Sujet Précédent Sujet Suivant

Rootkit

Fermé
MystGil - Modifié par MystGil le 22/09/2010 à 19:32
 MystGil - 26 sept. 2010 à 14:26
Bonjour,





j'ai actuellement un virus de type rootkit sur mon PC, cela se manifeste par un ralentissement au démarrage (long écran noir après l'écran Bios et avant le chargement de Windows) que je peux d'ailleurs court-circuiter en ouvrant mon lecteur CD pendant l'écran noir et donc éviter l'attente.
Pour autant je n'arrive pas à m'en débarrasser j'ai effectué divers scan avec spybot, malwarebyte, antivir sans pouvoir détecter quoique ce soit.
J'ai utilisé Combofix, dont le log se trouve à la fin de mon message, quant à Gmer il plante lors du scan et il m'est impossible de rebooter en mode sans echec (redémarrage automatique en mode normal dès l'accès au bureau en mode sans echec).
Je requiers donc votre aide, merci.


ComboFix 10-09-17.04 - Cyril Le Daddy 22/09/2010 18:59:12.6.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3071.1964 [GMT 2:00]
Lancé depuis: c:\users\Cyril Le Daddy\Desktop\CCM.exe
SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-22 au 2010-09-22 ))))))))))))))))))))))))))))))))))))
.

