Virus Dropper Win32:Rodecap-B [Drp]

Question

Bonjour, 

depuis ce matin, j'ai un trojan qui ne cesse de déclencher avast, et peut importe l'action que je fasse, il refait sonner avast quelques instants après avoir supprimé ou mis en quarantaine.

C'est assez pénible et handicapant...

Le fichier se trouve ici : C:\Users\*******\AppData\Local\Microsoft\dllhst3g.exe

Y a t'il quelqu'un qui aurait une solution à ce problème?

Merci d'avance et à bientôt!


Configuration: Windows Vista / Firefox 3.6.3

gen-hackman · Answer

salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Tristan · Answer

Salut,

merci beaucoup pour ta réponse et ces conseils clairs et précis.

J'ai effectué la démarche que tu m'as conseillée.

Vu que je ne viens que seulement de voir ton message, j'ai effectué avant un scan avec malwarebytes qui a détecté un trojan.

Voici le rapport de List kill'em

Merci à toi!

¤¤¤¤¤¤¤¤¤¤ List'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤

User : Imbert Tristan (Administrateurs)
Update on 23/05/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 09:04:45 | 25/05/2010

Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 100519-0] 4.8.1368 [ (!) Disabled | Updated ]
FW : ZoneAlarm Firewall[ (!) Disabled ]7.1.254.000

C:\ -> Disque fixe local | 147,35 Go (10,61 Go free) [System] | NTFS
D:\ -> Disque fixe local | 73,67 Go (71,57 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local | 931,51 Go (477,71 Go free) [Elements] | NTFS

Boot: Normal
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Iconix\IconixService.exe
C:\Windows\system32\lxczcoms.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\MsPMSPSv.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\C&E\OSD\osd.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 1200 Series\LXCZbmgr.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\acrotray.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\explorer.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run"
======================

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
updateMgr REG_SZ "c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_1_0 -reboot 1
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
RtHDVCpl REG_SZ RtHDVCpl.exe
SMSERIAL REG_SZ C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
OSD REG_SZ C:\Program Files\C&E\OSD\osd.exe
recinfo122 REG_SZ c:\RecInfo\RecInfo.exe
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
WinampAgent REG_SZ "C:\Program Files\Winamp\winampa.exe"
TkBellExe REG_SZ "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
lxczbmgr.exe REG_SZ "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Adobe Version Cue CS2 REG_SZ "c:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
Acrobat Assistant 7.0 REG_SZ "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
<NO NAME> REG_SZ
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
ZoneAlarm Client REG_SZ "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)

===============

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 145 (0x91)

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell REG_DWORD 1 (0x1)
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ShutdownWithoutLogon REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
WinStationsDisabled REG_SZ 0
DisableCAD REG_DWORD 1 (0x1)
scremoveoption REG_SZ 0
ShutdownFlags REG_DWORD 39 (0x27)
Shelly REG_SZ explorer.exe

===============

===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files\BitTorrent\bittorrent.exe REG_SZ C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
C:\Users\IMBERT~1\AppData\Local\Temp\3.17.10.exe REG_SZ C:\Users\IMBERT~1\AppData\Local\Temp\3.17.10.exe:*:Enabled:Windows Application Service
C:\Program Files\PPMate\ppmate.exe REG_SZ C:\Program Files\PPMate\ppmate.exe:*:Enabled:PPMate
C:\Users\IMBERT~1\AppData\Local\Temp\4_pinnew.exe REG_SZ C:\Users\IMBERT~1\AppData\Local\Temp\4_pinnew.exe:*:Enabled:Enabled

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============

[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{425DA46A-D6F4-40E1-3844-C3F3C1F83944}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5F59AF78-C682-B559-B795-1B34BF467DB4}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{765C1803-C51C-4CD6-DFFE-6183F97A36C3}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A78AAD34-62C6-0745-07C8-826C2C07A9D2}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{AA5F9F3F-3DE2-D83F-C033-DE6C1F0D0D5D}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

