program files eadme.txt 2008-06-02 07:07 . 2010-02-16 13:16 14038 ----a-w- c:\program files\astlog.chm 2001-01-15 18:01 . 2009-10-14 13:42 146577 -c--a-w- c:\program files\QBasic.chm . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-31 7561216] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000] "Auto EPSON Stylus D88 Series sur TAKUMI"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide de HP Photosmart Premier.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide de HP Photosmart Premier.lnk backup=c:\windows\pss\Démarrage rapide de HP Photosmart Premier.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancer l'utilitaire d'enregistrement.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancer l'utilitaire d'enregistrement.lnk backup=c:\windows\pss\Lancer l'utilitaire d'enregistrement.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PHOTOfunSTUDIO.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PHOTOfunSTUDIO.lnk backup=c:\windows\pss\PHOTOfunSTUDIO.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zzzHPSETUP] d:\setup.exe \RESET [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-03-24 18:17 952768 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-04-04 05:42 36272 ----a-w- c:\program files\Adobe\Reader 9.0\Reader eader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service] 2007-10-11 06:45 31232 ----a-w- c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BuildBU] 2004-02-19 04:23 61440 -c--a-w- c:\dell\bldbubg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D88 Series] 2005-01-27 04:00 98304 ------w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIABE.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2006-02-19 00:41 49152 -c--a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif] 2005-06-17 06:56 139264 -c--a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] 2005-06-10 09:44 249856 -c--a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] 2005-06-10 09:44 81920 -c--a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe] 2005-07-12 18:05 1117184 -c--a-w- c:\program files\McAfee\SpamKiller\MSKDetct.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-01-05 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2003-10-31 18:42 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp] 2005-03-22 15:20 339968 -c--a-w- c:\windows\stsystra.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2008-10-21 13:58 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\freezer v1.4 fr\freezer v1.4 fr\freezer.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Logitech Touch Mouse Server\iTouch-Server-Win.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\WiFiConnector\NintendoWFCReg.exe"= R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24/04/2010 15:56 691696] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [30/09/2008 17:21 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/09/2008 17:21 20560] S2 gupdate1c9bad189eab984;Service Google Update (gupdate1c9bad189eab984);c:\program files\Google\Update\GoogleUpdate.exe [11/04/2009 20:15 133104] S3 LcAgent;LC Remote Agent;c:\windows\Temp\lcagent.exe --> c:\windows\Temp\lcagent.exe [?] S3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23/01/2004 17:33 13952] S3 PPortJoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23/01/2004 17:32 28800] . Contenu du dossier 'Tâches planifiées' 2010-05-08 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-16 18:13] 2010-05-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-04-11 18:15] 2010-05-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-04-11 18:15] 2008-09-17 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-19 02:34] 2010-05-08 c:\windows\Tasks\User_Feed_Synchronization-{A07544BB-C2A4-413A-99C7-954F268F0258}.job - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.emule-france.com uInternet Connection Wizard,ShellNext = hxxp://www.dell.fr/myway uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Maman\Application Data\Mozilla\Firefox\Profiles\ly2t5qs0.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q= FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer pzylomgamesplayer.dll FF - plugin: c:\program files\Google\Google Earth\plugin pgeplugin.dll FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592 pCIDetect13.dll FF - plugin: c:\program files\Google\Update\1.2.183.23 pGoogleOneClick8.dll FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Explorer_Run-Mstsc - c:\windows\System32\drivers\mstsc.exe HKLM-Explorer_Run-Esent Utl - c:\windows\esentutl.exe HKLM-Explorer_Run-ClipSrv - c:\docume~1\Maman\APPLIC~1\MICROS~1\clipsrv.exe HKLM-Explorer_Run-CmSTP - c:\docume~1\Maman\LOCALS~1\APPLIC~1\cmstp.exe HKLM-Explorer_Run-Cisvc - c:\docume~1\Maman\APPLIC~1\cisvc.exe HKU-Default-Explorer_Run-DllHst - c:\windows\dllhst3g.exe MSConfigStartUp-EA Core - c:\program files\Electronic Arts\EADM\Core.exe MSConfigStartUp-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe MSConfigStartUp-McafWelcome - c:\progra~1\mcafee.com\agent\mcwelcom.exe MSConfigStartUp-MCAgentExe - c:\progra~1\mcafee.com\agent\mcagent.exe MSConfigStartUp-MCUpdateExe - c:\progra~1\mcafee.com\agent\mcupdate.exe MSConfigStartUp-MPFExe - c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe MSConfigStartUp-MSKAGENTEXE - c:\progra~1\McAfee\SPAMKI~1\MskAgent.exe MSConfigStartUp-NMB - c:\windows\MxMySound.exe MSConfigStartUp-OASClnt - c:\program files\McAfee.com\VSO\oasclnt.exe MSConfigStartUp-RealTray - c:\program files\Real\RealPlayer\RealPlay.exe MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe MSConfigStartUp-VirusScan Online - c:\progra~1\mcafee.com\vso\mcvsshld.exe MSConfigStartUp-VSOCheckTask - c:\progra~1\McAfee.com\VSO\mcmnhdlr.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-05-08 22:12 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spsp.sys hal.dll >>UNKNOWN [0x86786938]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7656f28 \Driver\ACPI -> ACPI.sys @ 0xf73ddcb8 \Driver\atapi -> atapi.sys @ 0xf7372b40 \Driver\iaStor -> iastor.sys @ 0xf72d5020 IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 \Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 NDIS: Intel(R) PRO/1000 PL Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7193bb0 PacketIndicateHandler -> NDIS.sys @ 0xf71a0a21 SendHandler -> NDIS.sys @ 0xf717e87b user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*] "C040210900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(3556) c:\windows\system32\msi.dll c:\windows\system32\eappprxy.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe c:\windows\system32 vsvc32.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2010-05-08 22:17:41 - La machine a redémarré ComboFix-quarantined-files.txt 2010-05-08 20:17 Avant-CF: 213 521 608 704 octets libres Après-CF: 213 537 804 288 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect - - End Of File - - 90F8E5721C5BF56B5EABE8E3E91A3478

