Virus

list&em kill'em est beaucoup trop long et je dois aller dormir
je le referais demain
bonne soirée :-)

désolé je devais aller dormir alors j'ai vite fais un MBAM juste du fichier en question pour vous montrer mais en ce moment même list&em kill'em est en cours

est ce que si j'ai le vers sasser il peut enregistrer mes mots de passe ?
sur les sites il est écrit qu'il redémarre le pc lui même régulièrement mais j'ai pas ce problème et en plus l vers n'est que dans windows XP et vista ... mais pourtant j'ai lsass infecté ...

c'est normal que le scan dur plus d'1h30 déjà ?
c'est entrain de faire le registre et c'était à la fin de l'alphabet puis ça a fait les signes de ponctuation et maintenant ça recommence l'alphabet ...
ça bug ?

pu*** je pensais qu'en 2 heures c'est fini et je me suis exprès levé à 5h du mat pour lancer le truc et là c'est pas encore terminé :-(

vous le savez, ça met le truc qui est entrain d'être cherché sur mon pc et ça change à chaque fois que c'est un autre truc et c'est dans la base du registre mais tout à droite c'est /run et quand les signes de ponctuation son passé c'est /runonce et quand les signes de ponctuation sont de nouveau passé ça recommence la même chose avec /ruc puis de nouveau /runonce et ainsi de suite, si je n'ai pas de réponse de votre part j'étein mon pc à 9h30, de toute façon je dois alors partir mais j'ai commencé le truc à 5h ce matin et n'importe quel autre logiciel aurait terminé depuis très longtemps. Si à 9h30 c'est pas terminé je souhaite un autre logiciel plus efficace et plus rapide. (ça fait plus d'une heure que c'est à 30%)
merci

ps : j'ai remarqué que ce qui est écrit d'un coup est passé en rouge ....

j'ai essayé en fermant et cliquer sur "clean" directement avec les droits administrateurs mais ça met que "reboot.exe n'est pas disponible" ou je sais plus trop quoi mais un problème avec ce fichier bat.

stp aidez moi

pareil mais j'ai fais directement "clean" en mode normal et ça a fonctionné

voici le rapport :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤

User : admin (Administrateurs)
Update on 22/05/2010 by g3n-h@ckm@n ::::: 10.50
Start at: 09:01:29 | 23/05/2010

Intel(R) Pentium(R) Dual CPU T3400 @ 2.16GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 64-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 223,12 Go (156,03 Go free) [Acer] | NTFS
E:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
C:\Program Files\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Memopal\MemopalService.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\ProgramData\xml5F06.tmp
Quarantined & Deleted !! : C:\ProgramData\xml67AE.tmp
Quarantined & Deleted !! : C:\ProgramData\xml6A1F.tmp
Quarantined & Deleted !! : C:\ProgramData\xml6DE7.tmp
Quarantined & Deleted !! : C:\ProgramData\xml7027.tmp
Quarantined & Deleted !! : C:\ProgramData\xml71AE.tmp
Quarantined & Deleted !! : C:\ProgramData\xml71AF.tmp
Quarantined & Deleted !! : C:\ProgramData\xml725B.tmp
Quarantined & Deleted !! : C:\ProgramData\xmlB00C.tmp
Quarantined & Deleted !! : C:\ProgramData\xmlBF97.tmp
Quarantined & Deleted !! : C:\ProgramData\tgioyvlx.pxu
Quarantined & Deleted !! : C:\Program Files\Mozilla FireFox\Components\AskSearch.js

Quarantined & Deleted !! : C:\Windows\system32\AVSredirect.dll
Quarantined & Deleted !! : C:\Windows\system32\dmusic32.dll
Quarantined & Deleted !! : C:\Windows\Temp\is8009.tmp
Quarantined & Deleted !! : C:\Windows\Temp\isF805.tmp
Quarantined & Deleted !! : C:\Users\admin\AppData\Local\d3d9caps.dat
Quarantined & Deleted !! : C:\Users\admin\AppData\Local\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Users\admin\AppData\Roaming\SystemProc
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\LimeWireWin.exe
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\SSUPDATE.EXE
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\jna3413070121694272321.dll
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\jna3961850534848576464.dll
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\jna7506635218275214467.dll
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\jna895152197156824762.dll
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\k50xfag4.dll