==============
BHO :
======

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{266fcdca-7bb3-4da7-b3bf-f845dea2ebd6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761233B6-F228-49E4-8F6B-668499D4E55A}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{83B80A9C-D91A-4F22-8DCF-EA7204039F79}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AE7CD045-E861-484f-8273-0445EE161910}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{F81D52BF-F2F1-4F49-BF5F-05664E803039}]

===
DNS
===

================
Internet Explorer :
================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\Windows\System32\blank.htm
Default_Search_URL REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.fr/?gws_rd=ssl
Local Page REG_SZ C:\Windows\system32\blank.htm
Search Page REG_SZ https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f

========
Services
========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x4 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

========
Safemode
========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

=========
Atapi.sys
=========

C:\Windows\System32\drivers\atapi.sys :
MD5 :: [b35cfcef838382ab6490b321c87edf17]
SHA256 :: [a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0]

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys :
MD5 :: [b35cfcef838382ab6490b321c87edf17]
SHA256 :: [a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0]

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys :
MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f]
SHA256 :: [6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896]

C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys :
MD5 :: [b35cfcef838382ab6490b321c87edf17]
SHA256 :: [a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0]

C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys :
MD5 :: [e03e8c99d15d0381e02743c36afc7c6f]
SHA256 :: [8217348674fc4d0c6d567ffc95b14dfd507f47c5a4728c2ba93d72c412e8527b]

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

=======
Drive :
=======

D'fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C: System

Taille du volume = 147 Go
Espace libre = 10.62 Go
tendue d'espace libre la plus grande = 63 Mo
Pourcentage de fragmentation des fichiers = 3 %

Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

Il n'est pas n'cessaire de d'fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Program Files\DAEMON Tools Toolbar
Present !! : C:\Windows\System32\drivers\etc\hosts.msn
Present !! : C:\Windows\Temp\ZLT00e2c.TMP
Present !! : C:\Windows\Temp\ZLT0151b.TMP
Present !! : C:\Windows\Temp\ZLT0296e.TMP
Present !! : C:\Windows\Temp\ZLT02978.TMP
Present !! : C:\Windows\Temp\ZLT02ed2.TMP
Present !! : C:\Windows\Temp\ZLT0363b.TMP
Present !! : C:\Windows\Temp\ZLT04140.TMP
Present !! : C:\Windows\Temp\ZLT06505.TMP
Present !! : C:\Windows\Temp\ZLT0659c.TMP
Present !! : C:\Windows\Temp\ZLT06a47.TMP
Present !! : C:\Windows\Temp\ZLT06d3d.TMP
Present !! : C:\Windows\Temp\ZLT072ba.TMP
Present !! : C:\Windows\Temp\ZLT072be.TMP
Present !! : C:\Users\Imbert Tristan\AppData\Local\d3d9caps.dat
Present !! : C:\Users\Imbert Tristan\AppData\Local\EurosportPersonalization.data
Present !! : C:\Users\Imbert Tristan\AppData\Local\GDIPFONTCACHEV1.DAT
Present !! : C:\Users\Imbert Tristan\AppData\Local\mstsc.exe
Present !! : C:\Users\Imbert Tristan\LOCAL Settings\Temp\mstsc.exe
Present !! : C:\Users\Imbert Tristan\LOCAL Settings\Temp\rtdrvmon.exe

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : DllHst
Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : mstsc
Present !! : HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : mstsc
Present !! : HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : mstsc
Present !! : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System : DisableRegistryTools
Present !! : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System : DisableTaskMgr
Present !! : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}
Present !! : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}
Present !! : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}
Present !! : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}
Present !! : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}
Present !! : HKCU\Software\Conduit
Present !! : HKCU\Software\YVIBBBHA8C
Present !! : HKLM\Software\Conduit

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-25 09:15:11
Windows 6.0.6000 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys speb.sys >>UNKNOWN [0x84BCF938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84c1a1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)
UacDisableNotify REG_DWORD 1 (0x1)
InternetSettingsDisableNotify REG_DWORD 0 (0x0)
AutoUpdateDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 0 (0x0)
FirewallOverride REG_DWORD 0 (0x0)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 9:15:13,12

gen-hackman · Answer

salut :

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Tristan · Answer

Salut,

Merci pour ces conseils.