2010-09-22 17:13 . 2010-09-22 17:13 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Local\temp
2010-09-22 17:13 . 2010-09-22 17:13 -------- d-----w- c:\users\ReleaseEngineer.MACROVISION\AppData\Local\temp
2010-09-22 17:13 . 2010-09-22 17:13 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-09-22 17:13 . 2010-09-22 17:13 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-21 18:46 . 2010-09-21 19:13 -------- d-----w- C:\CCM
2010-09-19 12:11 . 2010-09-19 12:47 -------- d-----w- C:\ComboFix
2010-09-18 19:57 . 2010-09-18 19:57 -------- d-----w- c:\programdata\TVU Networks
2010-09-18 13:33 . 2010-09-18 13:33 -------- d-----w- C:\My Music
2010-09-15 17:29 . 2010-04-16 16:46 502272 ----a-w- c:\windows\system32\usp10.dll
2010-09-15 17:29 . 2010-08-17 14:11 128000 ----a-w- c:\windows\system32\spoolsv.exe
2010-09-15 17:29 . 2010-04-05 17:02 317952 ----a-w- c:\windows\system32\MP4SDECD.DLL
2010-09-15 16:10 . 2010-05-27 20:08 739328 ----a-w- c:\windows\system32\inetcomm.dll
2010-09-13 18:34 . 2010-09-13 18:47 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Roaming\DAEMON Tools Lite
2010-09-12 19:09 . 2010-08-30 12:34 1496064 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-09-12 19:09 . 2010-08-30 12:33 43008 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-09-12 19:09 . 2010-08-30 12:33 338944 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-09-12 19:09 . 2010-08-30 12:33 346112 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-22 16:57 . 2008-01-26 14:26 -------- d-----w- c:\programdata\NVIDIA
2010-09-22 16:44 . 2008-01-12 15:03 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-09-22 16:30 . 2010-03-06 16:59 35750 ----a-w- c:\programdata\nvModes.dat
2010-09-22 14:40 . 2009-11-17 19:40 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Roaming\uTorrent
2010-09-21 15:41 . 2007-06-26 21:06 688194 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-21 15:41 . 2007-06-26 21:06 130868 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-18 20:00 . 2007-06-26 11:33 -------- d-----w- c:\program files\Packard Bell
2010-09-18 19:59 . 2008-12-16 19:47 -------- d-----w- c:\program files\VSO
2010-09-18 19:59 . 2008-12-16 19:47 47360 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\pcouffin.sys
2010-09-18 19:59 . 2008-12-16 19:47 47360 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\pcouffin.sys
2010-09-18 19:59 . 2008-12-16 19:47 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Roaming\Vso
2010-09-18 19:57 . 2009-10-20 19:24 -------- d-----w- c:\program files\TVUPlayer
2010-09-17 11:55 . 2007-10-24 08:59 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Roaming\OFFICEOne7
2010-09-15 18:43 . 2007-12-22 18:05 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-15 17:41 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-09-13 15:56 . 2008-01-12 15:03 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-13 11:24 . 2009-01-12 12:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-13 01:23 . 2009-11-17 19:42 -------- d-----w- c:\program files\uTorrent
2010-09-13 01:23 . 2009-03-11 18:49 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-12 19:08 . 2008-01-09 22:35 1356 ----a-w- c:\users\Cyril Le Daddy\AppData\Local\d3d9caps.dat
2010-08-15 11:31 . 2008-03-20 10:43 -------- d-----w- c:\program files\Safari
2010-08-15 11:30 . 2010-08-15 11:30 72488 ----a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.17.8\SetupAdmin.exe
2010-08-15 11:28 . 2010-08-15 11:28 -------- d-----w- c:\program files\iTunes
2010-08-15 11:28 . 2010-08-15 11:28 -------- d-----w- c:\program files\iPod
2010-08-15 11:28 . 2007-12-20 10:51 -------- d-----w- c:\program files\Common Files\Apple
2010-08-15 11:28 . 2007-12-15 17:57 -------- d-----w- c:\programdata\Apple Computer
2010-08-15 11:20 . 2007-12-15 13:44 -------- d-----w- c:\program files\Common Files\Java
2010-08-15 11:19 . 2007-12-15 13:44 -------- d-----w- c:\program files\Java
2010-08-15 11:16 . 2010-08-15 11:16 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-08-15 11:11 . 2007-12-15 12:05 -------- d-----w- c:\program files\Messenger Plus! Live
2010-07-17 03:00 . 2010-04-22 17:04 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-26 06:05 . 2010-08-14 16:06 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-14 16:06 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 06:02 . 2010-08-14 16:06 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 04:25 . 2010-08-14 16:06 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-25 16:15 . 2010-06-25 16:15 71992 ----a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe
2007-06-26 21:12 . 2007-06-26 21:12 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 4390912]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-12-13 198160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Users^Cyril Le Daddy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PyGrenouille.lnk]
path=c:\users\Cyril Le Daddy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PyGrenouille.lnk
backup=c:\windows\pss\PyGrenouille.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-21 13:53 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-01-11 21:18 13679720 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-01-11 21:18 110696 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2010-01-11 21:18 962664 ----a-w- c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
2007-02-21 01:18 366400 ----a-w- c:\program files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 20:16 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 02:27 144784 ----a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-12-13 11:56 198160 ----a-w- c:\program files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-09-15 691696]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-11-05 108289]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe [2010-08-14 188416]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-01-11 240232]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-09-22 c:\windows\Tasks\User_Feed_Synchronization-{901DFF25-4CAB-479D-A209-5DD472E78A24}.job
- c:\windows\system32\msfeedssync.exe [2010-08-14 04:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = http://login.live.com/...
uInternet Settings,ProxyOverride = local
IE: Download with &Shareaza - c:\program files\Shareaza\RazaWebHook32.dll/3000
FF - ProfilePath - c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - component: c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Canal\Canal Widget\VOD\npCpVod.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npShiVa3D.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: c:\program files\TVUPlayer\npTVUAx.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-22 19:13
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85AFDB60]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x8a3b8d24
\Driver\ACPI -> acpi.sys @ 0x80614d68
\Driver\atapi -> 0x8665c5d0
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3483169716-177007014-2927761483-1002\Software\G*e*n*i*e*"!\FM Genie Scout 10]
"GameDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2010\\games"
"ShortlistDir"=""
"ScreenshotsDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2010"
"SaveDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2010\\"
"HistoryDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\FM Genie Scout 10\\History Points"
"LangDB"="c:\\Program Files\\Sports Interactive\\Football Manager 2010\\data\\db\\1000\\lang_db.dat"
"LastSaveGame"=""
"Language"="French"
"LoadLangDB"=dword:00000001
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"GraphStep"=dword:00000000
"SkinName"="Steklo Black"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:0000006f
"UniqueID"="C8-F045-2CF3"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
"Currency"=dword:00000056

