Ordinateur infecté par un trojan

Résolu
ManRay -  
 ManRay -
Bonsoir,
J'ai chopé une saloperie et ça a mis le bazar dans mon pc.
Je dispose de Windows Vista.
J'ai fait un scan hijack This et voici le rapport :

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:06:15, on 06/09/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Orange\Connexion Internet Orange\Launcher\Launcher.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Orange\MailNotifier\MailNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Orange\Connexion Internet Orange\systray\systrayapp.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\Manu\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qq5.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} - (no file)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\Connexion Internet Orange\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {2787680D-A6FC-4D72-A8EB-47988C8A616D} - C:\Windows\system32\nurwslk.dll (file missing)
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmes\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MailNotifier] C:\Program Files\Orange\MailNotifier\MailNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programmes\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - Startup: OpenOffice.org 3.2.lnk = D:\Utilitaires\Open Office\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: ajouter cette page à vos favoris Orange - C:\Users\Manu\AppData\Local\Temp\cce61A8.html
O8 - Extra context menu item: traduire la page - C:\Users\Manu\AppData\Local\Temp\cce61A6.html
O8 - Extra context menu item: traduire le texte sélectionné - C:\Users\Manu\AppData\Local\Temp\cce61A7.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Service Google Update (gupdate1caec797315f0d8) (gupdate1caec797315f0d8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Kingsoft Antivirus WebShield Service - Kingsoft Corporation - C:\ProgramData\wd\KSWebShield.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: Orange update Core Service - Unknown owner - C:\Program Files\Orange\OrangeUpdate\Service\OUCore.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

--
End of file - 8654 bytes

Merci d'avance de votre aide.

33 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Bonjour

    * Télécharge et installe : Malwarebyte's Anti-Malware
    * (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/)
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats
    * Coche tous les éléments détectés puis clique sur Supprimer la sélection
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer, clique sur Yes
    * Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
    * Si tu as besoin d'aide regarde ce tutorial
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    (Lien édité - fonctionnait pas avec la parenthèse ;-)

    Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
    0
  2. ManRay
     
    Salut, merci de ton aide.
    J'ai fait toutes les manip comme tu m'as dit et voici le rapport :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4554

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18943

    06/09/2010 15:44:51
    mbam-log-2010-09-06 (15-44-51).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 318128
    Temps écoulé: 1 heure(s), 8 minute(s), 35 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://www.qq5.com) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\Manu\Favorites\ÌÔ±¦¹ºÎï.url (Hijack.Trace) -> Quarantined and deleted successfully.
    0
  3. Utilisateur anonyme
     
    * Télécharge ftp://zebulon.fr/ZHPDiag.exe ZHPDiag ( de Nicolas coolman ).
    ou
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html (En bas de page).
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  4. ManRay
     
    Ok voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201009/cijIu6RMMK.txt

    Au passage j'ai refait plusieurs scan rapides avec Malwarebytes et il me retrouve toujours un fichier infecté.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ManRay
     
    Svp est-ce que quelqu'un peut m'aider ?
    0
  7. Utilisateur anonyme
     
    A faire dans l'ordre.

    1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
    2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

    ----------------------------------------------------------
    ServiceStop:Kingsoft Antivirus WebShield Service
    O23 - Service: Kingsoft Antivirus WebShield Service (Kingsoft Antivirus WebShield Service) . (.Kingsoft Corporation - ????.) - C:\ProgramData\wd\KSWebShield.exe
    [HKCU\Software\AppDataLow\Toolbar]
    O42 - Logiciel: Spyware Doctor 8.0 - (.PC Tools.) [HKLM] -- Spyware Doctor
    R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll
    R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll
    O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
    O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
    O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar
    [HKCU\Software\AppDataLow\Software\Conduit]
    [HKLM\Software\Conduit]
    O43 - CFD:Common File Directory ----D- C:\Program Files\Conduit
    OPT: O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    OPT:O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe
    OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Programmes\Adobe Reader\Reader\Reader_sl.exe
    OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    O69 - SBI: SearchScopes [HKCU] {6C08444C-B736-4C01-99A8-4CC9E59A9BC9} - (Google) - http://www.gggdu.com
    MBRFix


    ----------------------------------------------------------
    * Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse
    =======================================================
    0
  8. ManRay
     
    ok voici le rapport :

    Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-06-09-2010-18-23-34.txt
    Run by Manu at 06/09/2010 18:23:34
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O23 - Service: Kingsoft Antivirus WebShield Service (Kingsoft Antivirus WebShield Service) . (.Kingsoft Corporation - ????.) - C:\ProgramData\wd\KSWebShield.exe => Clé absente
    HKCU\Software\AppDataLow\Toolbar => Clé absente
    O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Clé absente
    HKCU\Software\AppDataLow\Software\Conduit => Clé absente
    HKLM\Software\Conduit => Clé absente

    ========== Valeur(s) du Registre ==========
    R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
    R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
    O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
    O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Programmes\Adobe Reader\Reader\Reader_sl.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe => Valeur supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    O69 - SBI: SearchScopes [HKCU] {6C08444C-B736-4C01-99A8-4CC9E59A9BC9} - (Google) - http://www.gggdu.com => Donnée remplacée avec succès