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"
Deleted : "HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}"
Deleted : "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar"
Deleted : HKCR\.fsharproj
Deleted : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
Deleted : HKCU\Software\Conduit
Deleted : HKLM\Software\Conduit
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\Irmon
Deleted : HKLM\SYSTEM\ControlSet001\Services\Irmon
Deleted : HKLM\SYSTEM\ControlSet004\Services\Irmon
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)
FirewallDisableNotify REG_DWORD 0 (0x0)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤




Je précise que tout provient d'un crack de malwareyte antimalware mais je l'ai supprimé dès la première alerte virus mais le virus est resté ....

Ne vous enfaite pas c'est la première fois que je télécharge ce genre de choses et avec ce que ça cause je le referais plus il y a aucun risque.


edit : il y a un petit hic : depuis list&em kill'em je suis connecté à internet mais l'icône en bas à droite me montre déconnecté d'internet mais si je clique sur "connexion à un réseau" ça met que je suis connecté

changement de mots de passe conseillé ?

OLD.Txt : http://www.cijoint.fr/cj201005/cijMLui0W2.txt
extra.txt : http://www.cijoint.fr/cj201005/cij0FugERv.txt

je vais aller dormir
bonne nuit à vous
et merci

Voilà. Depuis list&em kill'em je n'ai plus d'alerte d'avira me signalant un virus.



File sasnative32.exe received on 2010.05.24 03:50:01 (UTC)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.23 -
Antiy-AVL 2.0.3.7 2010.05.21 -
Authentium 5.2.0.5 2010.05.23 -
Avast 4.8.1351.0 2010.05.23 -
Avast5 5.0.332.0 2010.05.23 -
AVG 9.0.0.787 2010.05.23 -
BitDefender 7.2 2010.05.24 -
CAT-QuickHeal 10.00 2010.05.24 -
ClamAV 0.96.0.3-git 2010.05.22 -
Comodo 4927 2010.05.24 -
DrWeb 5.0.2.03300 2010.05.24 -
eSafe 7.0.17.0 2010.05.23 -
eTrust-Vet 35.2.7503 2010.05.21 -
F-Prot 4.6.0.103 2010.05.23 -
F-Secure 9.0.15370.0 2010.05.24 -
Fortinet 4.1.133.0 2010.05.23 -
GData 21 2010.05.24 -
Ikarus T3.1.1.84.0 2010.05.24 -
Jiangmin 13.0.900 2010.05.22 -
Kaspersky 7.0.0.125 2010.05.23 -
McAfee 5.400.0.1158 2010.05.24 -
McAfee-GW-Edition 2010.1 2010.05.23 -
Microsoft 1.5802 2010.05.24 -
NOD32 5139 2010.05.23 -
Norman 6.04.12 2010.05.23 -
nProtect 2010-05-23.01 2010.05.23 -
Panda 10.0.2.7 2010.05.23 Suspicious file
PCTools 7.0.3.5 2010.05.24 -
Prevx 3.0 2010.05.24 -
Rising 22.49.00.01 2010.05.24 Trojan.Win32.Generic.51FAF1AA
Sophos 4.53.0 2010.05.24 -
Sunbelt 6346 2010.05.24 -
Symantec 20101.1.0.89 2010.05.24 -
TheHacker 6.5.2.0.286 2010.05.24 -
TrendMicro 9.120.0.1004 2010.05.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.24 -
VBA32 3.12.12.5 2010.05.22 -
ViRobot 2010.5.20.2326 2010.05.23 -
VirusBuster 5.0.27.0 2010.05.23 -
Additional information
File size: 17136 bytes
MD5...: 0065e911f966a71a115d9a52ff3dfc99
SHA1..: 7f29c65d27184e6c1e65253a19154568335d994c
SHA256: bf28a8eb57684f7819ae1c76282d26356590559f827eddb576662bada1d2c9fc
ssdeep: 384:hWwWbhwUM8PdAD2GRGxYWwRWCfUZUBXxYJLWtVba:hWwh8PdGVsYWB9Lsba<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2890<br>timedatestamp.....: 0x49183995 (Mon Nov 10 13:39:33 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1956 0x1a00 5.94 f7ae9844a6a186531301497463da3e90<br>.rdata 0x3000 0xb8a 0xc00 3.99 d9c3d4c5e3b641af8e0a7b096510c0aa<br>.data 0x4000 0x4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rsrc 0x5000 0xb0 0x200 4.08 e75462be5446e4713a9bfd1160790c3e<br>.reloc 0x6000 0x1b8 0x200 4.70 89619446203afa3f4be6c3ccd707b631<br><br>( 1 imports ) <br>> ntdll.dll: ZwCreateFile, wcsrchr, RtlNtStatusToDosError, RtlAdjustPrivilege, ZwClose, RtlAllocateHeap, ZwInitializeRegistry, ZwOpenFile, NtQueryValueKey, ZwTerminateProcess, ZwQueryInformationFile, ZwWriteFile, ZwDeleteKey, ZwDelayExecution, ZwRestoreKey, wcschr, ZwOpenKey, ZwDisplayString, ZwCreateKey, RtlCreateHeap, _wcsnicmp, ZwReadFile, RtlFreeHeap, RtlInitUnicodeString, swprintf, ZwDeleteValueKey, ZwSaveKey, ZwSetInformationFile, _chkstk, memset, memcpy<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win64 Executable Generic (87.2%)<br>Win32 Executable Generic (8.6%)<br>Generic Win/DOS Executable (2.0%)<br>DOS Executable Generic (2.0%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: Systweak Inc<br> VeriSign Class 3 Code Signing 2004 CA<br> Class 3 Public Primary Certification Authority<br>signing date.: 4:18 PM 11/10/2008<br>verified.....: -<br>