[HKEY_USERS\S-1-5-21-3483169716-177007014-2927761483-1002\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
"GameDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2009\\games"
"ShortlistDir"=""
"ScreenshotsDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2009"
"SaveDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2009\\"
"HistoryDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\FM Genie Scout 2009 XE\\History Points"
"LangDB"="c:\\Program Files\\Sports Interactive\\Football Manager 2009\\data\\updates\\update-930\\db\\930\\lang_db.dat"
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000000
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"GraphStep"=dword:00000000
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000067
"UniqueID"="C8-F045-2CF3"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
"Currency"=dword:00000056

[HKEY_USERS\S-1-5-21-3483169716-177007014-2927761483-1002\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:37,be,32,ed,f8,f8,a8,d8,f0,30,05,5a,5d,b1,3c,16,be,03,70,80,d4,58,ce,
59,ba,be,40,c7,9a,14,dc,94,8d,a4,6a,1f,69,a5,1d,e7,a8,dc,e9,8d,60,b4,13,9e,\
"??"=hex:f5,59,c4,30,94,5d,55,e4,82,b6,26,22,f7,08,56,5c

[HKEY_USERS\S-1-5-21-3483169716-177007014-2927761483-1002\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
"datasecu"=hex:3b,5c,6e,6b,f7,ab,f4,fe,84,aa,17,a8,73,80,f5,0c,b1,8c,4e,ab,a6,
69,9e,c5,1c,1e,11,f5,c1,a8,78,70,f0,90,0c,e0,8e,4c,c3,00,0d,e0,cf,3b,92,8a,\
"rkeysecu"=hex:a1,bd,82,d4,2a,b6,1f,ad,d7,4b,cb,a8,2a,c5,3c,f2

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-09-22 19:15:02
ComboFix-quarantined-files.txt 2010-09-22 17:15
ComboFix2.txt 2010-09-21 19:13
ComboFix3.txt 2010-09-19 12:47
ComboFix4.txt 2010-09-15 17:11
ComboFix5.txt 2010-09-22 16:50

Avant-CF: 46 221 983 744 octets libres
Après-CF: 46 189 481 984 octets libres

- - End Of File - - B196FC5A47FD3ACBF88CA9FAC0A2952F
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
22 sept. 2010 à 19:55
Bonjour,

Dans les paramètres du BIOS, pour le boot (démarrage), le disque dur est bien en première position ?
1
Réponse 2 / 21
MystGil
Modifié par MystGil le 22/09/2010 à 20:40
N'utilisant jamais ce menu j'ai plutôt navigué en eaux inconnues.
Dans les paramètres du BIOS je suis allé dans l'onglet "Boot".
Là deux sous menu, Hard disk boot et cd rom boot.
Dans le 1er encore 2 sous section (dont une avec ecrit hitachi machin machin), et dans le second (CD rom boot): first device: mon lecteur CD, second device HDD, third device etc.
Je ne sais pas si je répond vraiment bien à ta question et si tel est le cas désolé d'avance :p
0
Réponse 3 / 21
MystGil
24 sept. 2010 à 18:04
Pour être sûr de ne pas faire n'importe quoi au niveau des réglages du BIOS j'ai remis les réglages par défaut, sans que mon problème soit reglé.
De plus lorsque j'effectue des scans de mon PC pour trouver et éliminer ce fameux rootkit je tombe en crash dumps.
Que faire ?
J'ai de plus en plus envie de reformater carrément.
0
Réponse 4 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
Modifié par moment de grace le 24/09/2010 à 18:11
bonjour

avant de formater

essaie ceci

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:

=> Sous XP : "%userprofile%\Bureau\mbr" -f

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK





CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
0
MystGil
25 sept. 2010 à 13:55
Merci, pour la réponse.
Gmer ne me détecte rien, au contraire de combofix donc bon...j'espère que c'était un faux positif et que mes problèmes sont indépendants d'un virus.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 14:03
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

ensuite

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


pour t'aider sur ci joijnt : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
0
Réponse 6 / 21
MystGil
25 sept. 2010 à 15:34
http://www.cijoint.fr/cjlink.php?file=cj201009/cijqGgaISs.txt
0
Réponse 7 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 15:44
* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe

=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé

puis

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


MBRfix

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
0
Réponse 8 / 21
MystGil
25 sept. 2010 à 15:48
Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre :
Run by Cyril Le Daddy at 25/09/2010 15:47:48
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85B73648]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86636188
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


