Proble M.à.j Kaspersky et Malewarebytes..! Fermé

Question

Bonsoir, J'aurais besoin des conseils de quelqu'un sachant analyser un rapport ZHPDiag ou au moins qui pourrait m'éclairer sur la partie du rapport qui me laisse perplexe... Je m'explique: depuis qq jours j'ai remarqué avoir environ 35% de ram occupé en activité minimum... alors que depuis que j'ai ce pc ça a toujours été 28% J'ai donc tout de suite pensé à une infection virale, et effectué une analyse complète avec Kaspersky antivirus + Malewarebytes, mais aucun des deux n'a trouvé la moindre trace de virus. Alors j'ai lancé une analyse avec ZHPDiag et trouvé en bas du rapport l'alerte suivante : ---\ Recherche d'infection Master Boot Record (O80) Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net Run by Yannick at 11/05/2010 11:26:19 device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys halmacpi.dll >>UNKNOWN [0x859241F8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x859241f8 Warning: possible MBR rootkit infection ! user & kernel MBR OK ! Donc petite recherche sur la toile sur les rootkits, je télécharge Gmer.exe, mais impossible de le lancer en mode normal. J'essaie en mode sans échec, l'analyse de Gmer.exe se lance normalement, puis au bout de qq minutes BSOD avec comme information technique : *** STOP : 0x00000050 (0xB1355038, 0x00000000, 0x8E3BAD3D, 0x00000000) *** kwldqpog.sys - adress 8E3BAD3D base at 8E3AF000, Datestamp 4b274f8d Si quelqu'un pouvait m'aider à savoir si j'ai un rootkit et surtout comment le virer ça serait vraiment sympa... Merci d'avance pour votre aide! Configuration: Windows Vista / Firefox 3.6.3

jisky · Answer

salut! essaye ceci peut etre? http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html

yannos78 · Answer

Pas compatible vista malheureusement...

yannos78 · Answer

up !

Tigzy · Answer

Salut

Télécharger et enregistrer  sur le bureau 
 Combofix

=Desactiver l'antivirus
=Double-clic sur  Combofix 
= Presser  1 si  demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans  C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus

yannos78 · Answer

Merci Tigzy, voici le rapprot Combofix :


ComboFix 10-05-10.05 - Yannick 12/05/2010   9:39.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3071.2347 [GMT 2:00]
Lancé depuis: c:\users\Yannick\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Kaspersky Anti-Virus *disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\sqlite3.dll
G:\install.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-12 au 2010-05-12  ))))))))))))))))))))))))))))))))))))
.

