Ask.com + IE + Uhepeb.exe

Résolu
piR -  
 Utilisateur anonyme -
Bonjour,
Voilà hier, Kaspersky a détecté un Trojan et mis apparement en quantaine.
Cepandant, depuis j'ai Ask.com qui s'ouvre tout seul dans un onglet firefox et des publicité qui s'ouvre sur IE (en l'ouvrant seul).

Il me semble que j'ai aussi un processus qui s active tout le temps Uhepeb.exe dont je ne connais pas du tout l'utilité...



Voici le log de Hijackthis,
J'ai déjà fait un nettoyage avec ccleaner.

Merci,
piR

Log Hijackthis :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:28:29, on 30/05/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\System32\rundll32.exe
C:\Users\Pierre\AppData\Roaming\SystemProc\lsass.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Windows\system32\conime.exe
C:\Program Files\Dell\DellDock\DellDock.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
c:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\Uhepeb.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\Taskmgr.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.be
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Sky-Banners Browser Enhancer zzkmakjy - {B2F3568D-4054-4B9A-9DBD-D1690FC04576} - C:\Windows\system32\zzkmakjy.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Halo2] rundll32.exe C:\Windows\system32\sshnas21.dll,Beep16
O4 - HKCU\..\Run: [RTHDBPL] C:\Users\Pierre\AppData\Roaming\SystemProc\lsass.exe
O4 - HKLM\..\Policies\Explorer\Run: [khfy2n] C:\Users\Pierre\AppData\Local\Temp\ccl9ke.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: QuickSet.lnk = C:\Program Files\Dell\QuickSet\quickset.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: nmklo
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (BthServ) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe
O23 - Service: @%SystemRoot%\system32\dhcpcsvc.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\emdmgmt.dll,-1000 (EMDMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (Eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-200 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprof.dll,-246 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe
O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe
O23 - Service: @%SystemRoot%\system32\SLUINotify.dll,-103 (SLUINotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\wmpnetwk.exe
O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe

--
End of file - 23237 bytes

21 réponses

  • 1
  • 2
  1. piR
     
    Ha oui, aussi je n'ai pas de barre de tache qui s'est rajouté sur IE ou Firefox contrairement à tout ceux dont j'ai lu qu'il avait le probleme avec ask.com.
    0
  2. Utilisateur anonyme
     
    bonjour,
    tu as une grosse infection sur ton pc !

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    ► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    ou ici :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    /!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\INSTALLES LA CONSOLE DE RECUPERATION

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  3. piR
     
    Merci pour ta réponse,
    Voici le log :

    Il a reboot une fois durant le procédé car : "présence d'activité de rootkit" ?

    ComboFix 10-05-29.05 - Pierre 30/05/2010 16:53:44.2.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.32.1036.18.3581.2617 [GMT 2:00]
    Lancé depuis: c:\users\Pierre\Desktop\Combofix.exe
    AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
    SP: Kaspersky Anti-Virus *disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\Pierre\AppData\Roaming\02000000d48704ce922C.manifest
    c:\users\Pierre\AppData\Roaming\02000000d48704ce922O.manifest
    c:\users\Pierre\AppData\Roaming\02000000d48704ce922P.manifest
    c:\users\Pierre\AppData\Roaming\02000000d48704ce922S.manifest
    c:\users\Pierre\AppData\Roaming\SystemProc
    c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe
    c:\users\Pierre\AppData\Roaming\SystemProc\upd.exe
    c:\windows\system32\h7t.wt
    c:\windows\system32\hgtd.ruy
    c:\windows\system32\nmklo.dll
    c:\windows\system32\sshnas21.dll
    c:\windows\system32\wbem\grpconv.exe
    c:\windows\system32\zzkmakjy.dll
    c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

    Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-30 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\Pierre\AppData\Local\temp
    2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\elephant\AppData\Local\temp
    2010-05-30 15:01 . 2010-05-30 15:01 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-05-30 12:08 . 2010-05-30 12:08 388096 ----a-r- c:\users\Pierre\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2010-05-30 12:08 . 2010-05-30 12:08 -------- d-----w- c:\program files\Trend Micro
    2010-05-30 10:08 . 2010-05-30 10:08 -------- d-----w- c:\program files\CCleaner
    2010-05-30 02:11 . 2010-05-30 02:12 27904 ----a-w- c:\windows\system32\drivers\nwlnkfwd.sys
    2010-05-30 00:52 . 2010-05-30 00:50 124928 ----a-w- c:\windows\Uhepeb.exe
    2010-05-30 00:51 . 2010-05-30 00:51 50981 ----a-w- c:\windows\system32\tjtqrudjpueck.exe
    2010-05-30 00:50 . 2010-05-30 00:50 182272 ----a-w- c:\windows\system32\D3DCompiler_3432.dll
    2010-05-30 00:49 . 2010-05-30 00:49 124928 ----a-w- c:\windows\Uhepea.exe
    2010-05-29 13:09 . 2006-11-10 14:03 615424 ----a-w- c:\windows\system32\themeui.dll
    2010-05-12 14:38 . 2010-05-12 14:38 -------- d-----w- c:\users\Pierre\AppData\Roaming\LolClient
    2010-05-09 23:44 . 2010-05-09 23:44 -------- d-----w- c:\programdata\DivX
    2010-05-08 15:38 . 2010-05-08 15:38 -------- d-----w- c:\users\Pierre\AppData\Roaming\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1
    2010-05-08 15:24 . 2010-05-08 15:24 38784 ----a-w- c:\users\Pierre\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
    2010-05-08 15:23 . 2010-05-08 15:24 -------- d-----w- c:\program files\Common Files\Adobe AIR
    2010-05-08 15:23 . 2010-05-08 15:24 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
    2010-05-08 15:20 . 2010-05-30 10:36 -------- d-----w- c:\program files\League of Legends

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-30 14:59 . 2008-01-21 08:40 669578 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-30 14:59 . 2008-01-21 08:40 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-30 14:52 . 2008-09-24 19:32 -------- d-----w- c:\programdata\Kaspersky Lab
    2010-05-30 14:51 . 2008-09-24 19:32 9422368 --sha-w- c:\windows\system32\drivers\fidbox.dat
    2010-05-30 14:51 . 2008-09-24 19:32 82028 --sha-w- c:\windows\system32\drivers\fidbox.idx
    2010-05-30 14:51 . 2008-09-24 19:32 5028 --sha-w- c:\windows\system32\drivers\fidbox2.idx
    2010-05-30 14:51 . 2008-09-24 19:32 1155104 --sha-w- c:\windows\system32\drivers\fidbox2.dat
    2010-05-30 14:51 . 2008-08-02 11:45 12 ----a-w- c:\windows\bthservsdp.dat
    2010-05-30 13:19 . 2008-08-07 12:25 27934 ----a-w- c:\programdata\nvModes.dat
    2010-05-30 13:12 . 2008-11-02 20:43 -------- d-----w- c:\users\Pierre\AppData\Roaming\Skype
    2010-05-30 12:03 . 2008-11-02 20:45 -------- d-----w- c:\users\Pierre\AppData\Roaming\skypePM
    2010-05-30 12:01 . 2008-08-07 11:54 81928 ----a-w- c:\users\Pierre\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-05-30 11:03 . 2008-12-13 22:37 -------- d-----w- c:\program files\Steam
    2010-05-30 10:57 . 2009-08-20 13:42 -------- d-----w- c:\program files\Image-Line
    2010-05-30 10:10 . 2008-10-10 19:40 -------- d-----w- c:\users\Pierre\AppData\Roaming\Media Player Classic
    2010-05-30 02:25 . 2008-08-02 09:56 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-05-30 02:11 . 2010-05-30 02:11 12 ----a-w- c:\users\Pierre\AppData\Roaming\vlsfdq.dat
    2010-05-30 02:11 . 2008-08-02 09:59 -------- d-----w- c:\program files\Creative
    2010-05-27 22:10 . 2008-09-18 14:43 -------- d-----w- c:\users\Pierre\AppData\Roaming\LimeWire
    2010-05-23 17:28 . 2009-12-23 16:32 -------- d-----w- c:\users\Pierre\AppData\Roaming\uTorrent
    2010-05-19 00:09 . 2008-09-02 21:15 -------- d-----w- c:\users\Pierre\AppData\Roaming\mIRC
    2010-05-19 00:05 . 2008-09-02 21:15 -------- d-----w- c:\program files\mIRC
    2010-05-12 08:56 . 2009-11-03 17:53 -------- d-----w- c:\program files\Heroes of Newerth
    2010-05-02 11:48 . 2009-12-23 16:33 -------- d-----w- c:\program files\uTorrent
    2010-04-27 14:41 . 2009-10-24 12:52 -------- d-----w- c:\program files\Full Tilt Poker
    2010-04-27 14:33 . 2008-08-02 09:56 -------- d-----w- c:\program files\Common Files\InstallShield
    2010-04-26 00:17 . 2009-02-09 00:22 2269 ----a-w- c:\programdata\sortedcards.tmp
    2010-04-14 19:35 . 2010-04-14 19:35 1 ----a-w- c:\windows\system32\SI.bin
    2010-04-12 11:36 . 2008-10-17 18:45 680 ----a-w- c:\users\Pierre\AppData\Local\d3d9caps.dat
    2010-04-11 15:57 . 2008-09-08 22:56 8426 ----a-w- c:\programdata\playercachelines.tmp
    2010-04-07 17:52 . 2010-04-07 17:52 -------- d-----w- c:\program files\2K Games
    2010-04-07 17:51 . 2010-04-07 17:51 -------- d-----w- c:\users\Pierre\AppData\Roaming\InstallShield
    2010-04-06 18:55 . 2010-04-06 17:30 -------- d-----w- c:\users\Pierre\AppData\Roaming\DAEMON Tools Lite
    2010-04-06 17:31 . 2010-04-06 17:31 -------- d-----w- c:\program files\DAEMON Tools Lite
    2010-04-06 17:31 . 2010-04-06 17:31 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
    2010-04-06 17:30 . 2010-04-06 17:30 -------- d-----w- c:\programdata\DAEMON Tools Lite
    2009-10-24 20:07 . 2009-10-24 20:07 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    2008-08-02 19:38 . 2008-08-02 19:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
    .