========== Récapitulatif ==========
1 : Master Boot Record


End of the scan
0
Réponse 9 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 15:51
ok

on va vérifier ton atapi qui semble être celui suspecté comme infecté

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe


double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Executer List_Kill'em"


une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport C:\List'em.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Même opération pour le rapport more.txt qui se trouve sur ton bureau


si soucis avec ci joint. fr

=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html


0
Réponse 10 / 21
MystGil
25 sept. 2010 à 17:19
Pour le moment le programme est toujours sur l'écran blanc, c'est en effet assez long :p
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 17:27
depuis combien de temps tourne t il ?

tu as bien désactiver toutes tes protection, antispyware en tout genre compris

as tu bien fait clic droit "executer en tant qu'administrateur
0
MystGil
Modifié par MystGil le 25/09/2010 à 18:13
Cela faisait une heure environ, j'ai bel et bien désactivé Antivir, le résident spybot, et mon pare-feu ainsi qu'exécuté en tant qu'admin.
J'ai alors relancé le scan depuis maintenant 30 min.
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 18:15
spybot

t'as fait comme ca ?

Désactiver le TeaTimer de Spybot (Merci à Nico et nathandre):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé

Spybot va géner les outils
0
MystGil
25 sept. 2010 à 19:08
Oui, j'ai re-relancé l'outil sans succès pour le moment.
0
Réponse 11 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 19:09
fais le en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
0
MystGil
25 sept. 2010 à 19:33
Je ne peux pas démarrer en mode sans echec, après le chargement, et avant l'arrivée sur le bureau mon PC redémarre immédiatement de façon automatique.
0
Réponse 12 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 19:36
Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

atapi


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

* Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

0
Réponse 13 / 21
MystGil
25 sept. 2010 à 19:42
. ========================= SEAF 1.0.0.8 - C_XX
2.
3. Commencé à: 19:38:15 le 25/09/2010
4.
5. Valeur(s) recherchée(s):
6. atapi
7.
8. (!) --- Calcul du Hash "MD5"
9. (!) --- Informations supplémentaires
10. (!) --- Affichage des ADS
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. Aucun fichier trouvé
16.
17.
18. ====== Entrée(s) du registre ======
19.
20.
21. [HKLM\System\ControlSet001\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
22. ""="IDE ATA/ATAPI controllers"
23.
24. [HKLM\System\ControlSet001\Enum\PCI\VEN_10DE&DEV_03EC&SUBSYS_E1011631&REV_A2\3&2411e6fe&0&30]
25. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
26.
27. [HKLM\System\ControlSet001\Enum\PCIIDE\IDEChannel\4&39e23c68&0&0]
28. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
29.
30. [HKLM\System\ControlSet001\Enum\PCIIDE\IDEChannel\4&39e23c68&0&1]
31. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
32.
33. [HKLM\System\ControlSet002\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
34. ""="IDE ATA/ATAPI controllers"
35.
36. [HKLM\System\ControlSet002\Enum\PCI\VEN_10DE&DEV_03EC&SUBSYS_E1011631&REV_A2\3&2411e6fe&0&30]
37. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
38.
39. [HKLM\System\ControlSet002\Enum\PCIIDE\IDEChannel\4&39e23c68&0&0]
40. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
41.
42. [HKLM\System\ControlSet002\Enum\PCIIDE\IDEChannel\4&39e23c68&0&1]
43. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
44.
45. [HKLM\System\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
46. ""="IDE ATA/ATAPI controllers"
47.
48. [HKLM\System\CurrentControlSet\Enum\PCI\VEN_10DE&DEV_03EC&SUBSYS_E1011631&REV_A2\3&2411e6fe&0&30]
49. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
50.
51. [HKLM\System\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&39e23c68&0&0]
52. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
53.
54. [HKLM\System\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&39e23c68&0&1]
55. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
56.
57. =========================
58.
59. Fin à: 19:41:24 le 25/09/2010 ( E.O.F )
60.
61. =========================
0
Réponse 14 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
Modifié par moment de grace le 25/09/2010 à 19:48
peux tu refaire la même manip mais avec ce texte : atapi.sys