2010-05-12 07:08 . 2010-01-29 15:40	738816	----a-w-	c:\windows\system32\inetcomm.dll
2010-05-11 13:36 . 2010-05-11 14:00	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-05-11 13:36 . 2010-05-11 13:38	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-05-11 09:23 . 2010-05-11 09:26	--------	d-----w-	c:\program files\ZHPDiag
2010-05-06 19:53 . 2010-05-06 19:53	804687	----a-w-	c:\users\Yannick\AppData\Roamingunic games	orchlight\mods\Transmod\unins000.exe
2010-05-05 19:03 . 2010-05-05 19:04	--------	d-----w-	c:\program files\NVIDIA Corporation
2010-05-05 19:02 . 2010-03-17 00:01	56424	----a-w-	c:\windows\system32\OpenCL.dll
2010-05-05 19:02 . 2010-03-17 00:01	4513896	----a-w-	c:\windows\system32
vwgf2um.dll
2010-05-05 19:02 . 2010-03-17 00:01	11597416	----a-w-	c:\windows\system32\drivers
vlddmkm.sys
2010-05-05 19:02 . 2010-03-17 00:01	9393256	----a-w-	c:\windows\system32
vd3dum.dll
2010-05-05 19:02 . 2010-03-17 00:01	2647144	----a-w-	c:\windows\system32
vcuvenc.dll
2010-05-05 19:02 . 2010-03-17 00:01	2009704	----a-w-	c:\windows\system32
vcuvid.dll
2010-05-05 19:02 . 2010-03-17 00:01	15235688	----a-w-	c:\windows\system32
voglv32.dll
2010-05-05 19:02 . 2010-03-17 00:01	4029544	----a-w-	c:\windows\system32
vcuda.dll
2010-05-05 19:02 . 2010-03-17 00:01	215656	----a-w-	c:\windows\system32
vcod1910.dll
2010-05-05 19:02 . 2010-03-17 00:01	215656	----a-w-	c:\windows\system32
vcod.dll
2010-05-05 19:02 . 2010-03-17 00:01	11647592	----a-w-	c:\windows\system32
vcompiler.dll
2010-05-05 19:02 . 2010-05-05 19:05	--------	d-----w-	C:\NVIDIA
2010-05-05 18:44 . 2010-05-05 18:44	--------	d-----w-	c:\users\Yannick\AppData\Roamingunic games
2010-05-02 11:18 . 2010-05-02 11:18	--------	d-----w-	c:\program files\Microsoft XNA
2010-04-28 16:42 . 2010-04-28 16:42	--------	d-----w-	c:\program files\UltraISO
2010-04-28 16:42 . 2010-04-28 16:42	--------	d-----w-	c:\program files\Common Files\EZB Systems
2010-04-28 14:07 . 2010-04-28 14:07	691696	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-04-28 14:06 . 2010-04-28 14:07	--------	d-----w-	c:\program files\DAEMON Tools Lite
2010-04-28 14:06 . 2010-04-28 15:26	--------	d-----w-	c:\users\Yannick\AppData\Roaming\DAEMON Tools Lite
2010-04-28 14:05 . 2010-04-28 14:06	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2010-04-27 13:39 . 2010-04-08 15:16	1711232	----a-w-	c:\windows\system32\BootMan.exe
2010-04-27 13:39 . 2010-02-23 09:51	86408	----a-w-	c:\windows\system32\setupempdrv03.exe
2010-04-27 13:39 . 2010-02-23 09:51	8456	----a-w-	c:\windows\system32\EuGdiDrv.sys
2010-04-27 13:39 . 2010-02-23 09:51	14216	----a-w-	c:\windows\system32\epmntdrv.sys
2010-04-27 13:39 . 2010-02-23 09:51	14848	----a-w-	c:\windows\system32\EuEpmGdi.dll
2010-04-27 13:39 . 2010-04-27 13:39	--------	d-----w-	c:\program files\EASEUS
2010-04-26 22:02 . 2010-04-26 22:02	--------	d-----w-	c:\users\Yannick\AppData\Roaming\The Creative Assembly
2010-04-22 09:47 . 2010-04-22 09:47	--------	d-----w-	c:\programdata\2DBoy
2010-04-18 10:31 . 2010-05-07 23:05	--------	d-----w-	c:\users\Yannick\AppData\Roaming\Bioshock2
2010-04-18 10:28 . 2010-04-18 10:28	--------	d-sh--w-	c:\programdata\SecuROM
2010-04-17 22:46 . 2010-04-17 22:46	--------	d-----w-	c:\program files\IObit
2010-04-14 21:02 . 2010-04-14 21:02	--------	d-----w-	c:\users\Yannick\AppData\Roaming\Ubisoft
2010-04-14 21:01 . 2010-04-14 21:01	--------	d-----w-	c:\programdata\Tages
2010-04-14 20:59 . 2010-04-14 20:59	281760	----a-w-	c:\windows\system32\drivers\atksgt.sys
2010-04-14 20:59 . 2010-04-14 20:59	25888	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2010-04-14 20:59 . 2008-10-15 04:22	452440	----a-w-	c:\windows\system32\d3dx10_40.dll
2010-04-14 20:59 . 2008-10-15 04:22	2036576	----a-w-	c:\windows\system32\D3DCompiler_40.dll
2010-04-14 20:59 . 2008-10-15 04:22	4379984	----a-w-	c:\windows\system32\D3DX9_40.dll
2010-04-13 18:36 . 2010-02-23 11:10	212992	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2010-04-13 18:36 . 2010-02-23 11:10	79360	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2010-04-13 18:36 . 2010-02-23 11:10	106496	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-04-13 18:36 . 2010-02-18 14:07	3548040	----a-w-	c:\windows\system32
toskrnl.exe
2010-04-13 18:36 . 2010-02-18 14:07	3600776	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-04-13 18:36 . 2010-03-05 14:01	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-04-13 18:36 . 2009-12-23 11:33	172032	----a-w-	c:\windows\system32\wintrust.dll
2010-04-13 18:36 . 2010-02-18 14:07	904576	----a-w-	c:\windows\system32\drivers	cpip.sys
2010-04-13 18:36 . 2010-02-18 13:30	200704	----a-w-	c:\windows\system32\iphlpsvc.dll
2010-04-13 18:36 . 2010-02-18 11:28	25088	----a-w-	c:\windows\system32\drivers	unnel.sys
2010-04-13 18:35 . 2010-01-13 17:34	98304	----a-w-	c:\windows\system32\cabview.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-12 07:43 . 2008-04-16 11:16	679418	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-12 07:43 . 2008-04-16 11:16	128418	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-12 07:37 . 2009-04-16 21:20	45056	----a-w-	c:\windows\system32\acovcnt.exe
2010-05-12 07:35 . 2010-01-25 13:14	9762848	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-05-12 07:35 . 2010-01-25 13:14	81544	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2010-05-12 07:35 . 2010-01-25 13:14	7904	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2010-05-12 07:35 . 2010-01-25 13:14	770080	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2010-05-12 07:19 . 2010-01-25 13:14	--------	d-----w-	c:\programdata\Kaspersky Lab
2010-05-12 07:19 . 2009-12-29 00:38	35093	----a-w-	c:\programdata
vModes.dat
2010-05-12 07:19 . 2009-12-28 22:23	--------	d-----w-	c:\program files\SpeedFan
2010-05-12 07:16 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-05-11 22:39 . 2009-12-28 23:26	--------	d-----w-	c:\users\Yannick\AppData\Roaming\uTorrent
