Processus inactif très bas

Question

Bonjour, 

Dans le gestionnaire des tâches, j'ai remarqué que le processus inactif ne me prend que 20% parfois beaucoup moins, et atteind même le 0% ! 
Or j'ai pu lire que si mon ordi fonctionnait normalement, le processus inactif indiquerait plutôt un pourcentage près de 90 ou 100%. 
J'ai Avast comme anti-virus, et il me dit qu'il n'y a rien à signaler.
Je voulais savoir si vous aviez des solutions pour améliorer ça, et quelles sont les causes de mon problème, parce que mon ordi rame pas mal... 



Configuration: Windows XP Pro/Mozilla
Acer Intel(R) Pentium(R) M
Processor 1,70GHz, 504 Mo de RAM

gen-hackman · Answer

salut 

* Télécharge ici : USBFIX sur ton bureau 



/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

« Recherche »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt



 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

gen-hackman · Answer

d'ac ;)

Maariyah · Answer

Alors, voila le rapport...

############################## | UsbFix 7.010 | [Recherche]

Utilisateur: A***** (Administrateur) # PC-A***** [ ]
Mis à jour le 14/06/2010 par El Desaparecido / C_XX
Lancé à 19:53:30 | 16/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) M processor 1.70GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886625 [(!) Disabled | Updated]
RAM -> 502 Mo
C:\ (%systemdrive%) -> Disque fixe # 26 Go (1 Go libre(s) - 5%) [ACER] # NTFS
D:\ -> Disque fixe # 26 Go (25 Go libre(s) - 96%) [ACERDATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
I:\ -> Disque fixe # 233 Go (48 Go libre(s) - 21%) [My Passport] # FAT32

################## | Éléments infectieux |

Présent! C:\WINDOWS\antiv.exe
Présent! C:\Recycler\S-1-5-21-3323492001-586419034-2091241410-1006
Présent! D:\Recycler\S-1-5-21-3323492001-586419034-2091241410-1006

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{2c8fe368-d7bf-11dc-8c12-00166f2e4137}
Shell\AutoRun\Command = ie.exe
Shell\explore\Command = ie.exe
Shell\open\Command = ie.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{a7fbba4a-39c9-11df-9055-00166f2e4137}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{b7f37e65-e4b6-11de-8fe7-00166f2e4137}
Shell\AutoRun\Command = "G:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{fa0392fa-6b3a-11db-a78e-00166f2e4137}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{fc52317b-a560-11db-a813-00166f2e4137}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |




Alors, c'est grave docteur ? lol

gen-hackman · Answer

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Maariyah · Answer

############################## | UsbFix 7.010 | [Suppression]

Utilisateur: assia (Administrateur) # PC-ASSIA [ ]
Mis à jour le 14/06/2010 par El Desaparecido / C_XX
Lancé à 20:46:00 | 16/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) M processor 1.70GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886625 [(!) Disabled | Updated]
RAM -> 502 Mo 
C:\ (%systemdrive%) -> Disque fixe # 26 Go (2 Go libre(s) - 7%) [ACER] # NTFS
D:\ -> Disque fixe # 26 Go (25 Go libre(s) - 96%) [ACERDATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
I:\ -> Disque fixe # 233 Go (48 Go libre(s) - 20%) [My Passport] # FAT32

################## | Éléments infectieux |

Supprimé! C:\Recycler\S-1-5-21-3323492001-586419034-2091241410-1006
Supprimé! D:\Recycler\S-1-5-21-3323492001-586419034-2091241410-1006

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fc52317b-a560-11db-a813-00166f2e4137}