    ========== Dossier(s) ==========
    C:\Program Files\Conduit => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\programdata\wd\kswebshield.exe => Supprimé et mis en quarantaine
    c:\program files\softonic_france\tbsoft.dll => Supprimé et mis en quarantaine

    ========== Logiciel(s) ==========
    O42 - Logiciel: Spyware Doctor 8.0 - (.PC Tools.) [HKLM] -- Spyware Doctor => Logiciel déjà supprimé
    O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar => Logiciel déjà supprimé

    ========== Etat des services ==========
    Kingsoft Antivirus WebShield Service => Service arrêté avec succès

    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x84a1e1f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x84a1e1f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x84a1e1f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x84a1e1f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x84a1e1f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ========== Récapitulatif ==========
    5 : Clé(s) du Registre
    8 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    2 : Fichier(s)
    2 : Logiciel(s)
    1 : Etat des services
    1 :Master Boot Record

    End of the scan
    0
  9. Utilisateur anonyme
     
    ok.

    Le nettoyage a commencé.
    Post un nouveau rapport Zhpdiag.
    0
  10. ManRay
     
    ok voici le lien :
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijeEsNTWs.txt
    0
  11. Utilisateur anonyme
     
    Télécharge BTRK_RunBox Par jeanmimigab sur ton bureau.
    Fais un double-clic dessus pour le lancer.
    Une fenêtre qui s'ouvre, patiente jusqu'au message "Download OK"et appuie sur une touche comme demandé.
    Fais le choix 1 et appuie sur la touche "Entrée".
    poste le contenu du rapport qui s'ouvre et ferme le.
    Pour quitter le programme fais le choix 4 et appuie sur la touche "Entrée".
    0
  12. ManRay
     
    le rapport :

    Bootkit Remover
    (c) 2009 eSage Lab
    www.esagelab.com
    Program version: 1.1.0.0
    OS Version: Microsoft Windows Vista Home Basic Edition Service Pack 2 (build 6002), 32-bit
    System volume is \\.\C:
    \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
    Boot sector MD5 is: 0ec6b2481fc707d1e901dc2a875f2826

    Size Device Name MBR Status
    --------------------------------------------
    465 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

    Done;

    Press any key to quit...
    0
  13. Utilisateur anonyme
     
    * rends toi sur ce site : https://www.virustotal.com/gui/
    ==>Analyse ce fichier:
    ------------------------------------------------------------------------------------------
    C:\Windows\system32\drivers\fwucc.sys

    ------------------------------------------------------------------------------------------
    * Cliquez sur Parcourir... :
    * Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
    * Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
    * Fais un copier/coller du rapport sur le forum.
    0
  14. ManRay
     
    Problème !!!
    Le fichier "fwucc.sys" n'apparaît pas !
    0
  15. Utilisateur anonyme
     
    oops j'ai oublié.

    Cliquer sur l'icône de l'Explorateur

    L'Explorateur s'ouvre. Cliquer sur Organiser, puis sur Options des dossiers et de recherche

    Dans l'onglet Affichage

    1 - cocher la case Afficher les fichiers, dossiers et lecteurs cachés, pour rendre visible les fichiers et dossiers cachés

    2 - décocher la case Masquer les extensions des fichiers dont le type est connu, pour rendre visible toutes les extensions

    3 - décocher la case Masquer les fichiers protégés du système d'exploitation, pour rendre visible les fichiers système protégés

    Cliquer sur Appliquer.

    A présent tu dois trouver ce fichier.

    Profites en pour faire analyser ce second fichier et post les rapports.

    C:\Program Files\PC Tools Security\BDT\FGuard.exe
    --

    Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
    0
  16. ManRay
     
    J'ai fait comme tu m'as dit mais je ne trouve toujours pas le fichier "fwucc.sys"
    Par contre j'ai analysé l'autre :

    File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
    MD5: 5a5d3967788653b73ecc260b6329ac5b
    Date first seen: 2010-08-24 06:19:52 (UTC)
    Date last seen: 2010-09-04 06:03:54 (UTC)
    Detection ratio: 0/43

    What do you wish to do?
    0
    1. Utilisateur anonyme
       
      Comment se comporte ton pc?
      0
    2. ManRay
       
      Bizarrement, par exemple j'ai un jeu qui a disparu et impossible de le retrouver pourtant il semble être encore installé.
      Et puis plein de petit bugs comme l'outil de recherche par exemple
      0
  17. Utilisateur anonyme
     
    je ne pense pas que les bugs proviennent d'une infection.
    Certainement un probléme matériel.

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

    * Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    * Lance Gmer
    * Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    * A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
    * Héberge le rapport Gmer sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  18. ManRay
     
    Le scan ne va pas au bout : "gmer a cessé de fonctionné"
    0
  19. ManRay
     
    Ok j'ai relancé un scan en tant qu'administrateur et ça semble marcher. Je le poste dès qu'il est fini.
    0
  20. ManRay
     
    Voici le lien :
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijSW3iMJZ.txt
    0
  • 1
  • 2