2010-05-11 09:21 . 2010-01-02 15:26	--------	d-----w-	c:\users\Yannick\AppData\Roaming\vlc
2010-05-10 20:32 . 2010-02-09 09:44	--------	d-----w-	c:\programdata\32nd America's Cup
2010-05-06 15:15 . 2009-12-28 22:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-06 08:36 . 2009-12-28 23:12	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-05 19:04 . 2009-04-16 21:20	--------	d-----w-	c:\programdata\NVIDIA
2010-05-05 08:21 . 2010-01-25 13:14	113933	----a-w-	c:\windows\system32\drivers\klin.dat
2010-05-05 08:21 . 2010-01-25 13:14	97549	----a-w-	c:\windows\system32\drivers\klick.dat
2010-05-02 10:08 . 2009-12-28 23:27	--------	d-----w-	c:\program files\uTorrent
2010-04-29 13:39 . 2009-12-28 22:22	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-12-28 22:22	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-28 17:42 . 2010-04-28 17:34	2855	----a-w-	c:\windows\PIF\Setup.PIF
2010-04-18 15:11 . 2009-04-16 20:40	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-04-16 12:51 . 2010-01-10 15:12	--------	d-----w-	c:\users\Yannick\AppData\Roaming\dvdcss
2010-04-14 10:06 . 2009-04-16 20:43	--------	d-----w-	c:\program files\Google
2010-04-13 08:59 . 2010-01-07 10:21	--------	d-----w-	c:\users\Yannick\AppData\Roaming\VSO
2010-04-06 15:31 . 2010-04-06 15:31	--------	d--h--r-	c:\users\Yannick\AppData\Roaming\SecuROM
2010-04-02 20:33 . 2010-03-26 14:43	22328	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-04-02 20:33 . 2010-03-26 14:42	22328	----a-w-	c:\users\Yannick\AppData\Roaming\PnkBstrK.sys
2010-04-02 20:33 . 2010-03-26 14:42	22328	----a-w-	c:\users\Yannick\AppData\Roaming\PnkBstrK.sys
2010-04-02 20:33 . 2010-03-26 14:41	107832	----a-w-	c:\windows\system32\PnkBstrB.exe
2010-04-02 20:33 . 2010-03-26 14:41	66872	----a-w-	c:\windows\system32\PnkBstrA.exe
2010-04-02 20:33 . 2010-03-26 14:41	2250024	----a-w-	c:\windows\system32\pbsvc.exe
2010-04-02 15:52 . 2010-03-29 12:23	--------	d-----w-	c:\users\Yannick\AppData\Roaming\Winsplit Revolution
2010-04-01 18:31 . 2010-04-01 18:31	--------	d-----w-	c:\program files\Microsoft Games for Windows - LIVE
2010-04-01 18:16 . 2009-12-28 23:44	--------	d-----w-	c:\users\Yannick\AppData\Roaming\Skype
2010-04-01 17:56 . 2009-12-28 23:49	--------	d-----w-	c:\users\Yannick\AppData\Roaming\skypePM
2010-03-29 21:04 . 2009-12-28 22:21	--------	d-----w-	c:\program files\CCleaner
2010-03-29 18:59 . 2010-03-29 18:59	--------	d-----w-	c:\programdata\Media Center Programs
2010-03-29 12:22 . 2010-03-29 12:22	--------	d-----w-	c:\program files\WinSplit Revolution
2010-03-26 19:37 . 2010-03-26 14:41	--------	dc-h--w-	c:\programdata\{0151C9FC-719D-4459-B1E2-4685CC6E62A8}
2010-03-26 19:37 . 2010-03-26 19:37	--------	dc-h--w-	c:\programdata\{5794CDCB-FAB7-4C15-9069-4D8AC02592DE}
2010-03-26 15:09 . 2009-12-28 21:32	101448	----a-w-	c:\users\Yannick\AppData\Local\GDIPFONTCACHEV1.DAT
2010-03-26 15:09 . 2010-03-26 15:09	95	----a-w-	c:\users\Yannick\AppData\Local\fusioncache.dat
2010-03-26 14:49 . 2010-03-26 14:49	--------	d-----w-	c:\program files\GameSpy
2010-03-24 21:55 . 2009-12-29 21:16	107888	----a-w-	c:\windows\system32\CmdLineExt.dll
2010-03-24 20:14 . 2010-03-24 20:14	--------	dc-h--w-	c:\programdata\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
2010-03-17 11:11 . 2010-03-17 11:03	--------	d-----w-	c:\users\Yannick\AppData\Roaming\CyberLink
2010-03-17 11:03 . 2009-04-16 20:41	--------	d-----w-	c:\programdata\CyberLink
2010-03-17 00:01 . 2010-05-05 19:02	10920	----a-w-	c:\windows\system32\drivers
vBridge.kmd
2010-03-17 00:01 . 2009-07-01 23:59	600680	----a-w-	c:\windows\system32
vudisp.exe
2010-03-17 00:01 . 2008-12-16 07:02	1299048	----a-w-	c:\windows\system32
vapi.dll
2010-03-16 18:46 . 2010-03-16 18:46	985704	----a-w-	c:\windows\system32
vsvc.dll
2010-03-16 18:46 . 2010-03-16 18:46	88168	----a-w-	c:\windows\system32
vhotkey.dll
2010-03-16 18:46 . 2010-03-16 18:46	1515624	----a-w-	c:\windows\system32
vsvcr.dll
2010-03-16 18:46 . 2010-03-16 18:46	13684328	----a-w-	c:\windows\system32
vcpl.dll
2010-03-16 18:46 . 2010-03-16 18:46	129640	----a-w-	c:\windows\system32
vvsvc.exe
2010-03-16 18:46 . 2010-03-16 18:46	110696	----a-w-	c:\windows\system32
vmctray.dll
2010-03-12 09:26 . 2009-04-16 21:02	600680	----a-w-	c:\windows\system32\NVUNINST.EXE
2010-02-25 15:38 . 2010-01-17 14:58	680	----a-w-	c:\users\Yannick\AppData\Local\d3d9caps.dat
2010-02-23 06:39 . 2010-03-31 17:30	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 17:30	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-02-23 06:33 . 2010-03-31 17:30	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-02-23 04:55 . 2010-03-31 17:30	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2010-02-22 14:33 . 2010-02-22 14:33	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-02-20 23:06 . 2010-03-10 10:11	24064	----a-w-	c:\windows\system32
shhttp.dll
2010-02-20 23:05 . 2010-03-10 10:11	30720	----a-w-	c:\windows\system32\httpapi.dll
2010-02-20 20:53 . 2010-03-10 10:11	411648	----a-w-	c:\windows\system32\drivers\http.sys
2010-02-19 23:47 . 2010-02-19 23:47	3604480	----a-w-	c:\windows\system32\GPhotos.scr
2009-04-16 20:40 . 2009-04-16 20:40	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SRS Premium Sound"="c:\program files\SRS Labs\SRS Premium Sound\SRSPremiumSoundBig_Small.exe" [2009-03-05 3257592]
"Winsplit"="c:\program files\WinSplit Revolution\WinSplit.exe" [2009-02-27 3958784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"HControlUser"="c:\program files\ASUS\ATK Hotkey\HControlUser.exe" [2008-08-18 98304]
"ATKOSD2"="c:\program files\ASUS\ATKOSD2\ATKOSD2.exe" [2008-09-03 8105984]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMedia.exe" [2008-12-29 159744]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1029416]
"ACMON"="c:\program files\ASUS\Splendid\ACMON.exe" [2008-10-01 851968]
"StartupDelayer"="c:\program files2 Studios\Startup Delayer\Startup Launcher.exe" [2009-03-08 73728]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2010-01-25 201992]