################## | Listing |

[18/11/2006 - 19:02:01 | D ] 	C:\32f579e429e81b63188bd6
[25/08/2006 - 05:53:50 | D ] 	C:\Acer
[06/01/2006 - 06:58:40 | A | 50] 	C:\AUTOEXEC.BAT
[16/06/2010 - 20:29:09 | RASHD ] 	C:\Autorun.inf
[14/12/2005 - 05:39:24 | AD ] 	C:\Book
[15/10/2006 - 15:01:46 | RSH | 212] 	C:\boot.ini
[28/09/2001 - 12:00:00 | RASH | 4952] 	C:\Bootfont.bin
[06/01/2006 - 06:31:26 | A | 0] 	C:\CONFIG.SYS
[25/02/2008 - 23:16:19 | A | 0] 	C:\conmgr.log
[08/10/2009 - 20:52:46 | SHD ] 	C:\Diskeeper
[15/01/2008 - 16:23:13 | D ] 	C:\Documents and Settings
[05/08/2004 - 05:00:00 | AD ] 	C:\dotnetfx
[25/08/2006 - 08:23:06 | SHD ] 	C:\FOUND.000
[16/06/2010 - 20:33:42 | ASH | 526503936] 	C:\hiberfil.sys
[14/04/2010 - 23:36:51 | D ] 	C:\i386
[19/03/2010 - 23:56:45 | A | 230424] 	C:\img2-001.raw
[06/01/2006 - 06:31:26 | RASH | 0] 	C:\IO.SYS
[12/04/2009 - 21:36:57 | A | 165] 	C:\MDL 2.0 Debug.txt
[06/01/2006 - 06:31:26 | RASH | 0] 	C:\MSDOS.SYS
[08/10/2009 - 23:53:24 | D ] 	C:\My Music
[06/05/1999 - 12:59:00 | A | 220172] 	C:
so100.tmp
[06/05/1999 - 12:59:00 | A | 220172] 	C:
sq138.tmp
[06/05/1999 - 12:59:00 | A | 220172] 	C:
su158.tmp
[03/08/2004 - 20:38:34 | RASH | 47564] 	C:\NTDETECT.COM
[09/11/2008 - 13:46:02 | RASH | 252240] 	C:
tldr
[16/06/2010 - 20:33:39 | ASH | 789577728] 	C:\pagefile.sys
[06/01/2006 - 17:26:12 | RASH | 75] 	C:\Preload.aaa
[16/06/2010 - 00:04:56 | D ] 	C:\Program Files
[25/08/2006 - 00:52:58 | SHD ] 	C:\Recycled
[16/06/2010 - 20:51:18 | SHD ] 	C:\RECYCLER
[11/09/2006 - 21:51:50 | AH | 268] 	C:\sqmdata00.sqm
[12/09/2006 - 15:34:46 | AH | 268] 	C:\sqmdata01.sqm
[12/09/2006 - 21:24:28 | AH | 268] 	C:\sqmdata02.sqm
[13/09/2006 - 21:25:38 | AH | 268] 	C:\sqmdata03.sqm
[14/09/2006 - 14:45:15 | AH | 268] 	C:\sqmdata04.sqm
[14/09/2006 - 16:50:28 | AH | 268] 	C:\sqmdata05.sqm
[14/09/2006 - 20:47:44 | AH | 268] 	C:\sqmdata06.sqm
[15/09/2006 - 19:20:18 | AH | 268] 	C:\sqmdata07.sqm
[10/12/2006 - 23:14:36 | AH | 268] 	C:\sqmdata08.sqm
[26/01/2007 - 18:20:01 | AH | 268] 	C:\sqmdata09.sqm
[10/02/2007 - 21:11:34 | AH | 268] 	C:\sqmdata10.sqm
[30/03/2007 - 23:51:09 | AH | 268] 	C:\sqmdata11.sqm
[07/04/2007 - 17:12:16 | AH | 268] 	C:\sqmdata12.sqm
[17/05/2007 - 13:19:54 | AH | 268] 	C:\sqmdata13.sqm
[14/04/2008 - 16:47:40 | AH | 268] 	C:\sqmdata14.sqm
[14/04/2008 - 16:48:12 | AH | 232] 	C:\sqmdata15.sqm
[12/09/2008 - 21:12:15 | AH | 268] 	C:\sqmdata16.sqm
[12/10/2008 - 12:52:00 | AH | 268] 	C:\sqmdata17.sqm
[12/10/2008 - 12:55:29 | AH | 304] 	C:\sqmdata18.sqm
[18/12/2008 - 21:22:39 | AH | 268] 	C:\sqmdata19.sqm
[11/09/2006 - 21:51:50 | AH | 244] 	C:\sqmnoopt00.sqm
[12/09/2006 - 15:34:46 | AH | 244] 	C:\sqmnoopt01.sqm
[12/09/2006 - 21:24:28 | AH | 244] 	C:\sqmnoopt02.sqm
[13/09/2006 - 21:25:38 | AH | 244] 	C:\sqmnoopt03.sqm
[14/09/2006 - 14:45:15 | AH | 244] 	C:\sqmnoopt04.sqm
[14/09/2006 - 16:50:28 | AH | 244] 	C:\sqmnoopt05.sqm
[14/09/2006 - 20:47:44 | AH | 244] 	C:\sqmnoopt06.sqm
[15/09/2006 - 19:20:18 | AH | 244] 	C:\sqmnoopt07.sqm
[10/12/2006 - 23:14:36 | AH | 244] 	C:\sqmnoopt08.sqm
[26/01/2007 - 18:20:01 | AH | 244] 	C:\sqmnoopt09.sqm
[10/02/2007 - 21:11:34 | AH | 244] 	C:\sqmnoopt10.sqm
[30/03/2007 - 23:51:09 | AH | 244] 	C:\sqmnoopt11.sqm
[07/04/2007 - 17:12:16 | AH | 244] 	C:\sqmnoopt12.sqm
[17/05/2007 - 13:19:54 | AH | 244] 	C:\sqmnoopt13.sqm
[14/04/2008 - 16:47:40 | AH | 244] 	C:\sqmnoopt14.sqm
[14/04/2008 - 16:48:12 | AH | 244] 	C:\sqmnoopt15.sqm
[12/09/2008 - 21:12:15 | AH | 244] 	C:\sqmnoopt16.sqm
[12/10/2008 - 12:52:00 | AH | 244] 	C:\sqmnoopt17.sqm
[12/10/2008 - 12:55:29 | AH | 244] 	C:\sqmnoopt18.sqm
[18/12/2008 - 21:22:39 | AH | 244] 	C:\sqmnoopt19.sqm
[31/10/2005 - 17:56:00 | A | 700416] 	C:\StubInstaller.exe
[15/10/2006 - 15:01:53 | A | 0] 	C:\studio.xnf
[14/12/2005 - 05:39:24 | AD ] 	C:\Sysinfo
[05/04/2008 - 13:52:42 | SHD ] 	C:\System Volume Information
[16/06/2010 - 20:46:27 | D ] 	C:	emp
[25/04/2009 - 15:58:58 | D ] 	C:	mp
[16/06/2010 - 20:51:19 | D ] 	C:\UsbFix
[16/06/2010 - 20:51:31 | A | 1079] 	C:\UsbFix.txt
[16/06/2010 - 20:29:17 | A | 10811962] 	C:\UsbFix_Upload_Me_PC-ASSIA.zip
[01/09/2006 - 17:30:44 | D ] 	C:\USB_DRV
[05/08/2004 - 05:00:00 | AD ] 	C:\VALUEADD
[15/10/2006 - 15:01:53 | A | 17] 	C:\winamp.ini
[16/06/2010 - 20:28:54 | AD ] 	C:\WINDOWS
[18/07/2009 - 15:39:59 | D ] 	D:\38792547e8fd8c88e6
[25/08/2006 - 13:25:42 | D ] 	D:\apps
[16/06/2010 - 20:29:09 | RASHD ] 	D:\Autorun.inf
[08/10/2009 - 20:56:36 | SHD ] 	D:\Diskeeper
[15/06/2010 - 02:33:40 | SD ] 	D:\documents_Assia
[25/08/2006 - 00:52:28 | SHD ] 	D:\Recycled
[16/06/2010 - 20:51:19 | SHD ] 	D:\RECYCLER
[08/12/2006 - 14:25:48 | SHD ] 	D:\System Volume Information
[25/08/2006 - 13:27:17 | D ] 	D:\SYSTEMTOOLS
[05/07/2009 - 20:20:56 | HD ] 	I:\.Trashes
[05/07/2009 - 20:20:56 | AH | 4096] 	I:\._.Trashes
[29/09/2009 - 22:37:54 | SHD ] 	I:\$RECYCLE.BIN
[06/11/2008 - 15:49:04 | A | 74] 	I:\Install.ini
[24/04/2004 - 11:38:56 | A | 37888] 	I:\JSTART.exe
[13/11/2008 - 12:30:24 | A | 319488] 	I:\setup.exe
[07/11/2008 - 14:56:34 | A | 42678] 	I:\wdinstaller.xml
[25/11/2008 - 11:03:44 | A | 2325721] 	I:\WDSetup.exe
[06/07/2009 - 21:32:36 | AH | 6148] 	I:\.DS_Store
[31/01/2009 - 21:09:34 | D ] 	I:\WD_Windows_Tools
[31/01/2009 - 21:10:44 | D ] 	I:\Documentation
[31/01/2009 - 21:11:10 | D ] 	I:\autorun
[26/10/2009 - 16:27:44 | RD ] 	I:\Music
[06/06/2009 - 16:37:44 | A | 135] 	I:\wdinstaller.log
[06/06/2009 - 16:28:28 | D ] 	I:\WD Sync Data
[06/06/2009 - 16:28:28 | SHD ] 	I:\System Volume Information
[06/06/2009 - 16:29:50 | A | 3827785] 	I:\WDSync.zip
[25/02/2008 - 10:30:42 | RASH | 54] 	I:\autorun.in_2.org
[13/02/2008 - 11:46:48 | A | 4523520] 	I:\WDSync_v7_1_020.exe
[30/10/2009 - 19:55:20 | SHD ] 	I:\FOUND.000
[20/01/2010 - 18:48:34 | SHD ] 	I:\FOUND.001
[06/06/2009 - 16:37:56 | A | 61] 	I:\Install.log
[06/06/2009 - 16:43:16 | D ] 	I:\Mes sauvegardes
[06/06/2009 - 16:53:04 | SHD ] 	I:\Recycled
[01/02/2010 - 02:47:34 | D ] 	I:\8ea0c2a5008ac709a4c5a6a72da194
[14/06/2010 - 22:28:10 | SHD ] 	I:\FOUND.002
[01/02/2010 - 02:40:00 | D ] 	I:\ac7fbf323084d3688906287fa0
[16/06/2010 - 20:29:10 | RASHD ] 	I:\Autorun.inf

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-ASSIA.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |



Voila le rapport... Par contre je ne sais pas si c'est normal, mais lorsque j'ai entamé la suppression, mon bureau a disparu, mais mon ordi ne s'est pas éteind.

gen-hackman · Answer

redemarre en mode sans echec , et fais l option 4 d'usbfix

Maariyah · Answer

C'est fait ! Mais bon, ça ne change rien au processus inactif du système qui est toujours très bas =(
Un autre conseil ? =)

gen-hackman · Answer

je peux avoir le rapport ?