Ça y est le "cleanage" a été fait!

Il n'y a pas que du joli joli dans mon pc!

Voici le nouveau rapport :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤

User : Imbert Tristan (Administrateurs)
Update on 23/05/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 16:04:59 | 25/05/2010

Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 100525-0] 4.8.1368 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ Enabled ]7.1.254.000

C:\ -> Disque fixe local | 147,35 Go (11,29 Go free) [System] | NTFS
D:\ -> Disque fixe local | 73,67 Go (71,57 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\cmd.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Iconix\IconixService.exe
C:\Windows\system32\lxczcoms.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\MsPMSPSv.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Program Files\DAEMON Tools Toolbar

Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\Windows\Temp\ZLT002dd.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT00c33.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT00e2c.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT0151b.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT0296e.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT02978.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT02ed2.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT0363b.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT04140.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT06505.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT0659c.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT06a47.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT06d3d.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT072ba.TMP
Quarantined & Deleted !! : C:\Windows\Temp\ZLT072be.TMP
Quarantined & Deleted !! : C:\Users\Imbert Tristan\AppData\Local\d3d9caps.dat
Quarantined & Deleted !! : C:\Users\Imbert Tristan\AppData\Local\EurosportPersonalization.data
Quarantined & Deleted !! : C:\Users\Imbert Tristan\AppData\Local\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Users\Imbert Tristan\AppData\Local\mstsc.exe
Quarantined & Deleted !! : C:\Users\Imbert Tristan\LOCAL Settings\Temp\jre-6u20-windows-i586-iftw-rv.exe
Quarantined & Deleted !! : C:\Users\Imbert Tristan\LOCAL Settings\Temp\mstsc.exe
Quarantined & Deleted !! : C:\Users\Imbert Tristan\LOCAL Settings\Temp\rtdrvmon.exe

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : DllHst
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : mstsc
Deleted : HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : mstsc
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System : DisableRegistryTools
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System : DisableTaskMgr
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCU\Software\Conduit
Deleted : HKCU\Software\YVIBBBHA8C
Deleted : HKLM\Software\Conduit
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)
UacDisableNotify REG_DWORD 1 (0x1)
InternetSettingsDisableNotify REG_DWORD 0 (0x0)
AutoUpdateDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
FirstRunDisabled REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys sphl.sys >>UNKNOWN [0x84BCF938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84c1a1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

Tristan · Answer

Salut,

j'ai essayé GMER à 4 reprises, mais celui-ci fait ramer puis planter mon ordi.

Au dernier essai je l'ai laissé tourner 3 heures sans succès et mon pc à fini par planter...

Y aurait il un autre logiciel adéquat?

Merci

gen-hackman · Answer

&#9654 Telecharge UsbFix 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Tristan · Answer

Merci,

je viens d'effectuer la recherche , qui fut assez rapide,  avec usb fix et voici le rapport :


############################## | UsbFix V6.115 |

User : Imbert Tristan (Administrateurs) # PC-DE-IMBERTTRI
Update on 26/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:26:11 | 26/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7500  @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 100525-1] 4.8.1368 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ Enabled ]7.1.254.000

C:\ -> Disque fixe local # 147,35 Go (14,95 Go free) [System] # NTFS
D:\ -> Disque fixe local # 73,67 Go (71,57 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 931,51 Go (477,71 Go free) [Elements] # NTFS

