Virus help

Résolu/Fermé
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 - Modifié par canto84 le 13/07/2010 à 19:53
 Utilisateur anonyme - 16 juil. 2010 à 23:01
Bonjour, avast5 a detecté un logiciel malveillant( rootkit , virus ) en clicant sur une page web ,je ne trouve rien dans zone quarantaine , et pourtant avast5 m annonce une page web infecté et une menace detecté , je ne suis pas un as de linformatique ,j ai besoin de mon ordi , merci pour votre aide



A voir également:

30 réponses

Utilisateur anonyme
13 juil. 2010 à 20:42
Salut

* Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

>> Random's System Information Tool (RSIT) par random/random

* Double-clique sur RSIT.exe afin de lancer RSIT.
* Sous ==> Windows7/ Vista.
* Clic droit sur l'icône RSIT.exe , puis sur Exécuter en tant qu'administrateur dans le menu déroulant,afin de lancer RSIT.
* Clique sur Continue à l'écran Disclaimer.
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
* Poste le contenu de log.txt (<==qui sera affiché) ainsi que de info.txt (<==qui sera réduit dans la Barre des Tâches).
* Héberge les rapports un par un sur ce site,
cijoint.fr
* Copie/colle les liens générés ici

* Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

Pour les rapports
* rends toi sur http://www.cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster



Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
13 juil. 2010 à 21:07
bonjour merci pour votre aide , voici le 1er rapport rsithttp://www.cijoint.fr/cjlink.php?file=cj201007/cij0eOE167.txt
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
13 juil. 2010 à 21:10
voici le 2eme rapport rsithttp://www.cijoint.fr/cjlink.php?file=cj201007/cijrh56Db6.txt .
0
Salut

1)Lances Explorer >>cliques sur >>outils >>options internet
>> page de démarrage >>supprime la ligne
>> https://fr.ask.com/?o=15776&l=dis

regarde aussi dans >>gérer les modules complémentaires >>si ASK présent supprime

autrement rien d alarmant et d apparent dans ton log RSIT


2)tu as Malwarebytes

* Lances--> Malwarebytes (MBAM)
* Fais une mise a jour
* Puis vas dans l'onglet "Recherche", coche >> Exécuter un examen complet
* puis "Rechercher"
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
* S'il t' es demandé de redémarrer, clique sur "oui "
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici

en dernier


3)* Lances CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)


4)* Télécharge ZHPDiag (de Nicolas coolman)

>> ZHPDiag (de Nicolas coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster


Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
13 juil. 2010 à 21:54
jai supprimer ask.com qui etait sur logé dans ma page d acceuil , j envoie malwarebytes et je posterai le rapport dici 40 minutes , merci
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
13 juil. 2010 à 22:41
merci , je lance ccleaner puis je telecharge zhpdiad , voici le rapport malwarebytes Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4310

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

13/07/2010 22:38:00
mbam-log-2010-07-13 (22-38-00).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 236505
Temps écoulé: 46 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
13 juil. 2010 à 23:01
j ai telecharger zhpdiag mais refuse de se lancer .impossible d executé voici ce qui sort ; C /programe file/zhpdiag/zhpdiag .exe . create process a echoué code :740 . l operation demùande une evaluation . merci
0
Utilisateur anonyme
14 juil. 2010 à 04:39
Salut

Ok autant pour moi

fait ce qui suit

1) supprime le ZHPDiag téléchargé

2)* Désactive l'UAC Vista ==>UAC Vista


* Télécharge ZHPDiag (de Nicolas coolman)

>> ZHPDiag (de Nicolas coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Réactive l'UAC

Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster

0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
Modifié par canto84 le 14/07/2010 à 07:28
merci, je posterai le rapportzhpdiag
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
14 juil. 2010 à 07:52
j ai desactivé uac vista pui voici le rapport zhpdiadhttp://www.cijoint.fr/cjlink.php?file=cj201007/cij1JeNB2C.txt .merci
0
Utilisateur anonyme
14 juil. 2010 à 12:52
Salut