Maariyah · Answer

EUh... Je n'ai pas eu de rapport. Juste des fenêtres à la fin me disant que mes différents disques (C:, D: et I:) avaient été vaccinés...

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus. 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse.

Maariyah · Answer

OK, merci. Je reviens dès que j'ai fait tout ça

gen-hackman · Answer

ok :)

Maariyah · Answer

Ca a pris un peu de temps, mais voila le rapport : 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijHxT0LWk.txt

swoog42 · Answer

Quels sont les processus qui ont le plus gros pourcentage ?

Maariyah · Answer

Il ya PowerSuite (environ 35%), mon dégragmenteur (ça oscille entre 15 et 50%) et surtout le processus inactif du systeme qui est super bas (donc me bouffe tout)...

swoog42 · Answer

PowerSuite, t'en a pas besoin : ne le demarre pas.
Le défragmenteur prend beaucoup de mémoire. Exécute le la nuit, et arrète le dès que c'est fini.
Une fois ces 2 processus arrétés, quelle est la situation ?

Maariyah · Answer

Ah oui effectivement c'est beaucoup mieux! 
Par contre, un question, mais mon défragmenteur je ne peux pas le laisser tourner la nuit alors que mon pc est éteint n'est-ce pas?... Il faudrait que je le lance à chaque fois le soir, et ne pas éteindre le pc ? C'est pas très pratique même si je programme l'heure à laquelle il doit se lancer -_-'

swoog42 · Answer

tu as raison, mais le défragmenteur, tu peux le passer 1 fois par mois ^^

Maariyah · Answer

Wéx, je vais faire ça alors ^^
Merci en tout cas pour vos réponses à vous deux, c'est vraiment sympa ;)

swoog42 · Answer

pas de soucis ^^

gen-hackman · Answer

bonjour

il faut arreter de dire n'importe quoi swoog42 tu la laisses repartir avec un pc infecté !

Maariah , tu es infectée ne suis que mes conseils stp

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Maariyah · Answer

Oui, j'allais demander ce qu'avait donné le rapport que je vous avait envoyé hier... =)
Je vais nettoyer, et je reviens poster le rapport ;)

gen-hackman · Answer

quelques infections :)

Maariyah · Answer

Voici le rapport :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.1.1 ¤¤¤¤¤¤¤¤¤¤

User : assia (Administrateurs)
Update on 16/06/2010 by g3n-h@ckm@n ::::: 23.00
Start at: 13:00:16 | 17/06/2010

Intel(R) Pentium(R) M processor 1.70GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886625 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 25,75 Go (1,75 Go free) [ACER] | NTFS
D:\ -> Disque fixe local | 26,24 Go (25,11 Go free) [ACERDATA] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
I:\ -> Disque fixe local | 232,83 Go (47,69 Go free) [My Passport] | FAT32

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe----428 Ko
C:\WINDOWS\system32\csrss.exe----4220 Ko
C:\WINDOWS\system32\winlogon.exe----4300 Ko
C:\WINDOWS\system32\services.exe----3892 Ko
C:\WINDOWS\system32\lsass.exe----6460 Ko
C:\WINDOWS\system32\svchost.exe----5072 Ko
C:\WINDOWS\system32\svchost.exe----4732 Ko
C:\WINDOWS\System32\svchost.exe----21832 Ko
C:\WINDOWS\system32\svchost.exe----3540 Ko
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe----7688 Ko
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe----5580 Ko
C:\WINDOWS\system32\svchost.exe----3144 Ko
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe----1492 Ko
C:\WINDOWS\Explorer.EXE----9364 Ko
C:\WINDOWS\system32\cmd.exe----1980 Ko
C:\WINDOWS\system32\spoolsv.exe----5496 Ko
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe----2824 Ko
C:\Acer\Empowering Technology\admServ.exe----8072 Ko
C:\Program Files\Google\Update\GoogleUpdate.exe----6164 Ko
C:\Program Files\Bonjour\mDNSResponder.exe----3900 Ko
C:\WINDOWS\system32\svchost.exe----3424 Ko
C:\WINDOWS\system32\drivers\CDAC11BA.EXE----1380 Ko
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe----7580 Ko
C:\WINDOWS\system32\dllhost.exe----6444 Ko
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe----1440 Ko
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe----6836 Ko
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe----18168 Ko
C:\WINDOWS\system32\imapi.exe----3356 Ko
C:\Program Files\Google\Update\GoogleUpdate.exe----6160 Ko
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE----3036 Ko
C:\Program Files\Microsoft LifeCam\MSCamS32.exe----2704 Ko
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe----3136 Ko
C:\Program Files\CyberLink\Shared Files\RichVideo.exe----3024 Ko
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe----6628 Ko
C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe----5188 Ko
C:\WINDOWS\system32\UAService.exe----972 Ko
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe----4060 Ko
C:\Program Files\TeamViewer\Version5\TeamViewer.exe----14520 Ko
C:\WINDOWS\system32\wuauclt.exe----6908 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe----8536 Ko
C:\WINDOWS\System32\alg.exe----3732 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE----3596 Ko
C:\Program Files\List_Kill'em\pv.exe----2912 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache
Quarantined & Deleted !! : C:\Program Files\Ask.com
Quarantined & Deleted !! : C:\Program Files\WindowsUpdate
Quarantined & Deleted !! : C:\Program Files\WinPCap
Quarantined & Deleted !! : C:\WINDOWS\003100_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET29.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET2C.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET38.tmp

Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\Packet.dll
Quarantined & Deleted !! : C:\WINDOWS\System32\SET49.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET4E.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET55.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET62.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET9C.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SETD4.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\WanPacket.dll
Quarantined & Deleted !! : C:\Documents and Settings\assia\Local Settings\Temporary Internet Files\SuggestedSites.dat
Deleted !! : C:\RECYCLER\S-1-5-21-3323492001-586419034-2091241410-1006\Dc1.lnk
Deleted !! : C:\RECYCLED\Dc1.lnk

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Run : rkfree
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {D4027C7F-154A-4066-A1AD-4243D8127440}
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : HKLM\Software\Classes\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}
Deleted : HKLM\Software\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
Deleted : HKLM\SOFTWARE\Microsoft\Windows
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\NPF
Deleted : HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_NPF
Deleted : HKLM\SYSTEM\ControlSet004\Services\NPF
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe >>UNKNOWN [0x831D58C0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x831d58c0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Par contre j'ai vraiment de gros soucis là, parce que depuis que j'ai nettoyé mon menu Démarrer a complètement changé et il me manque pleins de programmes, etc... même l'apparence de mon bureau n'est plus la même (ajout de l'icône Poste de Travail, Connexions réseaux, et ma Corbeille a disparu... )
Et en bas à droite de mon écran, plus d'accès ni aux icônes de connexions, ni Avast, ni le gestionnaire de taches!
Bref, pleins de mes programmes ont été désinstallés !!!! =(

gen-hackman · Answer

effectivement nous avons un probleme quelque chose qui n aurait pas du etre supprimé l'a été

il faut que tu fasses une restauration systeme

Maariyah · Answer

Ok, mais comment faire ? Parce que normalement, on devrait faire comme suit : 

# Ouvrez une session Windows en tant qu'administrateur.
# Cliquez sur Démarrer, pointez sur Tous les programmes, Accessoires, Outils système, puis cliquez sur Restauration du système. La Restauration du système démarre.