c'est hello !
c'est fait

mais ça ressemble pas à un faux positif ?

ça a mit que ça

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

il y a un bug car je dois à chaque fois le lancer à partir du fichier bat

OLD.text : http://www.cijoint.fr/cjlink.php?file=cj201005/cijA8Vfr1Y.txt
extra.text : http://www.cijoint.fr/cjlink.php?file=cj201005/cijEFNxnbi.txt

a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.23 -
Antiy-AVL 2.0.3.7 2010.05.24 -
Authentium 5.2.0.5 2010.05.23 -
Avast 4.8.1351.0 2010.05.24 -
Avast5 5.0.332.0 2010.05.24 -
AVG 9.0.0.787 2010.05.24 -
BitDefender 7.2 2010.05.24 -
CAT-QuickHeal 10.00 2010.05.24 -
ClamAV 0.96.0.3-git 2010.05.24 -
Comodo 4931 2010.05.24 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.05.24 -
eSafe 7.0.17.0 2010.05.23 -
eTrust-Vet 35.2.7506 2010.05.24 -
F-Prot 4.6.0.103 2010.05.23 -
F-Secure 9.0.15370.0 2010.05.24 -
Fortinet 4.1.133.0 2010.05.23 -
GData 21 2010.05.24 -
Ikarus T3.1.1.84.0 2010.05.24 -
Jiangmin 13.0.900 2010.05.22 -
Kaspersky 7.0.0.125 2010.05.24 -
McAfee 5.400.0.1158 2010.05.24 New Malware.b
McAfee-GW-Edition 2010.1 2010.05.23 Artemis!3F6BA81C5263
Microsoft 1.5802 2010.05.24 -
NOD32 5140 2010.05.24 a variant of Win32/Monitor.PowerLogger.A
Norman 6.04.12 2010.05.24 -
nProtect 2010-05-24.01 2010.05.24 -
Panda 10.0.2.7 2010.05.24 Suspicious file
PCTools 7.0.3.5 2010.05.24 -
Prevx 3.0 2010.05.24 -
Rising 22.49.00.03 2010.05.24 Trojan.Win32.Generic.51E9A530
Sophos 4.53.0 2010.05.24 PowerLogger
Sunbelt 6346 2010.05.24 -
Symantec 20101.1.0.89 2010.05.24 Trojan.ADH
TheHacker 6.5.2.0.286 2010.05.24 -
TrendMicro 9.120.0.1004 2010.05.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.24 -
VBA32 3.12.12.5 2010.05.22 -
ViRobot 2010.5.20.2326 2010.05.24 -
VirusBuster 5.0.27.0 2010.05.23 -

j'ai pas de lignes rouges


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-05-24 16:13:25
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\admin\AppData\Local\Temp\kwldrpob.sys