--

CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
0
Réponse 15 / 21
MystGil
25 sept. 2010 à 19:52
1. ========================= SEAF 1.0.0.8 - C_XX
2.
3. Commencé à: 19:49:54 le 25/09/2010
4.
5. Valeur(s) recherchée(s):
6. atapi.sys
7.
8. (!) --- Calcul du Hash "MD5"
9. (!) --- Informations supplémentaires
10. (!) --- Affichage des ADS
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15.
16. "C:\Windows\ERDNT\cache\atapi.sys" [ ----A---- | 20 Ko ]
17. TC: 13/09/2010,20:19:38 | TM: 11/04/2009,08:32:26 | DA: 13/09/2010,20:19:38
18.
19. Hash MD5: 1F05B78AB91C9075565A9D8A4B880BC4
20.
21. CompanyName: Microsoft Corporation
22. ProductName: Microsoft® Windows® Operating System
23. InternalName: atapi.sys
24. OriginalFileName: atapi.sys
25. LegalCopyright: © Microsoft Corporation. All rights reserved.
26. ProductVersion: 6.0.6002.18005
27. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
28.
29. =========================
30.
31.
32. "C:\Windows\System32\drivers\atapi.sys" [ ----A---- | 20 Ko ]
33. TC: 20/10/2009,17:45:48 | TM: 11/04/2009,08:32:26 | DA: 20/10/2009,17:45:48
34.
35. Hash MD5: 1F05B78AB91C9075565A9D8A4B880BC4
36.
37. CompanyName: Microsoft Corporation
38. ProductName: Microsoft® Windows® Operating System
39. InternalName: atapi.sys
40. OriginalFileName: atapi.sys
41. LegalCopyright: © Microsoft Corporation. All rights reserved.
42. ProductVersion: 6.0.6002.18005
43. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
44.
45. =========================
46.
47.
48. "C:\Windows\System32\drivers\iteatapi.sys" [ ----A---- | 36 Ko ]
49. TC: 02/11/2006,09:36:45 | TM: 02/11/2006,11:50:07 | DA: 02/11/2006,12:07:06
50.
51. Hash MD5: BCED60D16156E428F8DF8CF27B0DF150
52.
53. CompanyName: Integrated Technology Express, Inc.
54. ProductName: Microsoft® Windows® Operating System
55. InternalName: IT8211 WIN2000/XP driver v1.3.2.7
56. OriginalFileName: iteatapi.sys
57. LegalCopyright: Copyright (C) Integrated Technology Express, Inc. 2005
58. ProductVersion: 6.0.5492.0
59. FileVersion: v1.3.2.7 (NT.060726-2054)
60.
61. =========================
62.
63.
64. "C:\Windows\System32\DriverStore\FileRepository\iteatapi.inf_431397fb\iteatapi.sys" [ ----A---- | 36 Ko ]
65. TC: 02/11/2006,12:25:06 | TM: 02/11/2006,11:50:07 | DA: 02/11/2006,12:25:06
66.
67. Hash MD5: BCED60D16156E428F8DF8CF27B0DF150
68.
69. CompanyName: Integrated Technology Express, Inc.
70. ProductName: Microsoft® Windows® Operating System
71. InternalName: IT8211 WIN2000/XP driver v1.3.2.7
72. OriginalFileName: iteatapi.sys
73. LegalCopyright: Copyright (C) Integrated Technology Express, Inc. 2005
74. ProductVersion: 6.0.5492.0
75. FileVersion: v1.3.2.7 (NT.060726-2054)
76.
77. =========================
78.
79.
80. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys" [ ----A---- | 22 Ko ]
81. TC: 14/02/2008,04:05:23 | TM: 14/02/2008,04:05:23 | DA: 14/02/2008,04:05:23
82.
83. Hash MD5: B35CFCEF838382AB6490B321C87EDF17
84.
85. CompanyName: Microsoft Corporation
86. ProductName: Microsoft® Windows® Operating System
87. InternalName: atapi.sys
88. OriginalFileName: atapi.sys
89. LegalCopyright: © Microsoft Corporation. All rights reserved.