c:\users\Yannick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
KatMouse.lnk - c:\program files\KatMouse\KatMouse.exe [2007-5-30 50688]
speedfan.lnk - c:\program files\SpeedFan\speedfan.exe [2009-11-25 4009592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FancyStart daemon.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\FancyStart daemon.lnk
backup=c:\windows\pss\FancyStart daemon.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FileBox eXtender.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\FileBox eXtender.lnk
backup=c:\windows\pss\FileBox eXtender.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
2009-11-02 22:47	905208	----a-w-	c:\program files\Seagate\DiscWizard\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17	952768	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42	36272	----a-w-	c:\program files\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Screen Saver Protector]
2009-04-16 21:16	3054136	----a-w-	c:\windows\AsScrPro.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
2008-07-19 02:52	104936	----a-w-	c:\program files\CyberLink\Power2Go\CLMLSvc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
2007-06-29 14:03	36864	----a-w-	c:\program files\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16	357696	----a-w-	c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiscWizardMonitor.exe]
2009-11-02 22:43	1349392	----a-w-	c:\program files\Seagate\DiscWizard\DiscWizardMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2009-02-11 09:04	6711840	----a-w-	c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Seagate Scheduler2 Service]
2009-11-02 17:52	136544	----a-w-	c:\program files\Common Files\Seagate\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 12:11	25623336	----a-r-	c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
2009-01-20 19:21	1833504	----a-w-	c:\program files\Realtek\Audio\HDA\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start WingMan Profiler]
2006-07-05 12:17	60416	----a-w-	c:\program files\Logitech\Profiler\LWEMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c8,51,cc,0f,4f,89,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-740078499-3333884845-523163908-1000]
"EnableNotificationsRef"=dword:00000003