    ------- Sigcheck -------

    [-] 2009-05-03 . B7212DC9B04BB309A436153AD67BC2AD . 2921984 . . [6.0.6000.16386] . . c:\windows\explorer.exe

    [-] 2006-11-10 . 921D359C1168867B515C219ACCED9609 . 245248 . . [6.0.6000.16386] . . c:\windows\System32\shsvcs.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
    @="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
    [HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
    2007-03-28 17:59 2953216 ----a-w- c:\program files\Protector Suite QL\farchns.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
    @="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
    [HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
    2007-03-28 17:59 2953216 ----a-w- c:\program files\Protector Suite QL\farchns.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-02 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
    "Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-01-25 167936]
    "SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-12-03 405504]
    "NvSvc"="c:\windows\system32\nvsvc.dll" [2008-04-09 166432]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-09 13515296]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-09 92704]
    "NVHotkey"="c:\windows\system32\nvHotkey.dll" [2008-04-09 92704]
    "PSQLLauncher"="c:\program files\Protector Suite QL\launcher.exe" [2007-03-28 49168]
    "DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-24 30192]
    "dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
    "PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-12-21 184320]
    "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-02 40368]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

    c:\users\Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-5-13 1058088]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-23 113664]
    BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]
    QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-2-22 1193240]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "DisableCAD"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
    2007-03-28 17:46 90112 ----a-w- c:\windows\System32\psqlpwd.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "mixer2"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Notification Packages REG_MULTI_SZ scecli psqlpwd

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
    "DisableMonitoring"=dword:00000001

    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 135664]
    R3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-10-24 30192]
    R4 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\drivers\ianvstor.sys [2007-09-07 209408]
    R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-04-06 691696]
    S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
    S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2008-07-09 20496]
    S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-12-03 73728]
    S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-04-28 161048]
    S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [2008-02-01 65536]
    S2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2010-01-24 47664]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - oeikcb