################## | Elements infectieux |

C:\Driver\Desktop.ini  
C:\driver  
D:\resycled  
H:\autorun.inf  
H:\winamp_cache_0001.xml  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{03742289-c5fd-11de-be0c-001060d07f09}
shell\AutoRun\command =J:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{79a3437b-e256-11de-ba01-001060d07f09}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jANEd.ExE

HKCU\..\..\Explorer\MountPoints2\{9035ba5b-d8a0-11de-98a1-001060d07f09}
shell\AutoRun\command =F:\DaTa/restore.exe 
shell\explore\command =F:\DaTa///restore.exe 
shell\open\command =F:\DaTa/restore.exe 

HKCU\..\..\Explorer\MountPoints2\{db8f080a-a6d3-11dd-8cc4-001060d07f09}
shell\AutoRun\command =G:\Setup.exe -auto

HKCU\..\..\Explorer\MountPoints2\{f90da024-27fd-11df-b987-001060d07f09}
shell\AutoRun\command =F:\LaunchU3.exe -a

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.115 ! |

C'est grave docteur?

gen-hackman · Answer

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

&#9654 choisi l option 2 ( Suppression )

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

######### | Désinstallation | #########


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

&#9654 Choisi l option  Désinstaller ....

Tristan · Answer

Ça y est, je viens d'effectuer la démarche, tout a bien fonctionné.

Voici le rapport!


############################## | UsbFix V6.115 |

User : Imbert Tristan (Administrateurs) # PC-DE-IMBERTTRI
Update on 26/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:40:47 | 26/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7500  @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 100525-1] 4.8.1368 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ Enabled ]7.1.254.000

C:\ -> Disque fixe local # 147,35 Go (14,87 Go free) [System] # NTFS
D:\ -> Disque fixe local # 73,67 Go (71,57 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 931,51 Go (477,71 Go free) [Elements] # NTFS