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-28 691696]
R2 gupdate1ca8814193b9444;Service Google Update (gupdate1ca8814193b9444);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-28 133104]
R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2010-02-23 14216]
R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2010-02-23 8456]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-18 3662800]
R4 Norton Internet Security;Norton Internet Security; [x]
R4 SgtSch2Svc;Seagate Scheduler2 Service;c:\program files\Common Files\Seagate\Schedule2\schedul2.exe [2009-11-02 431456]
S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2010-01-25 33808]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2008-03-26 20496]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSGB6.sys [2008-05-02 48128]
S3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\system32\drivers\srs_PremiumSound_i386.sys [2009-01-14 230952]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-28 23:18]

2010-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-28 23:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.carouest.com/
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=ASUS&bmod=ASUS
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Yannick\AppData\Roaming\Mozilla\Firefox\Profiles\63ddgpfk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23
pGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-ASUS Camera ScreenSaver - c:\windows\AsScrProlog.exe
MSConfigStartUp-PWRISOVM - c:\program files\PowerISO\PWRISOVM.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-12 09:45
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ef,b7,ca,3e,7e,eb,41,40,95,0c,d8,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ef,b7,ca,3e,7e,eb,41,40,95,0c,d8,\

[HKEY_USERS\S-1-5-21-740078499-3333884845-523163908-1000\Software\SecuROM\License information*]
"datasecu"=hex:1f,e7,74,59,ef,d9,02,cd,fb,4f,55,6a,bb,fb,9d,44,a7,06,0e,6d,bc,
   99,5b,21,e0,6f,fe,7f,63,d5,25,92,12,b4,ff,60,f3,88,ae,61,46,e7,c0,50,2c,82,\
"rkeysecu"=hex:3b,ec,7f,c0,43,58,ec,a9,36,ad,a2,a8,17,b2,db,5d
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(848)
c:\windows\system32elog_ap.dll
.
Heure de fin: 2010-05-12  09:47:44
ComboFix-quarantined-files.txt  2010-05-12 07:47

Avant-CF: 29 860 028 416 octets libres
Après-CF: 29 811 810 304 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=3 Sets=1,2,3,8
- - End Of File - - 10DFBF8A21D588B99B260607F64CA71A

Tigzy · Answer

*Copier ceci: 

"c:\windows\system32\acovcnt.exe" 

*Aller sur Virus Total  
* Cliquer sur "Choisir" 
*Coller dans "nom du fichier" et envoyer le fichier 
*Puis coller le rapport généré 

----- 

*Copier ceci: 

"c:\windows\system32\epmntdrv.sys" 

*Aller sur Virus Total  
* Cliquer sur "Choisir" 
*Coller dans "nom du fichier" et envoyer le fichier 
*Puis coller le rapport généré

yannos78 · Answer

Et voila!