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
>>AD-Remover

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

* Double-clique sur l'icône Ad-remover située sur ton Bureau.
* Sur la page, clique sur le bouton « Nettoyer »
* Confirme l'opération
* Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
14 juil. 2010 à 13:10
bonjour , voici le rapport ad-remover ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:59:06 le 14/07/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 2 (X86)
foot@MIK (Compaq-Presario GS337AA-ABF SG3100FR)

============== ACTION(S) ==============


0,Dossier supprimé: C:\Users\foot\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\foot\AppData\Roaming\Mozilla\FireFox\Profiles\cpcc4zkt.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com");
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");
-- Fichier Fermé --


1,Clé supprimée: HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.6 (en-US)] **

-- C:\Users\foot\AppData\Roaming\Mozilla\FireFox\Profiles\cpcc4zkt.default\Prefs.js --
browser.download.dir, C:\\Users\\foot\\Downloads
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp
browser.startup.homepage_override.mstone, rv:1.9.2.6

========================================

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 18 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 14/07/2010 (3007 Octet(s))

Fin à: 13:01:58, 14/07/2010

============== E.O.F ==============
0
Utilisateur anonyme
14 juil. 2010 à 16:18
Re

Ok !!


* Désactive l'UAC Vista </gras> >> l'UAC Vista

* Desactive ton <gras>antivirus le temps de la manip

* Télécharge et installe List&Kill'em de gen-hackman

et enregistre le sur ton bureau

>> List&Kill'em de gen-hackman
* double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
* coche la case "creer une icone sur le bureau"
* une fois terminée , clic sur "terminer" et le programme se lancer seul
* choisis la langue puis choisis l'option >> SEARCH
* laisse travailler l'outil
* à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
* un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.
* Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
* réactive ton antivirus


* Réactive l'UAC
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
14 juil. 2010 à 17:04
merci , voici le rapport list & kill ' em¤¤¤¤¤¤¤¤¤¤ List'em by g3n-h@ckm@n 2.0.1.8 ¤¤¤¤¤¤¤¤¤¤

User : foot (Administrateurs)
Update on 13/07/2010 by g3n-h@ckm@n ::::: 14.00
Start at: 16:31:45 | 14/07/2010

Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18928
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 142,49 Go (1,97 Go free) [COMPAQ] | NTFS
D:\ -> Disque fixe local | 6,56 Go (873,61 Mo free) [FACTORY_IMAGE] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible

Boot: Normal

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\Windows\System32\smss.exe----720 Ko
C:\Windows\system32\csrss.exe----4972 Ko
C:\Windows\system32\wininit.exe----3852 Ko
C:\Windows\system32\csrss.exe----8656 Ko
C:\Windows\system32\services.exe----6568 Ko
C:\Windows\system32\lsass.exe----7580 Ko
C:\Windows\system32\lsm.exe----5048 Ko
C:\Windows\system32\winlogon.exe----5432 Ko
C:\Windows\system32\svchost.exe----5512 Ko
C:\Windows\system32\svchost.exe----5968 Ko
C:\Windows\System32\svchost.exe----40324 Ko
C:\Windows\System32\svchost.exe----11444 Ko
C:\Windows\System32\svchost.exe----47652 Ko
C:\Windows\system32\svchost.exe----26488 Ko
C:\Windows\system32\svchost.exe----4528 Ko
C:\Windows\system32\SLsvc.exe----10132 Ko
C:\Windows\system32\svchost.exe----12516 Ko
C:\Windows\system32\svchost.exe----15548 Ko
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe----38644 Ko
C:\Windows\System32\spoolsv.exe----9488 Ko
C:\Windows\system32\svchost.exe----14920 Ko
C:\Program Files\CDBurnerXP\NMSAccessU.exe----2520 Ko
C:\Windows\system32\svchost.exe----5120 Ko
C:\Windows\system32\svchost.exe----6608 Ko
C:\Windows\System32\svchost.exe----2116 Ko
C:\Windows\system32\SearchIndexer.exe----16012 Ko
C:\Windows\system32\WUDFHost.exe----4872 Ko
C:\Windows\system32\taskeng.exe----5660 Ko
C:\Windows\system32\Dwm.exe----53712 Ko
C:\Windows\system32\taskeng.exe----9684 Ko
C:\Windows\Explorer.EXE----41708 Ko
C:\Program Files\Windows Defender\MSASCui.exe----7884 Ko
C:\hp\support\hpsysdrv.exe----2484 Ko
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe----3344 Ko
C:\WINDOWS\System32\hkcmd.exe----4668 Ko
C:\WINDOWS\System32\igfxpers.exe----3880 Ko
C:\WINDOWS\RtHDVCpl.exe----7828 Ko
C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe----11392 Ko
C:\Program Files\Alwil Software\Avast5\AvastUI.exe----8320 Ko
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe----3484 Ko
C:\Windows\system32\igfxsrvc.exe----4464 Ko
C:\Program Files\Common Files\Real\Update_OB\realsched.exe----284 Ko
C:\Program Files\Windows Sidebar\sidebar.exe----17352 Ko
C:\Windows\System32\mobsync.exe----6360 Ko
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe----3208 Ko
C:\Program Files\Windows Media Player\wmpnscfg.exe----4884 Ko
C:\Program Files\Windows Media Player\wmpnetwk.exe----8280 Ko
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe----10984 Ko
C:\Program Files\Mozilla Firefox\firefox.exe----83000 Ko
C:\Windows\system32\wbem\wmiprvse.exe----8900 Ko
C:\Windows\system32\SearchProtocolHost.exe----8312 Ko
C:\Windows\system32\SearchFilterHost.exe----6748 Ko
C:\Program Files\List_Kill'em\List_Kill'em.exe----8340 Ko
C:\Windows\system32\conime.exe----4104 Ko
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe----8796 Ko
C:\Windows\system32\cmd.exe----2388 Ko
C:\Program Files\List_Kill'em\pv.exe----5692 Ko

============
Keys "Run"
============

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Sidebar = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
WindowsWelcomeCenter = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HPAdvisor = C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe view=DOCKVIEW,SYSTRAY
ccleaner = "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
WMPNSCFG = C:\Program Files\Windows Media Player\WMPNSCFG.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\OsdMaestro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Defender = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
hpsysdrv = c:\hp\support\hpsysdrv.exe
OsdMaestro = "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
IgfxTray = C:\Windows\system32\igfxtray.exe
HotKeysCmds = C:\Windows\system32\hkcmd.exe
Persistence = C:\Windows\system32\igfxpers.exe
RtHDVCpl = RtHDVCpl.exe
HP Health Check Scheduler = c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
<NO NAME> =
avast5 = C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
SunJavaUpdateSched = "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=============
Other Keys
=============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin = 2 (0x2)
ConsentPromptBehaviorUser = 1 (0x1)
EnableInstallerDetection = 1 (0x1)
EnableLUA = 0 (0x0)
EnableSecureUIAPaths = 1 (0x1)
EnableVirtualization = 1 (0x1)
PromptOnSecureDesktop = 1 (0x1)
ValidateAdminCodeSignatures = 0 (0x0)
dontdisplaylastusername = 0 (0x0)
legalnoticecaption =
legalnoticetext =
scforceoption = 0 (0x0)
shutdownwithoutlogon = 1 (0x1)
undockwithoutlogon = 1 (0x1)
FilterAdministratorToken = 0 (0x0)
UacDisableNotify = 0 (0x0)
EnableUIADesktopToggle = 0 (0x0)

===============

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun = 255 (0xff)
NoDriveTypeAutoRun = 255 (0xff)
HonorAutoRunSetting = 0 (0x0)

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
BindDirectlyToPropertySetStorage = 0 (0x0)
NoDriveAutoRun = 255 (0xff)
NoDriveTypeAutoRun = 255 (0xff)
HonorAutoRunSetting = 0 (0x0)