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bthsvcs REG_MULTI_SZ BthServ
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 16:16]

    2010-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 16:16]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    FF - ProfilePath - c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\rjya9p9p.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
    FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{B2F3568D-4054-4B9A-9DBD-D1690FC04576} - c:\windows\system32\zzkmakjy.dll
    HKCU-Run-Halo2 - c:\windows\system32\sshnas21.dll
    HKCU-Run-RTHDBPL - c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-30 17:01
    Windows 6.0.6001 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    RTHDBPL = c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe????????????????????????????????#???????????????????????????????????????????

    Recherche de fichiers cachés ...

    c:\windows\TEMP\TMP0000006C761052A81CFA8BCF 524288 bytes executable

    Scan terminé avec succès
    Fichiers cachés: 1

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-3123093317-2579836590-720009148-1000\Software\SecuROM\License information*]
    "datasecu"=hex:0f,ab,71,97,4d,3d,1a,ed,60,fa,97,09,3c,70,9a,aa,62,ea,ce,80,de,
    27,f2,a3,90,c0,6b,24,57,09,29,3f,f6,29,f8,30,e5,56,7a,2b,37,14,e3,f5,fb,83,\
    "rkeysecu"=hex:3d,9d,4b,c3,00,cc,90,b9,14,f3,34,c0,60,29,81,52

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'lsass.exe'(684)
    c:\windows\system32\psqlpwd.dll
    c:\program files\Protector Suite QL\homefus2.dll
    c:\program files\Protector Suite QL\infra.dll
    .
    Heure de fin: 2010-05-30 17:03:45
    ComboFix-quarantined-files.txt 2010-05-30 15:03

    Avant-CF: 20.825.550.848 octets libres
    Après-CF: 20.774.891.520 octets libres

    - - End Of File - - 3B4BDB3EEDD1F3752BF497E9A1D2442E
    0
  4. Utilisateur anonyme
     
    pas de rootkit, mais ceci en partie :

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\Pierre\AppData\Roaming\02000000d48704ce922C.manifest
    c:\users\Pierre\AppData\Roaming\02000000d48704ce922O.manifest
    c:\users\Pierre\AppData\Roaming\02000000d48704ce922P.manifest
    c:\users\Pierre\AppData\Roaming\02000000d48704ce922S.manifest
    c:\users\Pierre\AppData\Roaming\SystemProc
    c:\users\Pierre\AppData\Roaming\SystemProc\lsass.exe
    c:\users\Pierre\AppData\Roaming\SystemProc\upd.exe
    c:\windows\system32\h7t.wt
    c:\windows\system32\hgtd.ruy
    c:\windows\system32\nmklo.dll
    c:\windows\system32\sshnas21.dll
    c:\windows\system32\wbem\grpconv.exe
    c:\windows\system32\zzkmakjy.dll
    c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

    Une copie infectée de c:\windows\system32\drivers\disk.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p


    * /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine
    .
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. piR
     
    Voici le scan effectué avec malware :
    Merci,
    J'ai l'impression que ca commence tout doucement a se nettoyer :p

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4156

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    30/05/2010 17:53:46
    mbam-log-2010-05-30 (17-53-46).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 139215
    Temps écoulé: 4 minute(s), 58 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    0
  7. Utilisateur anonyme
     
    redemarre ton pc,
    relance MBAM, vide sa quarantaine, lance un scan rapide de ton pc

    poste son rapport sur ton prochain message

    merci
    0
  8. piR
     
    Je m'étais trompé la premiere fois je n'avais fait qu'un examen rapide j'ai donc d'abord refait un examen complet :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4156

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    30/05/2010 19:07:50
    mbam-log-2010-05-30 (19-07-50).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 304437
    Temps écoulé: 1 heure(s), 3 minute(s), 52 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\System32\drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

    J'ai ensuite reboot et refait un examen rapide :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4156

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    30/05/2010 19:17:59
    mbam-log-2010-05-30 (19-17-59).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 139443
    Temps écoulé: 4 minute(s), 53 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

    a priori ce fichier infécté subsiste sinon il n'y a plus de probleme :)
    Merci,
    0
  9. Utilisateur anonyme
     
    il ne va pas me le refaire une autre fois ;-)

    * /!\AVERTISSEMENT :
    ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.