Or dans mon menu Démarrer\Accessoires\Outils systèmes, il n'y a que Internet Explorer.

gen-hackman · Answer

ok je te prepare un lanceur

Maariyah · Answer

Ok

gen-hackman · Answer

execute ceci :

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/sr.bat

Maariyah · Answer

C'est normal que rien ne se passe dans l'invite de commande ? Il y a juste affiché
C:\Documents and settings\assia\Mozilla

gen-hackman · Answer

tu l'execuute directement d'internet ?

il faut que tu l enregisrtes d'abord sur ton bureau

Maariyah · Answer

Non, c'est bien ce que j'ai fait... Je l'ai enregistré sur le bureau...

gen-hackman · Answer

bon ok va jusqu'à C:\Kill'em\Save\ERDNT.exe et lance-le puis restaure le registre 
?G3?-?@¢??@?(TM)©®?

Maariyah · Answer

C'est ok, tout est redevenu comme avant ;)

Maariyah · Answer

Mais je suppose que du coup le nettoyage a été restauré lui aussi... donc annulé -_-'

gen-hackman · Answer

non ca a ete restauré juste avant le nettoyage de list_kill'em 

j'avais fait une erreur de programmation et tu l'as telechargé au moment ou je m'en suis rendu compte

desinstalle-le , supprime C:\ Kill'em , retelecharge-le et refais l'option clean et on se retrouvera avec le nettoyage effectué

Maariyah · Answer

Ok =)
Je le réinstalle depuis le lien dans les anciens message ?

gen-hackman · Answer

oui oui il n a pas changé

Maariyah · Answer

Ok, je re après ;)

gen-hackman · Answer

ok :)

Maariyah · Answer

Le rapport : ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.1.1 ¤¤¤¤¤¤¤¤¤¤ User : assia (Administrateurs) Update on 17/06/2010 by g3n-h@ckm@n ::::: 09.40 Start at: 15:13:37 | 17/06/2010 Intel(R) Pentium(R) M processor 1.70GHz Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 8.0.6001.18702 Windows Firewall Status : Enabled AV : avast! Antivirus 5.0.83886625 [ (!) Disabled | Updated ] C:\ -> Disque fixe local | 25,75 Go (1,49 Go free) [ACER] | NTFS D:\ -> Disque fixe local | 26,24 Go (25,11 Go free) [ACERDATA] | NTFS E:\ -> Disque CD-ROM F:\ -> Disque CD-ROM I:\ -> Disque fixe local | 232,83 Go (47,69 Go free) [My Passport] | FAT32 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko) C:\WINDOWS\System32\smss.exe----420 Ko C:\WINDOWS\system32\csrss.exe----4200 Ko C:\WINDOWS\system32\winlogon.exe----3040 Ko C:\WINDOWS\system32\services.exe----3840 Ko C:\WINDOWS\system32\lsass.exe----6416 Ko C:\WINDOWS\system32\svchost.exe----5052 Ko C:\WINDOWS\system32\svchost.exe----4676 Ko C:\WINDOWS\System32\svchost.exe----22436 Ko C:\WINDOWS\system32\svchost.exe----3540 Ko C:\Program Files\Intel\Wireless\Bin\EvtEng.exe----7716 Ko C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe----5908 Ko C:\WINDOWS\system32\svchost.exe----3732 Ko C:\Program Files\Alwil Software\Avast5\AvastSvc.exe----2112 Ko C:\WINDOWS\system32\spoolsv.exe----5444 Ko C:\Program Files\Alwil Software\Avast5\setup\avast.setup----7504 Ko C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe----3408 Ko C:\Acer\Empowering Technology\admServ.exe----8136 Ko C:\Program Files\Bonjour\mDNSResponder.exe----3916 Ko C:\WINDOWS\system32\svchost.exe----3424 Ko C:\WINDOWS\system32\drivers\CDAC11BA.EXE----1380 Ko C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe----7752 Ko C:\WINDOWS\system32\dllhost.exe----6384 Ko C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe----1440 Ko C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe----6840 Ko C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe----18832 Ko C:\WINDOWS\system32\imapi.exe----3356 Ko C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE----3068 Ko C:\Program Files\Microsoft LifeCam\MSCamS32.exe----2704 Ko C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe----3144 Ko C:\Program Files\CyberLink\Shared Files\RichVideo.exe----3076 Ko C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe----6612 Ko C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe----5224 Ko C:\WINDOWS\system32\UAService.exe----972 Ko C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe----4072 Ko C:\Program Files\TeamViewer\Version5\TeamViewer.exe----13724 Ko C:\WINDOWS\system32\WgaTray.exe----10412 Ko C:\WINDOWS\Explorer.EXE----10372 Ko c:\Program Files\Real\RealUpgrade\realupgrade.exe----4888 Ko C:\WINDOWS\system32\wuauclt.exe----6920 Ko C:\WINDOWS\system32\cmd.exe----2000 Ko C:\WINDOWS\system32\wbem\wmiprvse.exe----8248 Ko C:\WINDOWS\System32\alg.exe----3736 Ko C:\Program Files\List_Kill'em\ERUNT.EXE----3360 Ko C:\Program Files\List_Kill'em\pv.exe----2904 Ko ¤¤¤¤¤¤¤¤¤¤ Files/folders : Quarantined & Deleted !! : C:\Documents and Settings\assia\Local Settings\Temporary Internet Files\SuggestedSites.dat Deleted !! : C:\RECYCLER\S-1-5-21-3323492001-586419034-2091241410-1006\Dc2.lnk Deleted !! : C:\RECYCLER\S-1-5-21-3323492001-586419034-2091241410-1006\Dc3.txt Deleted !! : C:\RECYCLER\S-1-5-21-3323492001-586419034-2091241410-1006\Dc4.exe ======= Hosts : ======= 127.0.0.1 localhost ======== Registry ======== Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Run : rkfree Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383} Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {D4027C7F-154A-4066-A1AD-4243D8127440} Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe" Deleted : HKLM\Software\Classes\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF} Deleted : HKLM\Software\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945} Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF Deleted : HKLM\SYSTEM\CurrentControlSet\Services\NPF Deleted : HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_NPF Deleted : HKLM\SYSTEM\ControlSet004\Services\NPF ================= Internet Explorer ================= [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Local Page REG_SZ C:\WINDOWS\system32\blank.htm Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.google.com/?gws_rd=ssl Local Page REG_SZ C:\WINDOWS\system32\blank.htm Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch =============== Security Center =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] FirstRunDisabled REG_DWORD 1 (0x1) AntiVirusDisableNotify REG_DWORD 0 (0x0) FirewallDisableNotify REG_DWORD 0 (0x0) UpdatesDisableNotify REG_DWORD 0 (0x0) AntiVirusOverride REG_DWORD 1 (0x1) FirewallOverride REG_DWORD 1 (0x1) ======== Services ========= Ndisuio : Start = 3 EapHost : Start = 2 Ip6Fw : Start = 2 SharedAccess : Start = 2 wuauserv : Start = 2 wscsvc : Start = 2 ============ Disk Cleaned anti-ver blaster : OK Prefetch cleaned ================ Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe >>UNKNOWN [0x831D58C0]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> 0x831d58c0 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

y'a un mieux lol :)