90. ProductVersion: 6.0.6000.16632
91. FileVersion: 6.0.6000.16632 (vista_gdr.080118-1500)
92.
93. =========================
94.
95.
96. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys" [ ----A---- | 20 Ko ]
97. TC: 20/10/2009,17:45:48 | TM: 11/04/2009,08:32:26 | DA: 20/10/2009,17:45:48
98.
99. Hash MD5: 1F05B78AB91C9075565A9D8A4B880BC4
100.
101. CompanyName: Microsoft Corporation
102. ProductName: Microsoft® Windows® Operating System
103. InternalName: atapi.sys
104. OriginalFileName: atapi.sys
105. LegalCopyright: © Microsoft Corporation. All rights reserved.
106. ProductVersion: 6.0.6002.18005
107. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
108.
109. =========================
110.
111.
112. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys" [ ----A---- | 19 Ko ]
113. TC: 02/11/2006,12:25:06 | TM: 02/11/2006,11:49:36 | DA: 02/11/2006,12:25:06
114.
115. Hash MD5: 4F4FCB8B6EA06784FB6D475B7EC7300F
116.
117. CompanyName: Microsoft Corporation
118. ProductName: Microsoft® Windows® Operating System
119. InternalName: atapi.sys
120. OriginalFileName: atapi.sys
121. LegalCopyright: © Microsoft Corporation. All rights reserved.
122. ProductVersion: 6.0.6000.16386
123. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)
124.
125. =========================
126.
127.
128. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys" [ ----A---- | 22 Ko ]
129. TC: 17/05/2008,04:40:24 | TM: 18/01/2008,23:41:32 | DA: 17/05/2008,04:40:24
130.
131. Hash MD5: 2D9C903DC76A66813D350A562DE40ED9
132.
133. CompanyName: Microsoft Corporation
134. ProductName: Microsoft® Windows® Operating System
135. InternalName: atapi.sys
136. OriginalFileName: atapi.sys
137. LegalCopyright: © Microsoft Corporation. All rights reserved.
138. ProductVersion: 6.0.6001.18000
139. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
140.
141. =========================
142.
143.
144. "C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys" [ ----A---- | 22 Ko ]
145. TC: 14/02/2008,04:05:23 | TM: 14/02/2008,04:05:23 | DA: 14/02/2008,04:05:23
146.
147. Hash MD5: B35CFCEF838382AB6490B321C87EDF17
148.
149. CompanyName: Microsoft Corporation
150. ProductName: Microsoft® Windows® Operating System
151. InternalName: atapi.sys
152. OriginalFileName: atapi.sys
153. LegalCopyright: © Microsoft Corporation. All rights reserved.
154. ProductVersion: 6.0.6000.16632
155. FileVersion: 6.0.6000.16632 (vista_gdr.080118-1500)
156.
157. =========================
158.
159.
160. "C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys" [ ----A---- | 22 Ko ]
161. TC: 14/02/2008,04:05:23 | TM: 14/02/2008,04:05:23 | DA: 14/02/2008,04:05:23
162.
163. Hash MD5: E03E8C99D15D0381E02743C36AFC7C6F
164.
165. CompanyName: Microsoft Corporation
166. ProductName: Microsoft® Windows® Operating System
167. InternalName: atapi.sys
168. OriginalFileName: atapi.sys
169. LegalCopyright: © Microsoft Corporation. All rights reserved.
170. ProductVersion: 6.0.6000.20757
171. FileVersion: 6.0.6000.20757 (vista_ldr.080118-1500)
172.
173. =========================
174.
175.
176. "C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys" [ ----A---- | 22 Ko ]