===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS =

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk = 1
Shell = explorer.exe
Userinit = C:\Windows\system32\userinit.exe,
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell = 1 (0x1)
LegalNoticeCaption =
LegalNoticeText =
PowerdownAfterShutdown = 0
ShutdownWithoutLogon = 0
cachedlogonscount = 10
forceunlocklogon = 0 (0x0)
passwordexpirywarning = 14 (0xe)
Background = 0 0 0
DebugServerCommand = no
WinStationsDisabled = 0
DisableCAD = 1 (0x1)
scremoveoption = 0
ShutdownFlags = 39 (0x27)
allocatecdroms = 0

===============

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igfxcui]

===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============

[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3C3901C5-3455-3E0A-A214-0B093A5070A6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

=====
BHO :
=====

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7754D77-8D0F-40C8-AEA7-2325366CF2E0}: DhcpNameServer=192.168.1.1

================
Internet Explorer :
================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr
Local Page = C:\Windows\System32\blank.htm
Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_Page_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr
Local Page = C:\Windows\system32\blank.htm

========
Services
========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x2 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

========
Safemode
========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

=========
Atapi.sys
=========

C:\WINDOWS\System32\drivers\atapi.sys :
[MD5.1f05b78ab91c9075565a9d8a4b880bc4]
[SHA256.737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]

C:\WINDOWS\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys :
[MD5.b35cfcef838382ab6490b321c87edf17]
[SHA256.a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0]

C:\WINDOWS\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys :
[MD5.1f05b78ab91c9075565a9d8a4b880bc4]
[SHA256.737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]

C:\WINDOWS\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys :
[MD5.4f4fcb8b6ea06784fb6d475b7ec7300f]
[SHA256.6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896]

C:\WINDOWS\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys :
[MD5.2d9c903dc76a66813d350a562de40ed9]
[SHA256.82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

C:\WINDOWS\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys :
[MD5.b35cfcef838382ab6490b321c87edf17]
[SHA256.a13985b87b5918d123072c7128e12dc28b0fcfd68383afa6e1da72a25bd781e0]

C:\WINDOWS\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys :
[MD5.e03e8c99d15d0381e02743c36afc7c6f]
[SHA256.8217348674fc4d0c6d567ffc95b14dfd507f47c5a4728c2ba93d72c412e8527b]

C:\WINDOWS\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys :
[MD5.2d9c903dc76a66813d350a562de40ed9]
[SHA256.82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

C:\WINDOWS\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys :
[MD5.1f05b78ab91c9075565a9d8a4b880bc4]
[SHA256.737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP1_32b : 95b858761a00e1d4f81f79a0da019aca
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

=======
Drive :
=======

D'fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C: COMPAQ

Taille du volume = 142 Go
Espace libre = 1.98 Go
tendue d'espace libre la plus grande = 89 Mo
Pourcentage de fragmentation des fichiers = 30 %

Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

Vous devriez d'fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Windows\system32\AbaleZip.dll
Present !! : C:\Windows\system32\AVSredirect.dll
Present !! : C:\Users\foot\AppData\Local\GDIPFONTCACHEV1.DAT
Present !! : C:\Users\foot\AppData\Roaming\inst.exe

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"

FEATURE_BROWSER_EMULATION | svchost :
====================================


============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-14 16:48:37
Windows 6.0.6002 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
kernel: MBR read successfully
user & kernel MBR OK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 16:49:43,08
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
14 juil. 2010 à 17:26
merci , jai le rapport list & kill ' em mais impossible de le poster , quand je le poste il n est pas valider , s affiche pas dans le post
0
Utilisateur anonyme
14 juil. 2010 à 17:28
Re

Sinon Copie/colle le ici
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
14 juil. 2010 à 17:36
voici le rapport list & kill 'em .http://www.cijoint.fr/cjlink.php?file=cj201007/cijsPQEjku.txt
0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
14 juil. 2010 à 19:27
voici le rapport list & kill 'em http://www.cijoint.fr/cjlink.php?file=cj201007/cijsPQEjku.txt
0
Utilisateur anonyme
14 juil. 2010 à 19:32
Re