 Fichier acovcnt.exe reçu le 2010.05.11 12:37:31 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.50 	2010.05.10 	-
AhnLab-V3 	2010.05.11.00 	2010.05.10 	-
AntiVir 	8.2.1.236 	2010.05.11 	-
Antiy-AVL 	2.0.3.7 	2010.05.11 	-
Authentium 	5.2.0.5 	2010.05.11 	-
Avast 	4.8.1351.0 	2010.05.11 	-
Avast5 	5.0.332.0 	2010.05.11 	-
AVG 	9.0.0.787 	2010.05.11 	-
BitDefender 	7.2 	2010.05.11 	-
CAT-QuickHeal 	10.00 	2010.05.11 	-
ClamAV 	0.96.0.3-git 	2010.05.11 	-
Comodo 	4823 	2010.05.11 	-
DrWeb 	5.0.2.03300 	2010.05.11 	-
eSafe 	7.0.17.0 	2010.05.10 	-
eTrust-Vet 	35.2.7479 	2010.05.11 	-
F-Prot 	4.5.1.85 	2010.05.11 	-
F-Secure 	9.0.15370.0 	2010.05.11 	-
Fortinet 	4.1.133.0 	2010.05.11 	-
GData 	21 	2010.05.11 	-
Ikarus 	T3.1.1.84.0 	2010.05.11 	-
Jiangmin 	13.0.900 	2010.05.11 	-
Kaspersky 	7.0.0.125 	2010.05.11 	-
McAfee 	5.400.0.1158 	2010.05.11 	-
McAfee-GW-Edition 	2010.1 	2010.05.11 	-
Microsoft 	1.5703 	2010.05.11 	-
NOD32 	5105 	2010.05.11 	-
Norman 	6.04.12 	2010.05.11 	-
nProtect 	2010-05-11.01 	2010.05.11 	-
Panda 	10.0.2.7 	2010.05.10 	-
PCTools 	7.0.3.5 	2010.05.11 	-
Prevx 	3.0 	2010.05.11 	-
Rising 	22.47.01.04 	2010.05.11 	-
Sophos 	4.53.0 	2010.05.11 	-
Sunbelt 	6290 	2010.05.11 	-
Symantec 	20101.1.0.89 	2010.05.11 	-
TheHacker 	6.5.2.0.279 	2010.05.11 	-
TrendMicro 	9.120.0.1004 	2010.05.11 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.05.11 	-
VBA32 	3.12.12.4 	2010.05.11 	-
ViRobot 	2010.5.11.2310 	2010.05.11 	-
VirusBuster 	5.0.27.0 	2010.05.11 	-
Information additionnelle
File size: 45056 bytes
MD5   : 6bcaf46e2b7fa9ace92b4d39f3037c5c
SHA1  : 6d5a81e3cf59832d73f28d6e87f51d073c3e4095
SHA256: aaf659e3d38ad04848a9c3ed6250b30dc13acc8ac9f527a11f0c14e6ec8735b2
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1613
timedatestamp.....: 0x425539FB (Thu Apr 7 15:47:39 2005)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4EE6 0x5000 6.60 f7aa46b67e4004a80db01ad39b5c4bd7
.rdata 0x6000 0xB32 0x1000 4.20 f3ceef6b97b6aad02714644497ad4da9
.data 0x7000 0x413C 0x3000 0.56 af4abe2835a3f5bf87330b627a696dbf
.rsrc 0xC000 0xC0 0x1000 0.14 c85d6206afcdfed0fe16bdc48441d945

( 0 imports )


( 0 exports )
TrID  : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert: https://www.symantec.com?md5=6bcaf46e2b7fa9ace92b4d39f3037c5c
ssdeep: 384:eswH94Z+gT87cSDxeHlxpCjkDADNZop8ZYNniy91AI1ZQSrS9E5l1wX:OHE5g7p8xQrN8niLI1ZQSeu5lG
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : Armadillo v1.71
CWSandbox: http://research.sunbelt-software.com/...
RDS   : NSRL Reference Data Set