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

Maariyah · Answer

Il n'y a pas de ligne rouge affichée... Ca voudrait dire que je ne suis pas infectée par un rootkit ou bien? Dois-je quand même faire le scan ?

gen-hackman · Answer

oui et me remettre le rapport :)

Maariyah · Answer

Ok, ben j'attend parce que je l'avais déjà lancé (au cas où...) mais c'est un peu long, donc je reviens le poster dès que c'est ok ;)

gen-hackman · Answer

yes ;)

Maariyah · Answer

Voila le rapport, et désolée pour le retard... 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijymrAdk2.txt

gen-hackman · Answer

Télécharge SF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre "cmd" va s'ouvrir .

*Tape Disk.sys dans cette fenêtre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

Maariyah · Answer

Voila : http://www.cijoint.fr/cjlink.php?file=cj201006/cijA3uVtx1.txt

gen-hackman · Answer

bonjour :

ouvre l'explorateur Windows, cherche c:\WINDOWS\ServicePackFiles\i386\disk.sys

clic droit et Copier

mets toi dans C:\ et clic droit et Coller.

Clix droit sur le nouveau fichier et Renommer.

Tu l'appelles truc.bak

Tu ignores l'alerte.

===

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to move:
c:	ruc.bak | c:\WINDOWS\system32\drivers\disk.sys

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Maariyah · Answer

Bonjour! 

Le rapport pour Avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:	ruc.bak|c:\WINDOWS\system32\drivers\disk.sys" completed successfully.

Completed script processing.

*******************

Finished!  Terminate.


Ca a l'air d'aller apparemment... non?

gen-hackman · Answer

nickel ;)


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Maariyah · Answer

Ok, merci, je vais faire ça ;) 
EUh, encore une question, est-ce que je peux désinstaller les autres logiciels (List Kill'em, Gmer, Seaf, etc...) ?

gen-hackman · Answer

c'est prevu on s'occupe de tout une fois la desinfection terminée , je t'accompagne jusqu'au bout :)

Maariyah · Answer

Ok =)

gen-hackman · Answer

à te lire :)

Maariyah · Answer

C'est terminé : 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4211

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/06/2010 15:34:36
mbam-log-2010-06-18 (15-34-36).txt

Type d'examen: Examen complet (C:\|D:\|I:\|)
Elément(s) analysé(s): 236728
Temps écoulé: 1 heure(s), 38 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP983\A0323592.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP983\A0323597.exe (Trojan.Zapchast) -> Quarantined and deleted successfully.
C:\Program Files\RKFree\rkfree.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.
I:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP961\A0312468.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.



Par contre j'ai eu ce message d'erreur au redémarrage : http://www.cijoint.fr/cjlink.php?file=cj201006/cijhfY762U.jpg
J'ai redémarré, et Windows s'est relancé normalement par la suite.

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

Maariyah · Answer

J'ai fini le scan avec Gmer, mais je n'ai aucune ligne rouge qui apparait....

Maariyah · Answer

Et voila le rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/cijN8mDpd8.txt

gen-hackman · Answer

ok 

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Command Lines

un document texte va s'ouvrir à l'apparition de : Text Please

&#9654copie/colle le texte en gras ci-dessous :

mbr -f
mbr -t >> q.txt
notepad q.txt
del /f /q q.txt



ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil 

à la fin un rapport s'ouvre ,

&#9654 poste le resultat

Maariyah · Answer

Ok ;)

Maariyah · Answer

Ah! Ben ça a été rapide ^^ Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe >>UNKNOWN [0x831D58C0]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> 0x831d58c0 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection !

gen-hackman · Answer

bon on va faire autrement sinon on va pas s'en sortir : /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Maariyah · Answer

Ok, je vais faire ça ;)
Désolée mon pc donne du fil à retordre apparemment lol.

gen-hackman · Answer

lol :)

Maariyah · Answer

Et voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/cijMMDGZQP.txt

=)

gen-hackman · Answer

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Coche Afficher les fichiers et dossiers cachés * - Décoche Masquer les extensions des fichiers dont le type est connu * - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important Fais analyser le(s) fichier(s) suivants sur Virustotal : Virus Total * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers : c:\documents and settings\assia\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe c:\Documents and Settings\assia\Application Data\Dropbox\bin\Dropbox.exe * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté * Une nouvelle fenêtre de ton navigateur va apparaître * Clique alors sur les deux fleches * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier * Enfin colle le résultat dans ta prochaine réponse. Note : Pour analyser un autre fichier, clique en bas sur Autre fichier. ensuite : __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: MBR:: Folder:: C:\Temp c:\windows\system32\%programfiles% c:\windows\system32\%commonprogramfiles% c:\program files\RKFree Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"=- "MSPY2002"=- "PHIME2002ASync"=- "PHIME2002A"=- "iTunesHelper"=- ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Maariyah · Answer

Euh désolée, mais il me semble que le lien pour VirusTotal ne marche pas...

gen-hackman · Answer

oui apparemment le site doit etre en refaction

fais la suite on y reviendra plus tard

Maariyah · Answer

Ok

gen-hackman · Answer

à te lire :)

Maariyah · Answer

Désolée j'ai un peu tardé, voici le rapport de ComboFix : 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijPsJ2YZM.txt