* Relance List_Kill'em( clic droit "executer en tant qu'administrateur" pour vista/7),avec le raccourci sur ton bureau.
* cette fois-ci :
* choisis l'option >> CLEAN
* ton PC va redemarrer,
* laisse travailler l'outil.
* en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
* colle le contenu dans ta reponse



0
canto84 Messages postés 490 Date d'inscription dimanche 7 février 2010 Statut Membre Dernière intervention 26 février 2017 24
14 juil. 2010 à 20:15
merci voici le rapport clean list & kill 'em :¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.1.8 ¤¤¤¤¤¤¤¤¤¤

User : foot (Administrateurs)
Update on 13/07/2010 by g3n-h@ckm@n ::::: 14.00
Start at: 19:39:55 | 14/07/2010

Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18928
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 142,49 Go (1,97 Go free) [COMPAQ] | NTFS
D:\ -> Disque fixe local | 6,56 Go (873,61 Mo free) [FACTORY_IMAGE] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\Windows\System32\smss.exe----728 Ko
C:\Windows\system32\csrss.exe----4976 Ko
C:\Windows\system32\wininit.exe----3944 Ko
C:\Windows\system32\csrss.exe----10960 Ko
C:\Windows\system32\services.exe----6724 Ko
C:\Windows\system32\lsass.exe----7904 Ko
C:\Windows\system32\lsm.exe----4984 Ko
C:\Windows\system32\winlogon.exe----5552 Ko
C:\Windows\system32\svchost.exe----5456 Ko
C:\Windows\system32\svchost.exe----5744 Ko
C:\Windows\System32\svchost.exe----29216 Ko
C:\Windows\system32\LogonUI.exe----21632 Ko
C:\Windows\System32\svchost.exe----11252 Ko
C:\Windows\System32\svchost.exe----11632 Ko
C:\Windows\system32\svchost.exe----20868 Ko
C:\Windows\system32\svchost.exe----4628 Ko
C:\Windows\system32\SLsvc.exe----11072 Ko
C:\Windows\system32\svchost.exe----11544 Ko
C:\Windows\system32\svchost.exe----12860 Ko
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe----20368 Ko
C:\Windows\System32\spoolsv.exe----9736 Ko
C:\Windows\system32\svchost.exe----10700 Ko
C:\Program Files\Alwil Software\Avast5\setup\avast.setup----9836 Ko
C:\Program Files\CDBurnerXP\NMSAccessU.exe----2544 Ko
C:\Windows\system32\svchost.exe----5160 Ko
C:\Windows\system32\DllHost.exe----0 Ko
C:\Windows\system32\svchost.exe----6640 Ko
C:\Windows\System32\svchost.exe----2152 Ko
C:\Windows\system32\SearchIndexer.exe----6752 Ko
C:\Windows\system32\userinit.exe----3144 Ko
C:\Windows\system32\Dwm.exe----31828 Ko
C:\Windows\system32\taskeng.exe----9124 Ko
C:\Windows\Explorer.EXE----8672 Ko
C:\Windows\system32\taskeng.exe----4140 Ko
C:\Windows\system32\WUDFHost.exe----4920 Ko
C:\Windows\system32\runonce.exe----4520 Ko
C:\Windows\system32\cmd.exe----2576 Ko
C:\Windows\system32\conime.exe----2940 Ko
C:\Windows\system32\wbem\wmiprvse.exe----8500 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE----5452 Ko
C:\Program Files\List_Kill'em\pv.exe----5584 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :


Quarantined & Deleted !! : C:\Windows\system32\AbaleZip.dll
Quarantined & Deleted !! : C:\Windows\system32\AVSredirect.dll
Quarantined & Deleted !! : C:\Users\foot\AppData\Local\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Users\foot\AppData\Roaming\inst.exe

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Utilisateur anonyme
15 juil. 2010 à 07:05
Salut

Poste un nouveau log RSIT

0