---- Devices - GMER 1.0.15 ----

Device Ntfs.sys (Pilote du système de fichiers NT/Microsoft Corporation)

AttachedDevice cbfs32.sys
AttachedDevice fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp hdbga.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 hdbga.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 hdbga.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

je suis certain de l'avoir supprimé avant mais là je l'ai revu alors je l'ai resupprimé

j'étais certain de l'avoir supprimé mais bon j'ai peut être mal cliqué, en tout cas il est pas revenu cette fois

J'aurais dus le préciser depuis le début mais j'ai souvent des virus et à chaque fois je fais appel à des helper pour désinfecter. Je sais pas s'ils oublient des virus et après il y en a encore plus la fois d'après ou si j'ai un problème sur le pc qui fait que j'ai des virus ... mais je vous demande de pas abandonner avant d'être certain que je n'ai plus d'infection

merci

mais non

qu'est ce que je dois faire maintenant ?

il est pas réapparut

je viens de trouver un dossier nommé hdbga et se trouvant dans le répertoire windows. A l'intérieur il y a une application nommé msk + un fichier bat nommé hdbga et un fichier nommé mail.fslt et un autre nommé et un truc nommé unins000 web.flt

Depuis que j'ai supprimé le fichier dans drivers la souris fonctionne plus. J'ai restauré le fichier et après je redémarre pour voir ce que ça donne. Je pense que c'est tout simplement le drivers de la souris.

Dans le fichier bat il y a


[hdbga]
WF=1
MF=1

ma webcam ne fonctionne non plus depuis ...
ça met caméra abscente

mais ça a fait quoi les logiciels :-(

le dossier en question est enfaite un keylogger que j'avais installé moi même il y a longtemps mais comme je l'avais plus retrouvé je l'ai oublié...

cette fois je l'ai supprimé

dans windows>system32>drivers j'avais supprimé le fichier mais sans vider la corbeille et la webcam ne fonctionnait plus et la flèche de la souris ne se déplaçait plus, heureusement que j'ai le truc pour la déplacer avec le truc tactile.
J'ai réinstallé le drivers pour la webcam et j'ai restauré le fichier et maintenant souris et webcam refonctionnent.
En ce qui concerne le dossier avec le keylogger dans windows je l'ai supprimé entièrement.

ces trojan tracur deviennent chiant à force ...

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4142

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

25/05/2010 19:15:27
mbam-log-2010-05-25 (19-15-27).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 267469
Temps écoulé: 2 heure(s), 5 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{0d93c4ca-429f-4ac4-aa76-cc6b4d6cd8a6} (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Zugo (Adware.Zugo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\d3d10warp32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Windows\System32\dmdskres32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Kill'em\Quarantine\dmusic32.dll.Kill'em (Trojan.Tracur) -> Quarantined and deleted successfully.

Mais avira et malwarebyte antimalware m'ont trouvé plusieurs fois déjà des trojan tracur et à chaque fois il y en a de nouveau mais le logiciel (je ne sais plus le nom) que vous m'avez dit de passer n'a pas trouvé de rookit, c'est bizarre.

A part ça j'ai plus d'alerte venant de antivir mais j'ai fais un scan des fichiers trouvés par malwarebyte avec avira et il a rien trouvé, comme quoi rien n'est parfait ...

A part ces virus trouvés par malwarebyte pratiquement à chaque scan je n'ai pas de problème, je n'en sais rien mais peut être ceux trouvés aujourd'hui n'étaient pas détectable avec la connexion internet car vous m'avez dit de me déconnecter pendant le scan ...