    /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharge OtmoveIT (de Old_Timer) sur ton Bureau

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    ou :
    https://www.androidworld.fr/

    (c est le numéro 7 en bas de la page) :

    * Double-clique sur OTMoveIt.exe pour le lancer.
    /!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »

    * Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.

    :processes
    explorer.exe

    :files
    C:\Windows\system32\Drivers\oeikcb.sys
    :reg
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]

    :Commands
    [emptytemp]
    [purity]
    [start explorer]
    [Reboot
    ]

    # clique sur MoveIt! pour lancer la suppression.

    # Le résultat apparaitra dans le cadre "Results".

    # Clique sur Exit pour fermer.

    # Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    # Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    redemarre ton pc,
    relance un autre scan rapide avec MBAM, poste son rapport après le rapport de OTM
    :-)
    0
  10. piR
     
    Voici le rapport OTM :

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== FILES ==========
    File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
    ========== REGISTRY ==========
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: elephant
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Pierre
    ->Temp folder emptied: 956 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 3158009 bytes
    ->Flash cache emptied: 405 bytes

    User: pir
    ->Temp folder emptied: 0 bytes

    User: postgres
    ->Temp folder emptied: 0 bytes

    User: Public
    ->Temp folder emptied: 0 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 3,00 mb

    OTM by OldTimer - Version 3.1.12.1 log created on 05302010_195728

    Files moved on Reboot...
    File C:\Windows\system32\Drivers\oeikcb.sys not found!

    Registry entries deleted on Reboot...

    Si je comprend bien un des objectif était de supprimer ce fichier, il met 'not found' mais quand je vais voir dans le répertoire le fichier y est bien.
    et le scan avec MBAM le détecte toujours comme infectieux.

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4156

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    30/05/2010 20:10:12
    mbam-log-2010-05-30 (20-10-12).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 139505
    Temps écoulé: 4 minute(s), 46 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

    Je doute que cela fonctionne plus cette fois ci mais bon je vais quand meme reboot ;)
    Merci beaucoup pour tes réponses claires et précises en tout cas :)
    0
  11. Utilisateur anonyme
     
    désolé, je me suis tropé dans le script :-(

    relance OTM :

    mets ce script dans la fenetre :

    :processes
    explorer.exe

    :files
    C:\Windows\system32\Drivers\oeikcb.sys
    :reg
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]

    :Commands
    [emptytemp]
    [purity]
    [start explorer]
    [Reboot]


    relance MBAM derrière :-)
    0
  12. piR
     
    Hmm j'ai refait avec le nouveau script mais il me semble que j ai toujours la meme erreur :

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== FILES ==========
    File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb\ not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: elephant
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Pierre
    ->Temp folder emptied: 2526 bytes
    ->Temporary Internet Files folder emptied: 2512057 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 35291077 bytes
    ->Flash cache emptied: 784 bytes

    User: pir
    ->Temp folder emptied: 0 bytes

    User: postgres
    ->Temp folder emptied: 0 bytes

    User: Public
    ->Temp folder emptied: 0 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 36,00 mb

    OTM by OldTimer - Version 3.1.12.1 log created on 05302010_210042

    Files moved on Reboot...
    File C:\Windows\system32\Drivers\oeikcb.sys not found!