################## | Elements infectieux |

Supprimé ! C:\Driver\Desktop.ini 
Supprimé ! C:\driver 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1085127461-818048811-217498229-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1524402911-2981010756-2617804025-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500 
Supprimé ! D:\resycled 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1085127461-818048811-217498229-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1524402911-2981010756-2617804025-500 
Supprimé ! H:\autorun.inf 
Supprimé ! H:\winamp_cache_0001.xml 
Supprimé ! H:\$Recycle.Bin\S-1-5-21-1085127461-818048811-217498229-1000 
Supprimé ! H:\$Recycle.Bin\S-1-5-21-919385636-3128072020-894585108-1000 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{03742289-c5fd-11de-be0c-001060d07f09}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{79a3437b-e256-11de-ba01-001060d07f09}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{9035ba5b-d8a0-11de-98a1-001060d07f09}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{db8f080a-a6d3-11dd-8cc4-001060d07f09}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f90da024-27fd-11df-b987-001060d07f09}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[25/05/2010 16:17|--a------|4] C:\autoexec.bat 
[05/01/2007 13:29|--a------|30] C:\batch.wtc 
[02/11/2006 11:53|-rahs----|438840] C:\bootmgr 
[03/11/2007 14:19|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[16/03/2010 02:22|--a------|9] C:\DVD.TAG 
[23/03/2010 16:30|--a------|0] C:\Gym 20-03-10.flv 
[?|?|?] C:\hiberfil.sys 
[01/11/2008 20:52|-rahs----|0] C:\IO.SYS 
[25/05/2010 09:15|--a------|22878] C:\List'em.txt 
[18/11/2008 17:12|--a------|0] C:\log_lobby.txt 
[18/11/2008 17:12|--a------|0] C:\log_lobby_dumper.txt 
[02/06/2009 12:32|--a------|36988] C:\MACDR055.CST 
[01/11/2008 20:52|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[03/11/2007 21:05|--a------|19487] C:\Prodlog.txt 
[02/07/2009 16:15|--a------|1350] C:\test.txt 
[26/05/2010 15:47|--a------|3050] C:\UsbFix.txt 
[02/07/2009 22:48|--a------|5552039] D:\caca.chain2-001.fud 
[16/09/2009 14:51|--a------|19807] D:\caca.fairuse.log 
[16/09/2009 14:51|--a------|374537] D:\caca.fup 
[02/07/2009 22:49|--a------|223144] D:\caca.raw.0.fud 
[02/07/2009 22:49|--a------|2147483648] D:\caca.raw.1.fud 
[02/07/2009 22:49|--a------|10878976] D:\caca.raw.2.fud 
[15/05/2006 10:02|--a------|64670060] H:\(DVDrip) HINOI Team - SING NA NA NA (ParaPara version).avi 
[27/01/2006 19:24|--a------|2921260] H:\,.mp3 
[20/04/1980 03:33|--a------|5888000] H:\01 Get The Party Started (Sweet Dreams Remix).mp3 
[17/02/2007 21:38|--a------|5541888] H:\01 PisteAudio 01.mp3 
[04/06/2005 17:22|--a------|5056261] H:\09-Fisto - Juste un loser.mp3 
[25/06/2006 22:03|--a------|6124233] H:\10-Kool Shen Et Salif Feat Roldan-Paris-Cuba(1).mp3 
[01/10/2006 17:07|--a------|57596544] H:\16h00m.mp3 
[01/10/2006 18:07|--a------|57596544] H:\17h00m.mp3 
[07/05/2006 06:52|--a------|1171456] H:\50 cent & tengo calderon - Pimp (reggeaton remix).MP3 
[04/10/2007 16:47|--a------|5992743] H:\50_cent-pimp-rns.mp3 
[21/05/2006 12:02|--a------|3570670] H:\Akon - Lonly.mp3 
[29/05/2006 22:50|--a------|96221282] H:\Ams Crew - Future School-Fr-2005.rar 