_Joyau_' · Answer

Desolé du double post mais j'ai oublié de dire que j'ai jamais eu Mc-Afee
Et il m'a dit que je l'avais --'

dédétraqué · Answer

Salut _Joyau_'


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++  :)

_Joyau_ · Answer

Ok, je fais ça et je poste :)

_Joyau_ · Answer

Voila le rapport de Gmer :)

:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-09 10:33:31
Windows 5.1.2600 Service Pack 3
Running: 22w7szm2.exe; Driver: C:\DOCUME~1\Maman\LOCALS~1\Temp\axtdypoc.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwClose [0xEBCD56B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwCreateKey [0xEBCD5574]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwDeleteValueKey [0xEBCD5A52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwDuplicateObject [0xEBCD514C]
SSDT            spyf.sys                                                                                                            ZwEnumerateKey [0xF7437DA4]
SSDT            spyf.sys                                                                                                            ZwEnumerateValueKey [0xF7438132]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwOpenKey [0xEBCD564E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwOpenProcess [0xEBCD508C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwOpenThread [0xEBCD50F0]
SSDT            spyf.sys                                                                                                            ZwQueryKey [0xF743820A]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwQueryValueKey [0xEBCD576E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwRestoreKey [0xEBCD572E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                               ZwSetValueKey [0xEBCD58AE]

INT 0x62        ?                                                                                                                   867D7BF8
INT 0x63        ?                                                                                                                   86765BF8
INT 0x84        ?                                                                                                                   85D07BF8
INT 0x94        ?                                                                                                                   85D07BF8
INT 0xA4        ?                                                                                                                   85D07BF8
INT 0xB4        ?                                                                                                                   85D07BF8

---- Kernel code sections - GMER 1.0.15 ----

?               spyf.sys                                                                                                            Le fichier spécifié est introuvable. !
.text           C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                                                            section is writeable [0xF63EE380, 0x21F1AD, 0xE8000020]
.text           USBPORT.SYS!DllUnload                                                                                               F63798AC 5 Bytes  JMP 85D071D8 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F7420042] spyf.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F742013E] spyf.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                 [F74200C0] spyf.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                         [F7420800] spyf.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                 [F74206D6] spyf.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[880] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]        00380002
IAT             C:\WINDOWS\system32\services.exe[880] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]              00380000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              867641F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                              aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbehci \Device\USBPDO-0                                                                                    85C941F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                           867661F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                             867661F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                867661F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                               867661F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    85CC11F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    85CC11F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{1C719838-24A7-416F-8DD7-F0F7552D0BEA}                                            85517500
Device          \Driver\usbuhci \Device\USBPDO-3                                                                                    85CC11F8
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                    85CC11F8

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              867D81F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                              867D81F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                        85C881F8
Device          \Driver\iastor \Device\Ide\iaStor0                                                                                  [F72D5020] iastor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                         [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                         [F7372B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\iastor \Device\Ide\IAAStorageDevice-0                                                                       [F72D5020] iastor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\Cdrom \Device\CdRom1                                                                                        85C881F8
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                              867D81F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                             85517500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    85517500

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                         aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    85CC11F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    85CC11F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                   850541F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    85CC11F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                         850541F8
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                    85CC11F8
Device          \Driver\usbehci \Device\USBFDO-4                                                                                    85C941F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                    867D81F8
Device          \FileSystem\Fastfat \Fat                                                                                            84F78500
Device          \FileSystem\Fastfat \Fat                                                                                            B01D8297