 Fichier epmntdrv.sys reçu le 2010.03.24 21:55:39 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.50 	2010.03.24 	-
AhnLab-V3 	5.0.0.2 	2010.03.24 	-
AntiVir 	8.2.1.196 	2010.03.24 	-
Antiy-AVL 	2.0.3.7 	2010.03.24 	-
Authentium 	5.2.0.5 	2010.03.24 	-
Avast 	4.8.1351.0 	2010.03.24 	-
Avast5 	5.0.332.0 	2010.03.24 	-
AVG 	9.0.0.787 	2010.03.24 	-
BitDefender 	7.2 	2010.03.24 	-
CAT-QuickHeal 	10.00 	2010.03.24 	-
ClamAV 	0.96.0.0-git 	2010.03.24 	-
Comodo 	4372 	2010.03.24 	-
DrWeb 	5.0.1.12222 	2010.03.24 	-
eSafe 	7.0.17.0 	2010.03.24 	-
eTrust-Vet 	35.2.7386 	2010.03.24 	-
F-Prot 	4.5.1.85 	2010.03.24 	-
F-Secure 	9.0.15370.0 	2010.03.24 	-
Fortinet 	4.0.14.0 	2010.03.24 	-
GData 	19 	2010.03.24 	-
Ikarus 	T3.1.1.80.0 	2010.03.24 	-
Jiangmin 	13.0.900 	2010.03.24 	-
K7AntiVirus 	7.10.1004 	2010.03.22 	-
Kaspersky 	7.0.0.125 	2010.03.24 	-
McAfee 	5930 	2010.03.24 	-
McAfee+Artemis 	5930 	2010.03.24 	-
McAfee-GW-Edition 	6.8.5 	2010.03.24 	-
Microsoft 	1.5605 	2010.03.24 	-
NOD32 	4972 	2010.03.24 	-
Norman 	6.04.10 	2010.03.24 	-
nProtect 	2009.1.8.0 	2010.03.24 	-
Panda 	10.0.2.2 	2010.03.24 	-
PCTools 	7.0.3.5 	2010.03.24 	-
Rising 	22.40.02.03 	2010.03.24 	-
Sophos 	4.51.0 	2010.03.24 	-
Sunbelt 	6067 	2010.03.24 	-
Symantec 	20091.2.0.41 	2010.03.24 	-
TheHacker 	6.5.2.0.242 	2010.03.24 	-
TrendMicro 	9.120.0.1004 	2010.03.24 	-
VBA32 	3.12.12.2 	2010.03.24 	-
ViRobot 	2010.3.24.2242 	2010.03.24 	-
VirusBuster 	5.0.27.0 	2010.03.24 	-
Information additionnelle
File size: 14216 bytes
MD5   : 539ca34fbc74ec366a0d751028c32a08
SHA1  : 5a37118ef1712f20ce50e60c537373cef7d9f54b
SHA256: 5a52964970564d363b9d676a182892b3ce61b3a1baa67bef59dfa29f15ed5815
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5005
timedatestamp.....: 0x4897E6B1 (Tue Aug 5 07:35:45 2008)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1668 0x1800 6.05 6bbc43603096ffa044c0a268d9a9429f
.rdata 0x3000 0x1E5 0x200 4.77 ae2851de0512b92979bd41f2e7743c1a
.data 0x4000 0x60 0x200 0.40 3d4fa9d0508245adc58a5a235964b4eb
INIT 0x5000 0x3B4 0x400 5.07 83cda44c3f736cf615a059cd7efa53d6
.reloc 0x6000 0x18A 0x200 3.53 7cf285b6ba58acb025e2ed849942dd71

( 1 imports )

> ntoskrnl.exe: DbgPrint, IoGetLowerDeviceObject, RtlCompareUnicodeString, RtlInitUnicodeString, ObfDereferenceObject, IoDeleteDevice, IoDeleteSymbolicLink, ObfReferenceObject, IoGetDeviceObjectPointer, memset, IoFreeIrp, KeSetEvent, IoFreeMdl, MmUnlockPages, ExFreePoolWithTag, KeWaitForSingleObject, IofCallDriver, KeInitializeEvent, IoBuildAsynchronousFsdRequest, IofCompleteRequest, MmMapLockedPagesSpecifyCache, IoGetAttachedDeviceReference, RtlUnicodeStringToInteger, ExAllocatePoolWithTag, memcpy, ObDereferenceObjectDeferDelete, IoBuildDeviceIoControlRequest, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, RtlAnsiCharToUnicodeChar

( 0 exports )
TrID  : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 192:W9Bgq7dIqqXU9piHf0etqlKdaK0zqMjGwP7oZgjl7Mcip+ebMZMCB:W9Bgq7dINXU/iHf03K06d6jVQbQ
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: CHENGDU YIWO Tech Development Co., Ltd.
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 9:48 AM 2/15/2010
verified.....: -
PEiD  : -
RDS   : NSRL Reference Data Set
-

Tigzy · Answer

Ok.

En mode sans échec.

Telécharge sur le bureau Defogger

= Double click sur Defogger
= Une fenêtre apparait clique Disable
= Redemarre ton PC si demandé

-------

Télécharger sur le bureau 
Gmer
= Clic sur ==> GMER Application: Gmer.zip 
= Clic-droit sur l'archive Gmer
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip) 
= Double-clic sur Gmer qui vient de se créer 
= Une fenêtre s'ouvre, clic Scan
Patienter jusqu'à la fin du scan 
= Clic Save 
= Choisir => bureau => nommer : rapport

yannos78 · Answer

Voila Tigzy! Tu y vois plus clair?



GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-12 12:04:27
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: F:\TEMP\kwldqpog.sys


---- System - GMER 1.0.15 ----

INT 0x1F        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             82230CD0
INT 0x37        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             822300E8
INT 0xC1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             822303D8
INT 0xD1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             8221BD64
INT 0xD2        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             8221C01C
INT 0xDF        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             822301C0
INT 0xE1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             82230B40
INT 0xE3        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             822306D4
INT 0xFD        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             82231100
INT 0xFE        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                                                                             8223136C

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                                                              Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                                                              Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                                               tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                                               timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                                               tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                                               timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                                               tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                                               timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                                                               tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                                                               timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                                                                               tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                                                                               timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                                                                               tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                                                                               timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

Device          \Driver\ACPI_HAL \Device\0000004a                                                                                                                                    halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                                                                                                             fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                                                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                                                  C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                                                                  0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                                               0x67 0xA6 0x89 0x8B ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                                                                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                                                         0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                                                      0xBA 0x36 0x5B 0x35 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                                                                       
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                                                 0x32 0xF7 0x41 0xC4 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                                                 
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                                                      C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                                                                      0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                                                   0x67 0xA6 0x89 0x8B ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                                                        
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                                                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                                                          0xBA 0x36 0x5B 0x35 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                                                   
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                                                     0x32 0xF7 0x41 0xC4 ...
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Macromedia\Dreamweaver 8\Configuration\Behaviors\Events\4.0 et ultÃ\x2026Â\xbdrieurs.htm  1

---- EOF - GMER 1.0.15 ----

Tigzy · Answer

Ok ça à l'air propre.

Supprime ta version de ZHP

* Télécharge ZHPDiag
Capture 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse

yannos78 · Answer

Quelle version je dois télécharger? La 1.25.12  ou la 1.25.14..?

yannos78 · Answer

Ok j'ai téléchargé la 1.25.14   Voila le lien : http://www.cijoint.fr/cjlink.php?file=cj201005/cijKg99ZRp.txt

Tigzy · Answer

Pour moi c'est propre. Tu as encore des soucis? 

Désinstaller ComboFix :  
Clique sur Démarrer, puis sur Exécuter et fais un copier/coller de la commande suivante dans la zone de saisie ; puis valide par [OK]  
"%userprofile%\Desktop\combofix.exe" /uninstall 
Ca désinstallera ComboFix, Supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.  
Supprime ensuite manuellement les dossiers suivants:  
- Qoobox. (il est à la racine de ton disque dur) C:\QooBox  
- L'application téléchargée sur le bureau (ComboFix.exe) 

------- 

Télécharger  sur le bureau  

ToolsCleaner2.exe 
= Sous vista , 7 => clic droit exécuter en tant qu'admin 
--------------- 
= CliC Recherche 
le scan finit 
= CliC Suppression 
= CliC Quitter 
= supprimer cet outil, son rapport qui est à C:\TCleaner.txt 
= supprimer les divers rapports du nettoyage, si encore présents , qui sont à C:\

yannos78 · Answer

Oui toujours 7 ou 8 % de ram en plus utilisé par rapport à la normale.
J'ai remis à jour récemment le pilote de ma carte graphique nVidia gt 130m qui était vieux d'un an... Est-ce que tu penses qu'il peut y avoir un rapport avec cette augmentation de la ram..? (dans la liste des processus nvidia n'occupe que 4Mo pourtant...)

Autre question : suite au rapport combofix, des dossiers $RECYCLE.BIN vides sont apparu dans toutes mes partitions secondaires. Dois-je les supprimer aussi?
De plus j'ai aussi trois dossiers plein qui sont devenu visibles sur ma partition C:   (ProgramData  Boot et MSOCache)... Qu'est-ce que j'en fait?

Je fais ce que tu m'as dit et je te tiens au courant... Merci de tes conseils!

ps: je dois t'envoyer aussi le rapport TCleaner.txt ?

yannos78 · Answer

je ne peux pas lancer cette commande. J'ai un message disant "Emplacement non disponible" 
Pourtant j'ai bien exécuter Combo fix depuis le bureau ( mais j'ai aussi un dossier ComboFix vide en racine de C:/ ...?)

yannos78 · Answer

Je veux bien mais il me faut le lien!:)

yannos78 · Answer

C'est fait. Donc pour toi c'est sur je n'ai aucune trace de virus ou rootkit??
Je saurai pas d'où vient cette augmentation de la ram, mais le principal c'est que mon pc soit clean. Merci encore! à+

yannos78 · Answer

Cool! à+

yannos78 · Answer

Salut,

Je rouvres ce post car j'ai de nouveau besoin de votre aide!

Mon probleme de ram est plus ou moins résolu, mais le problème maintenant, c'est que je ne peux plus faire les mises à jour ni pour Kaspersky (ça se bloque puis s'arrete à 49% du téléchargement), ni pour malewarebytes (message "accès refusé" à la fin de la maj...)

Y'a t'il un rapport avec les différentes analyses et désinfection (combofix notament) décrites plus haut??

Merci d'avance pour vos réponses!

yannos78 · Answer

C'est bon ça marche. J'en ai profité pour changer Kaspersky par Gdata pour tester. Ciao!

Proble M.à.j Kaspersky et Malewarebytes..!

20 réponses

Discussions similaires

Newsletters