Virus: aide svp

Résolu
conidu57 -  
 gen-hackman -
Bonjour,

Je ne parviens pas a me débarasser d'un virus: rootkit gen selon avast et RKIT/Bubnix.AU
selon antivir, détécté sur Windows\systeme32\drivers\uuidjms.sys (qui est actualisé en permance d'après la date de derniere modification.

antivire me dit "contient le modele de detection du rootkit RKIT/Bubnix.AU"

merci de m'aider

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un utilisateur fait face à une détection de rootkit RKIT/Bubnix.AU par Avast et AntiVir sur Windows Vista, avec uuidjms.sys signalé comme constamment mis à jour dans system32/drivers. Des conseils évoquent des mesures sur l’enregistrement pour éviter l’exécution du fichier, en privilégiant l’enregistrement plutôt que son lancement, tandis que Malwarebytes signale et isole le fichier avdrn.dat comme Malware.Trace. Un journal d’outils indique un nettoyage via JavaRa et la suppression de composants Java Web Start et CLSID, montrant que des traces ont été retirées, mais le problème peut persister sans redémarrage. Des éléments indiquent aussi une demande de rapport et l’utilisation d’un pare-feu tiers, ce qui peut influencer le contrôle des communications du système et la détection de comportements suspects.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    bonjour

    sauvegarde ton travail important s'il y a lieu

    ensuite :


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    ________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  2. gen-hackman
     
    inscris-toi sur le site , ca sera plus facile pour toi pour suivre

    il y aura plusieurs étapes , donc il est important d'aller jusqu'au bout sous peine de reinfection immediate
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. conidu57
     
    que veux tu dire par la? "? Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur "

    lorsque je clique sur ton lien je ne crois pas qu'il soit possible de renommer le fichier

    (par mon nom tu veux dire conidu57?)
    0
  5. gen-hackman
     
    si tu peux le renommer à l inregistrement

    il ne faut pas faire executer , mais enregistrer
    0
  6. conidu57 Messages postés 85 Statut Membre
     
    le vois pas '_'
    Telecharge ici : Combofix
    je clique
    vous avez choisi d'ouvrir combofix.exe
    .....
    voiulez vous enregistrer ce fichier?

    je clique enregister le fichier
    telechargemt

    ms pas possibilité de renomer :(
    0
  7. conidu57 Messages postés 85 Statut Membre
     
    il fallait faire clique droit c'est bon
    0
  8. conidu57 Messages postés 85 Statut Membre
     
    j'ai rien en emulation sur ce pc :p
    0
  9. conidu57 Messages postés 85 Statut Membre
     
    ComboFix 10-09-02.03 - Gaétan 03/09/2010 13:32:31.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3000.1751 [GMT 2:00]
    Lancé depuis: c:\users\Gaétan\Desktop\conidu57.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\maple\SHARE\COURSES\ANTON\README.EML

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-03 au 2010-09-03 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-03 11:39 . 2010-09-03 11:39 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-08-17 17:28 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-08-17 17:28 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-08-17 17:28 . 2010-08-17 17:28 -------- d-----w- c:\programdata\Avira
    2010-08-17 17:28 . 2010-08-17 17:28 -------- d-----w- c:\program files\Avira
    2010-08-12 20:06 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-08-12 20:06 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
    2010-08-12 20:06 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
    2010-08-12 20:06 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
    2010-08-12 20:06 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-03 09:02 . 2009-09-12 20:35 -------- d-----w- c:\program files\Alwil Software
    2010-08-19 21:36 . 2008-01-21 08:40 736284 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-19 21:36 . 2008-01-21 08:40 150346 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-13 10:04 . 2008-05-15 22:29 -------- d-----w- c:\programdata\Microsoft Help
    2010-08-13 09:59 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-08-07 20:45 . 2010-07-01 11:37 -------- d-----w- c:\programdata\Messenger Plus!
    2010-08-05 20:20 . 2010-07-01 11:20 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-08-01 19:58 . 2009-01-29 21:38 -------- d-----w- c:\program files\Launch Manager
    2010-08-01 16:13 . 2010-08-01 16:13 -------- d-----w- c:\programdata\Alwil Software
    2010-08-01 16:12 . 2009-09-12 20:47 -------- d-----w- c:\program files\Microsoft
    2010-07-27 00:01 . 2009-01-29 21:45 -------- d-----w- c:\programdata\Corel
    2010-07-27 00:01 . 2009-09-17 16:52 952 --sha-w- c:\programdata\KGyGaAvL.sys
    2010-07-27 00:01 . 2009-09-17 16:52 952 --sha-w- c:\programdata\KGyGaAvL.sys
    2010-06-28 20:57 . 2010-08-01 17:06 38848 ----a-w- c:\windows\avastSS.scr
    2010-06-28 20:57 . 2010-08-01 17:40 165032 ----a-w- c:\windows\system32\asw312D.tmp
    2010-06-28 20:57 . 2010-08-01 17:06 165032 ----a-w- c:\windows\system32\asw4134.tmp
    2010-06-26 06:05 . 2010-08-12 20:07 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-06-26 06:02 . 2010-08-12 20:07 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-06-26 06:02 . 2010-08-12 20:07 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-06-26 04:25 . 2010-08-12 20:07 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2010-06-21 13:37 . 2010-08-12 20:07 2037760 ----a-w- c:\windows\system32\win32k.sys
    2010-06-18 17:31 . 2010-08-12 20:07 36864 ----a-w- c:\windows\system32\rtutils.dll
    2010-06-11 16:16 . 2010-08-12 20:07 274944 ----a-w- c:\windows\system32\schannel.dll
    2010-06-08 17:35 . 2010-08-12 20:07 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-12 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "RtHDVCpl"="RtHDVCpl.exe" [2008-04-28 6111232]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
    "ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-04-23 397312]
    "BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-06 34040]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-25 150040]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-25 170520]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-25 145944]
    "PLFSetI"="c:\windows\PLFSetI.exe" [2007-10-23 200704]
    "LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-09-01 858632]
    "ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe" [2008-09-23 6144]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2007-03-08 02:38 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
    2009-01-29 21:39 24064 ----a-w- c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2009-09-12 22:25 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    2009-09-12 17:36 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):22,0d,1d,21,03,3a,ca,01