Maariyah · Answer

Je vais faire le scan avec VirusTotal, le site est revenu ^^

Maariyah · Answer

Rapport pour : c:\documents and settings\assia\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe Fichier _585b207a.exe reçu le 2010.06.01 16:01:47 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 5.0.0.26 2010.06.01 - AhnLab-V3 2010.06.01.01 2010.06.01 - AntiVir 8.2.1.242 2010.06.01 - Antiy-AVL 2.0.3.7 2010.06.01 - Authentium 5.2.0.5 2010.06.01 - Avast 4.8.1351.0 2010.06.01 - Avast5 5.0.332.0 2010.06.01 - AVG 9.0.0.787 2010.06.01 - BitDefender 7.2 2010.06.01 - CAT-QuickHeal 10.00 2010.06.01 - ClamAV 0.96.0.3-git 2010.06.01 - Comodo 4977 2010.06.01 - DrWeb 5.0.2.03300 2010.06.01 - eSafe 7.0.17.0 2010.06.01 - eTrust-Vet 35.2.7523 2010.06.01 - F-Prot 4.6.0.103 2010.06.01 - F-Secure 9.0.15370.0 2010.06.01 - Fortinet 4.1.133.0 2010.06.01 - GData 21 2010.06.01 - Ikarus T3.1.1.84.0 2010.06.01 - Jiangmin 13.0.900 2010.05.31 - Kaspersky 7.0.0.125 2010.06.01 - McAfee 5.400.0.1158 2010.06.01 - McAfee-GW-Edition 2010.1 2010.06.01 - Microsoft 1.5802 2010.06.01 - NOD32 5163 2010.06.01 - Norman 6.04.12 2010.06.01 - nProtect 2010-06-01.02 2010.06.01 - Panda 10.0.2.7 2010.05.31 - PCTools 7.0.3.5 2010.06.01 - Prevx 3.0 2010.06.01 - Rising 22.50.01.03 2010.06.01 - Sophos 4.53.0 2010.06.01 - Sunbelt 6384 2010.06.01 - Symantec 20101.1.0.89 2010.06.01 - TheHacker 6.5.2.0.290 2010.05.31 - TrendMicro 9.120.0.1004 2010.06.01 - TrendMicro-HouseCall 9.120.0.1004 2010.06.01 - VBA32 3.12.12.5 2010.06.01 - ViRobot 2010.6.1.2333 2010.06.01 - VirusBuster 5.0.27.0 2010.06.01 - Information additionnelle File size: 15086 bytes MD5 : 8588d2403599c1e7d1f6c9ea458ceb39 SHA1 : e6c3275b817aa4b13634ee5674f4fd0abbaea548 SHA256: aab60a002d4540250febb4beea2e030e295fa00088e73c346e1ab9b965bc49ad TrID : File type identification
Windows Icon (50.0%)
MPEG Video (37.4%)
MacBinary 2 header (12.5%) ssdeep: 384:zXDk76Y9IC4A8BpWZ5m1aIBYnyB4l/P8DCQembJFVRRAAAAAAAAAAAi:7De6Y9IC4A8765mxuyBuXbQ/bJbRn sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : - RDS : NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 5.0.0.26 2010.06.01 - AhnLab-V3 2010.06.01.01 2010.06.01 - AntiVir 8.2.1.242 2010.06.01 - Antiy-AVL 2.0.3.7 2010.06.01 - Authentium 5.2.0.5 2010.06.01 - Avast 4.8.1351.0 2010.06.01 - Avast5 5.0.332.0 2010.06.01 - AVG 9.0.0.787 2010.06.01 - BitDefender 7.2 2010.06.01 - CAT-QuickHeal 10.00 2010.06.01 - ClamAV 0.96.0.3-git 2010.06.01 - Comodo 4977 2010.06.01 - DrWeb 5.0.2.03300 2010.06.01 - eSafe 7.0.17.0 2010.06.01 - eTrust-Vet 35.2.7523 2010.06.01 - F-Prot 4.6.0.103 2010.06.01 - F-Secure 9.0.15370.0 2010.06.01 - Fortinet 4.1.133.0 2010.06.01 - GData 21 2010.06.01 - Ikarus T3.1.1.84.0 2010.06.01 - Jiangmin 13.0.900 2010.05.31 - Kaspersky 7.0.0.125 2010.06.01 - McAfee 5.400.0.1158 2010.06.01 - McAfee-GW-Edition 2010.1 2010.06.01 - Microsoft 1.5802 2010.06.01 - NOD32 5163 2010.06.01 - Norman 6.04.12 2010.06.01 - nProtect 2010-06-01.02 2010.06.01 - Panda 10.0.2.7 2010.05.31 - PCTools 7.0.3.5 2010.06.01 - Prevx 3.0 2010.06.01 - Rising 22.50.01.03 2010.06.01 - Sophos 4.53.0 2010.06.01 - Sunbelt 6384 2010.06.01 - Symantec 20101.1.0.89 2010.06.01 - TheHacker 6.5.2.0.290 2010.05.31 - TrendMicro 9.120.0.1004 2010.06.01 - TrendMicro-HouseCall 9.120.0.1004 2010.06.01 - VBA32 3.12.12.5 2010.06.01 - ViRobot 2010.6.1.2333 2010.06.01 - VirusBuster 5.0.27.0 2010.06.01 - Information additionnelle File size: 15086 bytes MD5 : 8588d2403599c1e7d1f6c9ea458ceb39 SHA1 : e6c3275b817aa4b13634ee5674f4fd0abbaea548 SHA256: aab60a002d4540250febb4beea2e030e295fa00088e73c346e1ab9b965bc49ad TrID : File type identification
Windows Icon (50.0%)
MPEG Video (37.4%)
MacBinary 2 header (12.5%) ssdeep: 384:zXDk76Y9IC4A8BpWZ5m1aIBYnyB4l/P8DCQembJFVRRAAAAAAAAAAAi:7De6Y9IC4A8765mxuyBuXbQ/bJbRn sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : - RDS : NSRL Reference Data Set
-

gen-hackman · Answer

ok poubelle

fais la suite

Maariyah · Answer

Je ne peux pas scanner le fichier Dropbox.exe, le site me dit qu'il est trop volumineux

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-18166889-processus-inactif-tres-bas?page=4#78

Maariyah · Answer

Heu.... j'ai pas compris pourquoi le lien ?

gen-hackman · Answer

bon je repete  :

ok poubelle

fais la suite

Maariyah · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cijTeLn2TQ.txt

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\system32\drivers\Rtnicxp.sys


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

Maariyah · Answer

Bonjour, voila le rapport du scan : Fichier C38CE17680F1AE88FD65015BA1981200DD5ACFF4.sys reçu le 2010.06.04 21:32:00 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 5.0.0.26 2010.06.04 - AhnLab-V3 2010.06.04.02 2010.06.04 - AntiVir 8.2.2.6 2010.06.04 - Antiy-AVL 2.0.3.7 2010.06.04 - Authentium 5.2.0.5 2010.06.04 - Avast 4.8.1351.0 2010.06.04 - Avast5 5.0.332.0 2010.06.04 - AVG 9.0.0.787 2010.06.04 - BitDefender 7.2 2010.06.04 - CAT-QuickHeal 10.00 2010.06.04 - ClamAV 0.96.0.3-git 2010.06.04 - Comodo 4987 2010.06.04 - DrWeb 5.0.2.03300 2010.06.04 - eSafe 7.0.17.0 2010.06.03 - eTrust-Vet 35.2.7528 2010.06.04 - F-Prot 4.6.0.103 2010.06.04 - F-Secure 9.0.15370.0 2010.06.04 - Fortinet 4.1.133.0 2010.06.04 - GData 21 2010.06.04 - Ikarus T3.1.1.84.0 2010.06.04 - Jiangmin 13.0.900 2010.06.04 - Kaspersky 7.0.0.125 2010.06.04 - McAfee 5.400.0.1158 2010.06.04 - McAfee-GW-Edition 2010.1 2010.06.04 - Microsoft 1.5802 2010.06.04 - NOD32 5173 2010.06.04 - Norman 6.04.12 2010.06.04 - nProtect 2010-06-04.01 2010.06.04 - Panda 10.0.2.7 2010.06.04 - PCTools 7.0.3.5 2010.06.04 - Rising 22.50.04.04 2010.06.04 - Sophos 4.53.0 2010.06.04 - Sunbelt 6406 2010.06.04 - Symantec 20101.1.0.89 2010.06.04 - TheHacker 6.5.2.0.292 2010.06.04 - TrendMicro 9.120.0.1004 2010.06.04 - TrendMicro-HouseCall 9.120.0.1004 2010.06.04 - VBA32 3.12.12.5 2010.06.04 - ViRobot 2010.6.4.2337 2010.06.04 - VirusBuster 5.0.27.0 2010.06.04 - Information additionnelle File size: 130432 bytes MD5 : cf84b1f0e8b14d4120aaf9cf35cbb265 SHA1 : 8bd220a90425071a8a2d3d5750400f6a3d18f55a SHA256: 3f9b0e70dfd96b822a21a3d5e0438dcb3e08ef6a516756ce58cbdb2f52d09604 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1E64B
timedatestamp.....: 0x49C9CF60 (Wed Mar 25 07:29:52 2009)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x1BFF0 0x1C000 6.32 e924dde9bcb53b112550591c61d32992
.rdata 0x1C480 0x869 0x880 4.21 8acb5067ebeed88ce610a0eb51d4276b
.data 0x1CD00 0x1084 0x1100 2.40 86a47c1d5eb7339c9ec226ad887ccff2
PAGE 0x1DE00 0x71F 0x780 5.71 6f14e93dd89da2227c24a251fd5235b7
INIT 0x1E580 0x97C 0x980 5.68 8e47655542c1e6f45f045a4db3af4b46
.rsrc 0x1EF00 0x508 0x580 3.13 cda14146890275d0e9399bf53ed92253
.reloc 0x1F480 0x884 0x900 5.65 9aaa769a6becc4e6dfb83a5c680ba79a