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device          \FileSystem\Cdfs \Cdfs                                                                                              85AE92C8

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x07 0xB6 0x9F 0x61 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x07 0xB6 0x9F 0x61 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xC8 0x28 0x51 0xAF ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x6A 0x9C 0xD6 0x61 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x7A 0x45 0x05 0xFD ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x86 0x8C 0x21 0x01 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xE9 0x02 0x6C 0xFA ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0xB0 0x18 0xED 0xA7 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x01 0x3A 0x48 0xFC ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0xF6 0x0F 0x4E 0x58 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0x37 0xA4 0xAA 0xC3 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0xF8 0x31 0x0F 0xA9 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.15 ----

dédétraqué · Answer

Salut _Joyau_' 


Télécharge MBR par (GMER) sur ton Bureau :

http://www2.gmer.net/mbr/mbr.exe

- Désactive tous les programmes de protection (antivirus, antispyware etc.)
https://forum.pcastuces.com/default.asp

- Double-clique sur mbr.exe > une fenêtre noire va s'ouvrir et se refermer.
- Poste le rapport mbr.log qui apparaît.


@++    :)

_Joyau_ · Answer

Re ;o

Je voulais te dire que depuis le 1er ou le 2ème scan, plus rien
Yen a un des deux qui a supprimé des fichiers, et au démarrage plus rien ne vient, le dossier ~temp n'existe plus et avast ne me signale plus rien. Est-ce utile de continuer et de faire ce scan?
Merci :D

dédétraqué · Answer

Salut _Joyau_' Je te ferais pas passé des scan pour rien, Combofix m'indique que la MBR a été modifié par le Rootkit, là on vérifie si Combofix a réussi a réparer. Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spsp.sys hal.dll >>UNKNOWN [0x86786938]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7656f28 \Driver\ACPI -> ACPI.sys @ 0xf73ddcb8 \Driver\atapi -> atapi.sys @ 0xf7372b40 \Driver\iaStor -> iastor.sys @ 0xf72d5020 IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 \Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 NDIS: Intel(R) PRO/1000 PL Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7193bb0 PacketIndicateHandler -> NDIS.sys @ 0xf71a0a21 SendHandler -> NDIS.sys @ 0xf717e87b user & kernel MBR OK Donc j'attends ton rapport a moins que tu veux en resté là avec la possibilité que la MBR soit encore corrompu... @++ :)

_Joyau_ · Answer

Aucun problème, je le fais te je poste :)

_Joyau_ · Answer

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

Voilà ;o

dédétraqué · Answer

Salut _Joyau_' 


Tiens voilà, pas trop long....

La MBR es OK, on va vérifier si rien de caché :

Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer) 
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++   :)

_Joyau_ · Answer

Très long scan... 36%

dédétraqué · Answer

Salut _Joyau_' 


Effectivement un peu plus long que le scan pour la MBR  :-))


@++   :)

P.S. - va promener le chien

_Joyau_ · Answer

I love les chiens =)

Bref...

_Joyau_ · Answer

Dsl du retard

Le rapport :)

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ec45bcaed15b224aaa94d83c49b41ec6
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-05-10 07:53:03
# local_time=2010-05-10 09:53:03 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=769 16775125 100 98 233 209796506 0 0
# compatibility_mode=8192 67108863 100 0 86353 86353 0 0
# scanned=88325
# found=2
# cleaned=2
# scan_time=13040
C:\Program Files\LCP\Data\pwdump3\pwservice.exe	Win32/PSWTool.PWDump3 application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP304\A0103124.exe	Win32/PSWTool.PWDump3 application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C


A tte ;o

dédétraqué · Answer

Salut _Joyau_' 


Tu supprimeras ce dossier en gras:
C:\Program Files\LCP


Pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique 

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP :  http://www.libellules.ch/desactiver_restauration.php


-----


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre : 
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.


@++ :)

_Joyau_ · Answer

Re :)

Le rapport de ToolsCleaner :


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !




Sinon, j'avais déjà CCleaner et je l'utilise, je trouve que c'est un très bon outil ;o

dédétraqué · Answer

Salut _Joyau_' 


Je te donne quelques consignes de sécurité :

-  Windows Update  parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm : 
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d'infection (µTorrent, BitTorrent, eMule, Limewire, etc..)   https://forum.malekal.com/viewtopic.php?t=893&start=
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp 
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/


De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

Bonne journée/soirée et bon surf   


@++  :)

_Joyau_ · Answer

Bonjour,

Merci pour toutes tes réponses et pour le temps que tu as pris à me répondre, et pour tous ces conseils. =)

_Joyau_

dédétraqué · Answer

Salut _Joyau_' 


Bien de rien, soit prudent.


@++   :)

Csrrs.exe = Imitation & virus

21 réponses

Discussions similaires

Newsletters