    Registry entries deleted on Reboot...
    0
  13. Utilisateur anonyme
     
    redemarre ton pc, lance MBAM en scan rapide, on verra ce que ça donne :-)
    0
  14. piR
     
    voila :)
    Toujours la meme chose en fait ;)

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4156

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    30/05/2010 21:51:57
    mbam-log-2010-05-30 (21-51-57).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 139787
    Temps écoulé: 5 minute(s), 10 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\system32\Drivers\oeikcb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    0
  15. Utilisateur anonyme
     
    hummm!!!

    il m'embete celui ci :

    :processes
    oeikcb.sys
    :services
    oeikcb
    :files
    C:\Windows\system32\Drivers\oeikcb.sys
    :reg
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb]

    :Commands
    [emptytemp]
    [purity]
    [start explorer]
    [Reboot]


    passe un coup de MBAM après un redemarrage pour vérifier s'il est toujours là ou non !!!
    0
  16. piR
     
    Toujours le meme message :s
    Mais le fichier est toujours la, j'ai plus lancé MBAM j'ai été voir directement dans le répertoire ;)
    Mais que fait un rootkit exactement ?

    All processes killed
    ========== PROCESSES ==========
    No active process named oeikcb.sys was found!
    ========== SERVICES/DRIVERS ==========
    Error: No service named oeikcb was found to stop!
    Service\Driver key oeikcb not found.
    ========== FILES ==========
    File move failed. C:\Windows\system32\Drivers\oeikcb.sys scheduled to be moved on reboot.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oeikcb\ not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: elephant
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Pierre
    ->Temp folder emptied: 1564 bytes
    ->Temporary Internet Files folder emptied: 1053217 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 28514378 bytes
    ->Flash cache emptied: 606 bytes

    User: pir
    ->Temp folder emptied: 0 bytes

    User: postgres
    ->Temp folder emptied: 0 bytes

    User: Public
    ->Temp folder emptied: 0 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 28,00 mb

    OTM by OldTimer - Version 3.1.12.1 log created on 05302010_221028

    Files moved on Reboot...
    File C:\Windows\system32\Drivers\oeikcb.sys not found!

    Registry entries deleted on Reboot...
    0
  17. Utilisateur anonyme
     
    on va le faire autrement :

    * Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
    -> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

    Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

    begin copying here:
    Drivers to delete:
    oeikcb
    Files to delete:
    c:\windows\system32\drivers\oeikcb.sys


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    repasse un autre MBAM derrière, toujour en scan rapide
    0
  18. piR
     
    Avenger a eu raison de lui =D
    Tu es trop fort,
    Immense Merci,

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows Vista

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    Driver "oeikcb" deleted successfully.
    File "c:\windows\system32\drivers\oeikcb.sys" deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.

    _____________

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4156

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    30/05/2010 22:47:55
    mbam-log-2010-05-30 (22-47-55).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 139497
    Temps écoulé: 5 minute(s), 10 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  19. Utilisateur anonyme
     
    ok,
    on finit si tu le veux bien :

    * /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    . télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

    .double-cliques sur le fichier pour lancer l'installation
    /!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »

    .sur la fenêtre de l'installation langage bien choisir français et OK
    .cliques sur suivant
    .lis la licence et j'accepte
    .cliques sur suivant
    .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
    .cliques sur installer
    .cliques sur fermer
    .double-cliques sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    .coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .cliques maintenant sur registre et puis sur rechercher les erreurs
    .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et fermer tu vérifies en relançant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner

    * pour supprimer les outils de désinfection :

    Télécharge OTC de Old Timer .
    http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/

    Utilisateur de vista et Windows 7 :Clique droit sur OTCleanIt et choisis Exécuter en tant qu'administrateur.
    Clique sur le bouton "CleanUp!" .
    Sélectionne Oui lorsque la demande " processus de nettoyage?" s'affiche.
    Si tu es invité à redémarrer le PC au cours de l'assainissement, sélectionne Oui.
    L'outil va se supprimer lui-même une fois la fin de l'opération.
    Sinon, supprime les manuellement


    * Désactivation, puis Réactivation de la restauration système après désinfection :
    Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

    Pour Vista : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

    fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)
    0
  20. piR
     
    Tout est nikel :)
    J'ai fait le clean up et mon anti-virus ne détecte plus rien a priori :)

    Hormis la Désactivation, puis Réactivation de la restauration système après désinfection que je n'arrive pas a faire car arriver dans propriété il cherche mais il ne trouve jamais me disque ou je suis censé avoir mon point de restauration... oO

    Un tout grand merci,
    piR
    0
  • 1
  • 2