( 3 imports )

> hal.dll: WRITE_PORT_UCHAR, WRITE_PORT_ULONG, READ_PORT_ULONG, READ_PORT_UCHAR, KfAcquireSpinLock, KfReleaseSpinLock, KeStallExecutionProcessor
> ndis.sys: NdisMInitializeScatterGatherDma, NdisAllocateMemoryWithTag, NdisMGetDmaAlignment, NdisSystemProcessorCount, NdisInitializeWrapper, NdisMRegisterMiniport, NdisWaitEvent, NdisFreePacket, NdisAllocatePacket, NdisInitializeEvent, NdisMStartBufferPhysicalMapping, NdisMCompleteBufferPhysicalMapping, NdisMAllocateMapRegisters, NdisMDeregisterAdapterShutdownHandler, NdisAllocatePacketPoolEx, NdisMQueryAdapterResources, NdisGetCurrentProcessorCounts, NdisMInitializeTimer, NdisMRegisterInterrupt, NdisMRegisterIoPortRange, NdisWriteErrorLogEntry, NdisMMapIoSpace, NdisMSetAttributesEx, NdisMRemoveMiniport, NdisCloseConfiguration, NdisReadNetworkAddress, NdisReadConfiguration, NdisOpenConfiguration, NdisWritePciSlotInformation, NdisReadPciSlotInformation, NdisMFreeSharedMemory, NdisAllocateBuffer, NdisMAllocateSharedMemory, NdisAllocateBufferPool, NdisMFreeMapRegisters, NdisFreeMemory, NdisFreePacketPool, NdisFreeBufferPool, NdisMDeregisterIoPortRange, NdisMUnmapIoSpace, NdisMDeregisterInterrupt, NdisSetTimer, NdisMIndicateStatusComplete, NdisMIndicateStatus, NdisSetEvent, NdisMSynchronizeWithInterrupt, NdisMCancelTimer, NdisMDeregisterDevice, NdisMRegisterDevice
> ntoskrnl.exe: KeBugCheckEx, KeTickCount, KeQuerySystemTime, _allrem, ExInitializeNPagedLookasideList, RtlInitUnicodeString, IofCompleteRequest, MmMapLockedPagesSpecifyCache, memcpy, ExDeleteNPagedLookasideList, IoFreeMdl, InterlockedPushEntrySList, InterlockedPopEntrySList, memset, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel

( 0 exports )
TrID : File type identification
Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%) ssdeep: 3072:5n7pDUGeL4m4hVS2bDiK/fm017k77I3BS5cCIoI:5n7GGeF4hVZb7/uKxic sigcheck: publisher....: Realtek Semiconductor Corporation
copyright....: Copyright (C) 2003-2009 Realtek Semiconductor Corporation
product......: Realtek 10/100/1000 NIC Family all in one NDIS Driver
description..: Realtek 10/100/1000 NDIS 5.1 Driver
original name: Rtnicxp.sys
internal name: Rtnicxp.sys
file version.: 5.719.0325.2009 built by: WinDDK
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : - CWSandbox: http://research.sunbelt-software.com/... RDS : NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 5.0.0.26 2010.06.04 - AhnLab-V3 2010.06.04.02 2010.06.04 - AntiVir 8.2.2.6 2010.06.04 - Antiy-AVL 2.0.3.7 2010.06.04 - Authentium 5.2.0.5 2010.06.04 - Avast 4.8.1351.0 2010.06.04 - Avast5 5.0.332.0 2010.06.04 - AVG 9.0.0.787 2010.06.04 - BitDefender 7.2 2010.06.04 - CAT-QuickHeal 10.00 2010.06.04 - ClamAV 0.96.0.3-git 2010.06.04 - Comodo 4987 2010.06.04 - DrWeb 5.0.2.03300 2010.06.04 - eSafe 7.0.17.0 2010.06.03 - eTrust-Vet 35.2.7528 2010.06.04 - F-Prot 4.6.0.103 2010.06.04 - F-Secure 9.0.15370.0 2010.06.04 - Fortinet 4.1.133.0 2010.06.04 - GData 21 2010.06.04 - Ikarus T3.1.1.84.0 2010.06.04 - Jiangmin 13.0.900 2010.06.04 - Kaspersky 7.0.0.125 2010.06.04 - McAfee 5.400.0.1158 2010.06.04 - McAfee-GW-Edition 2010.1 2010.06.04 - Microsoft 1.5802 2010.06.04 - NOD32 5173 2010.06.04 - Norman 6.04.12 2010.06.04 - nProtect 2010-06-04.01 2010.06.04 - Panda 10.0.2.7 2010.06.04 - PCTools 7.0.3.5 2010.06.04 - Rising 22.50.04.04 2010.06.04 - Sophos 4.53.0 2010.06.04 - Sunbelt 6406 2010.06.04 - Symantec 20101.1.0.89 2010.06.04 - TheHacker 6.5.2.0.292 2010.06.04 - TrendMicro 9.120.0.1004 2010.06.04 - TrendMicro-HouseCall 9.120.0.1004 2010.06.04 - VBA32 3.12.12.5 2010.06.04 - ViRobot 2010.6.4.2337 2010.06.04 - VirusBuster 5.0.27.0 2010.06.04 - Information additionnelle File size: 130432 bytes MD5 : cf84b1f0e8b14d4120aaf9cf35cbb265 SHA1 : 8bd220a90425071a8a2d3d5750400f6a3d18f55a SHA256: 3f9b0e70dfd96b822a21a3d5e0438dcb3e08ef6a516756ce58cbdb2f52d09604 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1E64B
timedatestamp.....: 0x49C9CF60 (Wed Mar 25 07:29:52 2009)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x1BFF0 0x1C000 6.32 e924dde9bcb53b112550591c61d32992
.rdata 0x1C480 0x869 0x880 4.21 8acb5067ebeed88ce610a0eb51d4276b
.data 0x1CD00 0x1084 0x1100 2.40 86a47c1d5eb7339c9ec226ad887ccff2
PAGE 0x1DE00 0x71F 0x780 5.71 6f14e93dd89da2227c24a251fd5235b7
INIT 0x1E580 0x97C 0x980 5.68 8e47655542c1e6f45f045a4db3af4b46
.rsrc 0x1EF00 0x508 0x580 3.13 cda14146890275d0e9399bf53ed92253
.reloc 0x1F480 0x884 0x900 5.65 9aaa769a6becc4e6dfb83a5c680ba79a