    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 135664]
    R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-04 131072]
    R3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-01-29 24064]
    R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-09-03 3347280]
    R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2006-03-27 167808]
    R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
    S2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 16384]
    S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-03-21 24576]
    S2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-06 50424]
    S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
    S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-03-28 210432]
    S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2008-06-29 112128]
    S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-21 81296]
    S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - uuidjlm

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 19:03]

    2010-09-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 19:03]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=0109&m=extensa_7630
    mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=0109&m=extensa_7630
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    FF - ProfilePath - c:\users\Gaétan\AppData\Roaming\Mozilla\Firefox\Profiles\z27psrdw.default\
    FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-eRecoveryService - (no file)

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-03 13:40
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\uuidjlm]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    Heure de fin: 2010-09-03 13:43:44
    ComboFix-quarantined-files.txt 2010-09-03 11:43

    Avant-CF: 76 286 910 464 octets libres
    Après-CF: 76 235 751 424 octets libres

    - - End Of File - - 202122D6889063CCD8447DB9C5405BD8
    0
  10. conidu57 Messages postés 85 Statut Membre
     
    ca fait quoi combofix exactement ( mais en simple qd meme)
    0
  11. conidu57 Messages postés 85 Statut Membre
     
    c'est ca le rootkit?

    HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]

    "ImagePath"="c:\windows\system32\GameMon.des -service"

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\uuidjlm]
    0
  12. gen-hackman
     
    combifix , ca casse la figure aux malwares :)


    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    File::
    c:\programdata\KGyGaAvL.sys
    c:\windows\system32\asw312D.tmp
    c:\windows\system32\asw4134.tmp

    Driver::
    uuidjlm

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  13. conidu57 Messages postés 85 Statut Membre
     
    d'accord merci
    0
  14. conidu57 Messages postés 85 Statut Membre
     
    j'ecris depuis un autre pc

    CFScript s'est deroulé correctemt (a ce que je peux en dire)
    j'ai le log affiché mais qd j'essaie d'aller sur le net (firefox ou explorer)
    on me dit " tentative d'opération non autorisée sur une clé du registre marquée pour supression"

    au redémarage du pc antivir s'est mis lui aussi allumé je sais pas si ca joue ...
    0
  15. gen-hackman
     
    depuis que tu as redemarré le pc tu n'as plus ce message je presume ?
    0
  16. conidu57 Messages postés 85 Statut Membre
     
    c'est bon pour firefox

    ComboFix 10-09-02.03 - Gaétan 03/09/2010 14:59:39.2.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3000.1746 [GMT 2:00]
    Lancé depuis: c:\users\Gaétan\Desktop\conidu57.exe
    Commutateurs utilisés :: c:\users\Gaétan\Desktop\CFScript.txt
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

    FILE ::
    "c:\programdata\KGyGaAvL.sys"
    "c:\windows\system32\asw312D.tmp"
    "c:\windows\system32\asw4134.tmp"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\programdata\KGyGaAvL.sys
    c:\windows\system32\asw312D.tmp
    c:\windows\system32\asw4134.tmp

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_UUIDJLM
    -------\Service_uuidjlm