[12/02/2006 14:03|--a------|3407246] H:\Anime - LES MINIKEUM - On va gagner!.mp3 
[23/11/2007 12:04|--a------|732719104] H:\Apogee.&.3D.Realms.Complete.Collection.(1986-1997).45+.Games.Duke.Nukem.3D.Shadow.Warrior.Rise.Of.The.Triad.iso 
[07/05/2006 07:40|--a------|1952833] H:\Asterix et obelix - Le_Gateau_Empoisonne.mp3 
[07/05/2006 08:07|--a------|2568487] H:\Ast'rix Et Ob'lix - Le Bain De Cl'opatre.mp3 
[16/05/2006 05:32|--a------|64586798] H:\Awesome Hinoi Team Cover Songs.mpg 
[17/06/2005 18:49|--a------|36737224] H:\BOFchodelate.wav 
[11/02/2006 16:19|--a------|2297760] H:\Boris Vian & Magali No0/00l - Fais-moi mal Johnny.mp3 
[15/02/2006 21:34|--a------|29584904] H:\Britney Spears - Toxic (Instrumental) - Tantalizingnet.wav 
[29/08/2006 13:24|--a------|131021] H:\Capital - M6 - G'n'rique Emission TV.mp3 
[12/02/2006 08:43|--a------|399255] H:\Centre de visionnage 98-Petit panier agricole.mp3 
[25/06/2006 22:03|--a------|4966444] H:\Chamillionaire - Ridin' Dirty.mp3 
[26/02/2006 10:43|--a------|4788558] H:\Chansons & Comptines Pour Les Enfants - Chapi Chapo.mp3 
[26/02/2006 09:10|--a------|13989932] H:\Chansons Et Comptines Pour Les Enfants Joyeux Anniversaire.wav 
[04/10/2007 17:03|--a------|1872194] H:\Chansons Pour Les Enfants - Lundi Matin.mp3 
[16/04/2006 04:20|--a------|37326] H:\Chirac- Putain, je m'emmerde....mp3 
[26/05/2006 18:04|--a------|3782526] H:\Dabatcha'zz - Le grand pardon.mp3 
[07/05/2006 07:45|--a------|2354910] H:\dessin anime - Ast'rix et Cl'opftre - Quand L'app'tit Va Tout.mp3 
[22/01/2006 14:43|--a------|4532333] H:\Dessin Anim' - Les Minikeums - Minikeum G'n'ration Dance.mp3 
[15/04/2006 15:11|--a------|619664] H:\Dessin anim'- Super Mario Bross.mp3 
[19/02/2006 10:57|--a------|5879181] H:\Disney - Magic Carpet Ride.mp3 
[15/04/2006 23:05|--a------|3252352] H:\dj qbert - super mario bross - super mario brothers theme remix.mp3 
[18/03/2006 02:21|--a------|50148917] H:\Drixxx' is not a DJ part I.mp3 
[04/03/2006 20:12|--a------|4028674] H:\Edith Piaf - La Java Bleue.mp3 
[12/02/2006 02:17|--a------|321538] H:\Edouard Baer - Centre De Visionnage(1).mp3 
[26/02/2006 07:01|--a------|2791448] H:\Enfant - Mes Plus Belles Chansons Pour Enfants - Une Souris Verte.mp3 
[14/05/2006 05:46|--a------|51202152] H:\Europe - The Final Countdown.mpg 
[04/09/2005 02:14|--a------|2455390] H:\Fort Boyard  (pere fourra).mp3 
[04/09/2005 09:09|--a------|1116430] H:\Fort Boyard - Course d'un point a un autre.mp3 
[04/09/2005 05:57|--a------|809296] H:\Fort Boyard - Enigme.mp3 
[25/03/2006 21:19|--a------|6052553] H:\Generation.mp3 
[15/05/2006 07:22|--a------|41893728] H:\Goo Goo Dolls - Broadway.mpg 
[17/02/2007 21:38|--a------|27728000] H:\Hypnose - La d'tente complSte.mp3 
[15/04/2006 20:48|--a------|43350762] H:\Hypnose - Meta-relaxation - Estime de soi - Traitement du stress.mp3 
[17/02/2007 21:38|--a------|12888192] H:\Hypnose - sophrologie Visualisation le havre de paix.mp3 
[08/05/2006 20:43|--a------|43349610] H:\HYPNOSE Meta-relaxation - Estime de soi - Traitement du stress.mp3 
[15/04/2006 22:02|--a------|36099087] H:\Hypnose Meta-Relaxation Confiance En Soi.mp3 