( 3 imports )

> hal.dll: WRITE_PORT_UCHAR, WRITE_PORT_ULONG, READ_PORT_ULONG, READ_PORT_UCHAR, KfAcquireSpinLock, KfReleaseSpinLock, KeStallExecutionProcessor
> ndis.sys: NdisMInitializeScatterGatherDma, NdisAllocateMemoryWithTag, NdisMGetDmaAlignment, NdisSystemProcessorCount, NdisInitializeWrapper, NdisMRegisterMiniport, NdisWaitEvent, NdisFreePacket, NdisAllocatePacket, NdisInitializeEvent, NdisMStartBufferPhysicalMapping, NdisMCompleteBufferPhysicalMapping, NdisMAllocateMapRegisters, NdisMDeregisterAdapterShutdownHandler, NdisAllocatePacketPoolEx, NdisMQueryAdapterResources, NdisGetCurrentProcessorCounts, NdisMInitializeTimer, NdisMRegisterInterrupt, NdisMRegisterIoPortRange, NdisWriteErrorLogEntry, NdisMMapIoSpace, NdisMSetAttributesEx, NdisMRemoveMiniport, NdisCloseConfiguration, NdisReadNetworkAddress, NdisReadConfiguration, NdisOpenConfiguration, NdisWritePciSlotInformation, NdisReadPciSlotInformation, NdisMFreeSharedMemory, NdisAllocateBuffer, NdisMAllocateSharedMemory, NdisAllocateBufferPool, NdisMFreeMapRegisters, NdisFreeMemory, NdisFreePacketPool, NdisFreeBufferPool, NdisMDeregisterIoPortRange, NdisMUnmapIoSpace, NdisMDeregisterInterrupt, NdisSetTimer, NdisMIndicateStatusComplete, NdisMIndicateStatus, NdisSetEvent, NdisMSynchronizeWithInterrupt, NdisMCancelTimer, NdisMDeregisterDevice, NdisMRegisterDevice
> ntoskrnl.exe: KeBugCheckEx, KeTickCount, KeQuerySystemTime, _allrem, ExInitializeNPagedLookasideList, RtlInitUnicodeString, IofCompleteRequest, MmMapLockedPagesSpecifyCache, memcpy, ExDeleteNPagedLookasideList, IoFreeMdl, InterlockedPushEntrySList, InterlockedPopEntrySList, memset, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel

( 0 exports )
TrID : File type identification
Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%) ssdeep: 3072:5n7pDUGeL4m4hVS2bDiK/fm017k77I3BS5cCIoI:5n7GGeF4hVZb7/uKxic sigcheck: publisher....: Realtek Semiconductor Corporation
copyright....: Copyright (C) 2003-2009 Realtek Semiconductor Corporation
product......: Realtek 10/100/1000 NIC Family all in one NDIS Driver
description..: Realtek 10/100/1000 NDIS 5.1 Driver
original name: Rtnicxp.sys
internal name: Rtnicxp.sys
file version.: 5.719.0325.2009 built by: WinDDK
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : - CWSandbox: http://research.sunbelt-software.com/... RDS : NSRL Reference Data Set
-

gen-hackman · Answer

refais ceci voir .?

https://forums.commentcamarche.net/forum/affich-18166889-processus-inactif-tres-bas?full#63

Maariyah · Answer

Voilà : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe >>UNKNOWN [0x831D58C0]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> 0x831d58c0 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection !

gen-hackman · Answer

redemarre ton pc sur la console de recuperation 

à la question "sur quelle cession de windows .......................?" tape 1 puis entrée

ensuite tape :

fixmbr \device \harddisk0 (le chiffre zéro)

valide , puis tape :

exit

Maariyah · Answer

Je n'arrive pas à démarrer ma console de récupération... 

Lorsque que j'entre dans l'invite de commande : "e:\I386\WINNT32.EXE/CMDCONS" (après avoir inséré le CD d'installation xp dans le lecteur), une boite de dialogue s'ouvre et me dit qu'il ne trouve pas le chemin demandé. 
En fait, l'application Winnt32.exe existe, j'ai vérifié sur le CD, mais c'est la console de récupération (cmdcons) qui pose problème apparemment.

Et si je regarde dans c:\i386\ 
Le fichier winnt32.exe n'existe pas. 

Comment dois-je faire ? =s

gen-hackman · Answer

quand tu demarres tu as le choix entre demarrer windows ou la console de recuperation

c'est là qu il faut la lancer

Maariyah · Answer

Bon, j'ai lancé la console à partir du cd au démarrage, mais quand j'entre : 
fixmbr \device \harddisk0 
 il ya ensuite écrit que la commande n'est pas reconnue... =(

gen-hackman · Answer

ok dans ce cas tape :

fixmbr c:

Maariyah · Answer

ok

Maariyah · Answer

C'est fait =)

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-18166889-processus-inactif-tres-bas?page=5#86

Maariyah · Answer

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe >>UNKNOWN [0x831D58C0]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> 0x831d58c0 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection !

gen-hackman · Answer

alors là !!....

Maariyah · Answer

Désolée =s 
Lol

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: MBR:: TDL:: C:\Windows\System32\Drivers\Disk.sys ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Maariyah · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cijSu7xc63.txt

gen-hackman · Answer

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Maariyah · Answer

Voila! 
http://www.cijoint.fr/cjlink.php?file=cj201006/cij3YzxGuZ.txt

gen-hackman · Answer

&#9654 Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista )

&#9654 fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert "ZHPFix".

&#9654 ZHPFix se lancera, clique maintenant sur le "H" bleu ( coller les lignes helper )

&#9654 copie/colle ce qui se trouve en gras ci-dessous :


MBRFix


&#9654 Clique sur "Ok" , puis "Tous" et enfin "Nettoyer".

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message

Maariyah · Answer

Vraiment désolée pour ce grand retard, mais j'ai eu des soucis avec mon pc, il affichait un message d'erreur au démarrage, et pas moyen non plus d'accéder au mode sans échec... =S
Bref, j'ai formaté mon pc, et là je suis en train de réinstaller un peu mes programmes... 
Du coup, il va beaucoup mieux... ^^
Je voulais avoir quelques conseils sur les logiciels antivirus, etc... à intaller impérativement si possible ? (j'ai Avast, et je compte réinstaller MalwareByte)... 
Merci beaucoup pour les réponses aux messages =), même si finalement, j'ai été obligée de tout reformaté...

gen-hackman · Answer

ok dommage...enfin...

pour ta protection je te suggère de rajouter un parefeu

Maariyah · Answer

Okii... merci... Zone Alarm c'est bien non? =)

gen-hackman · Answer

bonjour

il faut bien le configurer mais il serait effectivement pas mal :)

Processus inactif très bas - Page 2

Discussions similaires

Newsletters