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-03 au 2010-09-03 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-03 13:05 . 2010-09-03 13:05 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-09-03 11:31 . 2010-09-03 11:43 -------- d-----w- C:\conidu57
    2010-08-17 17:28 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-08-17 17:28 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-08-17 17:28 . 2010-08-17 17:28 -------- d-----w- c:\programdata\Avira
    2010-08-17 17:28 . 2010-08-17 17:28 -------- d-----w- c:\program files\Avira
    2010-08-12 20:06 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-08-12 20:06 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
    2010-08-12 20:06 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
    2010-08-12 20:06 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
    2010-08-12 20:06 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-03 13:06 . 2010-04-06 18:34 741376 ----a-w- c:\windows\system32\drivers\uuidjlm.sys
    2010-09-03 09:02 . 2009-09-12 20:35 -------- d-----w- c:\program files\Alwil Software
    2010-08-19 21:36 . 2008-01-21 08:40 736284 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-19 21:36 . 2008-01-21 08:40 150346 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-13 10:04 . 2008-05-15 22:29 -------- d-----w- c:\programdata\Microsoft Help
    2010-08-13 09:59 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-08-07 20:45 . 2010-07-01 11:37 -------- d-----w- c:\programdata\Messenger Plus!
    2010-08-05 20:20 . 2010-07-01 11:20 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-08-01 19:58 . 2009-01-29 21:38 -------- d-----w- c:\program files\Launch Manager
    2010-08-01 16:13 . 2010-08-01 16:13 -------- d-----w- c:\programdata\Alwil Software
    2010-08-01 16:12 . 2009-09-12 20:47 -------- d-----w- c:\program files\Microsoft
    2010-07-27 00:01 . 2009-01-29 21:45 -------- d-----w- c:\programdata\Corel
    2010-06-28 20:57 . 2010-08-01 17:06 38848 ----a-w- c:\windows\avastSS.scr
    2010-06-26 06:05 . 2010-08-12 20:07 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-06-26 06:02 . 2010-08-12 20:07 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-06-26 06:02 . 2010-08-12 20:07 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-06-26 04:25 . 2010-08-12 20:07 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2010-06-21 13:37 . 2010-08-12 20:07 2037760 ----a-w- c:\windows\system32\win32k.sys
    2010-06-18 17:31 . 2010-08-12 20:07 36864 ----a-w- c:\windows\system32\rtutils.dll
    2010-06-11 16:16 . 2010-08-12 20:07 274944 ----a-w- c:\windows\system32\schannel.dll
    2010-06-08 17:35 . 2010-08-12 20:07 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-12 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "RtHDVCpl"="RtHDVCpl.exe" [2008-04-28 6111232]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
    "ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-04-23 397312]
    "BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-06 34040]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-25 150040]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-25 170520]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-25 145944]
    "PLFSetI"="c:\windows\PLFSetI.exe" [2007-10-23 200704]
    "LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-09-01 858632]
    "ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe" [2008-09-23 6144]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2007-03-08 02:38 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
    2009-01-29 21:39 24064 ----a-w- c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2009-09-12 22:25 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    2009-09-12 17:36 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):22,0d,1d,21,03,3a,ca,01

    R2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 16384]
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 135664]
    R3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-01-29 24064]
    R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-09-03 3347280]
    R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2006-03-27 167808]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
    S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-03-21 24576]
    S2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-06 50424]
    S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-04 131072]
    S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
    S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-03-28 210432]
    S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2008-06-29 112128]
    S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-21 81296]
    S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 19:03]

    2010-09-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 19:03]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=0109&m=extensa_7630
    mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=0109&m=extensa_7630
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    FF - ProfilePath - c:\users\Gaétan\AppData\Roaming\Mozilla\Firefox\Profiles\z27psrdw.default\
    FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-03 15:09
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'Explorer.exe'(3596)
    c:\windows\System32\SysHook.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\WLANExt.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\windows\system32\conime.exe
    c:\windows\RtHDVCpl.exe
    c:\program files\Launch Manager\QtZgAcer.EXE
    c:\windows\system32\igfxsrvc.exe
    c:\windows\system32\igfxext.exe
    c:\users\GATAN~1\AppData\Local\Temp\RtkBtMnt.exe
    c:\program files\Intel\WiFi\bin\EvtEng.exe
    c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\acer\Mobility Center\MobilityService.exe
    c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
    c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
    c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    c:\windows\system32\DRIVERS\xaudio.exe
    c:\program files\Synaptics\SynTP\SynTPHelper.exe
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\windows\system32\wbem\unsecapp.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-09-03 15:13:46 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-09-03 13:13
    ComboFix2.txt 2010-09-03 11:43

    Avant-CF: 76 268 490 752 octets libres
    Après-CF: 75 915 722 752 octets libres

    - - End Of File - - 420478E10DE7ED32ACE5C21094098BDE
    0
  17. gen-hackman
     
    bien un autre avec ceci :

    KillAll::

    Rootkit::
    c:\windows\system32\drivers\uuidjlm.sys


    ¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤¤
    0
  18. conidu57 Messages postés 85 Statut Membre
     
    c'est fait mais le curseur ne bouge plus (j'ai un pad) our le clavier pas de probleme je me souviens avoir eut la meme chose qd j'ai eut le virus

    je redémare je suppose
    0
  • 1
  • 2
  • 3