[25/04/2006 00:54|--a------|41444018] H:\HYPNOSE Meta-relaxation _ Cr'ativit' face aux problSmes.mp3 
[05/05/2006 21:55|--a------|38055199] H:\Hypnose M'ta Relaxation Super-Apprentissage.mp3 
[15/05/2006 13:31|--a------|37956587] H:\Hypnose Sophrologie D'termination D'Objectif.mp3 
[12/02/2006 05:06|--a------|2528515] H:\Instrumentals--Tash - Rap Life (instrumental).mp3 
[09/05/2006 00:33|--a------|49766068] H:\J'arr^te De Fumer (Hypnose)(1).mp3 
[16/05/2006 09:23|--a------|3230016] H:\Jean-Marie Bigard- les gds moments de solitude.mp3 
[25/05/2006 02:16|--a------|6344288] H:\Jejouis.mp3 
[24/06/2006 14:15|--a------|2686301] H:\Johnny Hallyday - Tous Ensemble - allez les bleus.mp3 
[20/02/2004 12:44|--a------|2676660] H:\Jordi - Alisson.mp3 
[20/02/2004 12:45|--a------|3263570] H:\Jordi - Dur dur d'etre un bebe.mp3 
[20/02/2004 13:04|--a------|3618947] H:\Jordi - Ma petite soeur.mp3 
[20/02/2004 13:04|--a------|3745792] H:\Jordy - Les Boules.mp3 
[18/03/2006 02:10|--a------|3922180] H:\Julien Clerc - les vagues.mp3 
[12/06/2005 11:31|--a------|3284898] H:\Julien Clerc - Ma pr'f'rence.mp3 
[13/05/2006 23:26|--a------|27017220] H:\Junior Jack - Stupidisco (Uncensored).mpg 
[21/01/2006 07:46|--a------|3483557] H:\Karaok' - Fran#ais - La salsa du d'mon.mp3 
[21/10/2006 19:01|--a------|2572752] H:\killing_in_the_name_of.mp3 
[11/02/2006 13:24|--a------|4558933] H:\La Soupe Aux Choux Techno Remix 2005.mp3 
[20/05/2006 14:07|--a------|702177280] H:\Le Code Da Vinci [DVD-RIP].avi 
[30/05/2006 21:57|--a------|3371559] H:\Le Frunkp (Instru).mp3 
[20/02/2004 17:55|--a------|9771136] H:\Le slow (live).mp3 
[20/05/2006 16:59|--a------|592763] H:\Les Jeux de 20 Heures - FR3 - G'n'rique Emission TV.mp3 
[22/01/2006 15:51|--a------|3081674] H:\les minikeum - M'lissa.mp3 
[22/01/2006 16:23|--a------|3089264] H:\Les Minikeums - Melissa.mp3 
[04/10/2007 16:47|--a------|5787107] H:\Les Minikeums - Nono0/00l.mp3 
[20/05/2006 16:58|--a------|488560] H:\Les Robins des Bois - Pique Repliques.mp3 
[06/01/2007 15:09|--a------|3367040] H:\Les Schtroumpfs - La Schtroumpf party.mp3 
[25/03/2006 21:13|--a------|7512902] H:\LesBronzes.mp3 
[17/03/2006 21:02|--a------|6354429] H:\Lord Kossity Feat Kool Shen-Oh No.mp3 
[07/03/2004 08:19|--a------|2506316] H:\maison.mp3 
[22/11/2005 13:53|--a------|5654327] H:\Mathieu de Loft Story - Les murs ont des yeux.mp3 
[16/04/2006 05:53|--a------|1205480] H:\Mc Chirac et Mc Sarkozy 2 Instru 50 cent.mp3 
[20/05/2006 17:07|--a------|780296] H:\Michel - Quelqu'un A Vol' Mon Slip.mp3 
[25/05/2006 02:16|--a------|585324] H:\Miss France 1938.mp3 
[22/03/2006 13:45|--a------|61324012] H:\move-rage_your_dream.avi 
[15/02/2006 21:33|--a------|3141278] H:\Mr.T - Toxic Vs My Name Is 2.ogg 
[05/07/2004 15:30|--a------|9524] H:\mutley-ani1.gif 
[29/08/2007 18:56|--a------|366080] H:\M'moire 2.doc 
[23/08/2007 15:56|--a------|251904] H:\M'moire.doc 
[04/08/2004 18:17|--a------|3629696] H:\No Doubt - Ob-la-di, Ob-la-da (Beatles Cover Live).mp3 
[04/03/2006 22:13|--a------|3481928] H:\NTM - Nique Le CSA.mp3 
[28/02/2004 22:47|--a------|4432932] H:\Peter Tosh - Legalize It.mp3 
[17/03/2006 21:21|--a------|4831307] H:\Philippe Katerine - Louxor J'adore.mp3 
[02/09/2005 21:00|--a------|3690134] H:\Pierre Perret - Les Jolies Colonies de Vacances (1).mp3 
[26/03/2006 18:05|--a------|1094144] H:\Plan Bourgeons de culture.doc 
[06/05/2006 17:29|--a------|3223552] H:\Plastic Bertrand - Asterix est la.mp3 
[21/05/2010 22:17|--a------|41] H:\pmp_usb.ini 
[26/02/2006 07:38|--a------|53248] H:\question pour un champion.pps 
[04/10/2007 16:47|--a------|4020707] H:\Ramones - Joey Ramone - What A Wonderful World.mp3 
[15/04/2006 14:47|--a------|1168580] H:\rap du stroumpf.mp3 
[26/01/2003 14:35|--a------|3570847] H:\Rob d - Clubbed To Death.mp3 
[21/10/2006 18:54|--a------|4169728] H:\Rudy - Pour elle.mp3 
[08/10/2005 18:15|--a------|2399805] H:\Sangria Gratuite - Paquito Chocolatero.wmv 
[30/04/2006 22:30|--a------|47892706] H:\Schtroumpf Party 2.rar 
[25/04/2006 19:12|--a------|26995911] H:\Schtroumpf Party 3.rar 
[25/04/2006 19:49|--a------|44184088] H:\Schtroumpf Party.rar 
[19/08/2004 16:10|--a------|28672] H:\setupSNK.exe 
[25/11/2006 15:25|--a------|5879368] H:\Sniper - Freestyle (instru Dr Dre).mp3 
[21/05/2006 05:54|--a------|81049600] H:\South Park (Fr) - 84 (6x05) - Le Veau C'est Rigolo.avi 
[15/12/2007 18:01|--a------|183193600] H:\South Park - s07e15 - Joyeux Hanouka (Fr).avi 
[18/03/2006 17:52|--a------|3501082] H:\Star Academy 2 - Nolwen & Roch Voisine - Que je t'aime (avec discours animateur).mp3 
[20/05/2006 17:26|--a------|3474041] H:\Tessa Martin - Terriblement efficace.mp3 
[15/04/2006 15:05|--a------|21328] H:\tetris.mid 
[15/04/2006 15:37|--a------|481324] H:\Theme - Super Mario Bross (Level 2).mp3 
[08/05/2006 17:44|--a------|2165248] H:\Trompeloeil.pps 
[24/07/2008 00:39|--a------|83366594] H:\TV Corn' Final.wmv 
[06/05/2006 17:50|--a------|1437696] H:\tv themes - Asterix & Obelix.mp3 
[05/01/2006 00:29|--a------|50658] H:\Vomi.wav 
[15/04/2006 00:55|--a------|25870336] H:\Weird Al Yankovic - I Love Rocky Road.mpg 
[20/01/2006 20:25|--a------|4813636] H:\Zafrica (Feat Rockin'Squat, Pyroman, Ta<ro) - Origens.mp3 
[05/03/2006 15:56|--a------|3618238] H:\Zebda - Le sud (Les victoires de la musique 99 sur France 2).mp3 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-ImbertTri.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.115 ! |

Tristan · Answer

Salut,

j'ai posté le rapport mais celui-ci ne reste pas.

C'est normal?

Mon pc est il encore infecté.

Merci en tout cas pour tous ces conseils.

gen-hackman · Answer

il devait contenir un mot blacklisté

Tristan · Answer

Mince, du coup je peux te l'envoyer par MP ?

gen-hackman · Answer

ici :

http://www.cijoint.fr/

et donne le lien obtenu en echange

Tristan · Answer

Merci pour ton aide.

Voici le lien

http://www.cijoint.fr/cjlink.php?file=cj201005/cijtSJq2hv.txt

gen-hackman · Answer

installe vista SP1 puis SP2

Tristan · Answer

Ça y est c'est fait!

Y a t'il d'autres choses à faire ou je peux considérer mon pc comme clean?

Y a t'il des précautions à prendre pour éviter à l'avenir ses mésaventures? 

En tout cas je tiens à te remercier pour tes conseils, ta patience et ta pertinence!

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.	

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Virus Dropper Win32:Rodecap-B [Drp]

18 réponses

Votre réponse

Discussions similaires

Newsletters