177. TC: 17/05/2008,04:40:24 | TM: 18/01/2008,23:41:32 | DA: 17/05/2008,04:40:24
178.
179. Hash MD5: 2D9C903DC76A66813D350A562DE40ED9
180.
181. CompanyName: Microsoft Corporation
182. ProductName: Microsoft® Windows® Operating System
183. InternalName: atapi.sys
184. OriginalFileName: atapi.sys
185. LegalCopyright: © Microsoft Corporation. All rights reserved.
186. ProductVersion: 6.0.6001.18000
187. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
188.
189. =========================
190.
191.
192. "C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys" [ ----A---- | 20 Ko ]
193. TC: 20/10/2009,17:45:48 | TM: 11/04/2009,08:32:26 | DA: 20/10/2009,17:45:48
194.
195. Hash MD5: 1F05B78AB91C9075565A9D8A4B880BC4
196.
197. CompanyName: Microsoft Corporation
198. ProductName: Microsoft® Windows® Operating System
199. InternalName: atapi.sys
200. OriginalFileName: atapi.sys
201. LegalCopyright: © Microsoft Corporation. All rights reserved.
202. ProductVersion: 6.0.6002.18005
203. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
204.
205. =========================
206.
207.
208.
209. ====== Entrée(s) du registre ======
210.
211.
212. [HKLM\Software\Microsoft\Windows\CurrentVersion\Diagnostics\Performance\Resolvers]
213. "SystemBinariesList"="win32k.sys:winlogon.exe:EXPLORER.EXE:CSRSS.Exe:dwm.exe:logon.scr:logonui.exe:lsass.exe:lsm.exe:ntkrpamp.exe:ntoskrnl.exe:RUNDLL32.EXE:services.exe:slsvc.exe:smss.exe:spoolsv.exe:svchost.exe:taskeng.exe:WinInit.exe:WISPTIS.EXE:dllhost.exe:dllhst3g.exe:cscript.exe:mmc.exe:msiexec.exe:upnpcont.exe:wscript.exe:WUDFHost.exe:dfsvc.exe:dfsvc.exe:fdbs.exe:ntfsbs.exe:memdiag.exe:NETFXSBS10.exe:applaunch.exe:aspnet_compiler.exe:aspnet_regbrowsers.exe:aspnet_regiis.exe:aspnet_regsql.exe:aspnet_state.exe:aspnet_wp.exe:caspol.exe:csc.exe:CVTRES.EXE:dfsvc.exe:dw20.exe:IEExec.exe:ilasm.exe:InstallUtil.exe:jsc.exe:MSBuild.exe:mscorsvw.exe:ngen.exe:RegAsm.exe::RegSvcs.exe:vbc.exe:TrustedInstaller.exe:Aurora.scr:AutoChk.Exe:AUTOFMT.EXE:CHKDSK.EXE:CHKNTFS.EXE:consent.exe:PnPUnattend.exe:PnPutil.exe:RacAgent.exe:fsquirt.exe:Uninst.exe:updateWmc.exe:wmdc.exe:wmdsync.exe:mofcomp.exe:ScrCons.exe:smi2smir.exe:unsecapp.exe:wbemtest.exe:winmgmt.exe:wmic.exe:bfsvc.exe:Twunk_16.exe:Twunk_32.exe:wuauclt.exe:wsqmcons.exe:sapisvr.exe:WinSAT.exe:p2phost.exe:SearchProtocolHost.exe:WerFault.exe:drvinst.exe:ehshell.exe:UI0Detect.exe:ehtray.exe:HelpPane.exe:mrt.exe:SearchFilterHost.exe:mobsync.exe:Narrator.exe:SLUI.exe:taskmgr.exe:PresentationSettings.exe:vds.exe:sdclt.exe:irftp.exe:DFDWiz.exe:SndVol.exe:makecab.exe:msfeedssync.exe:unregmp2.exe:DeviceProperties.exe:rstrui.exe:MdRes.exe:netsh.exe:printui.exe:mcupdate.exe:4mmdat.sys:61883.sys:ACPI.sys:amdk7.sys:amdk8.sys:ASYNCMAC.SYS:atapi.sys:AVC.SYS:cdfs.sys:cdrom.sys:circlass.sys:cmbatt.sys:crusoe.sys:CSC.Sys:dc21x4vm.sys:disk.sys:dot4.sys:dot4usb.sys:drmkaud.sys:ecache.sys:fdc.sys:floppy.sys:hdaudbus.sys:HDAudio.sys:HIDBTH.SYS:HIDIR.SYS:i8042prt.sys:intelppm.sys:irenum.SYS:IRSIR.SYS:kbdclass.sys:kbdhid.sys:LOOP.SYS:mf.sys:monitor.sys:mouclass.sys:mouhid.sys:msisadrv.sys:msiscsi.sys:NDISWAN.SYS:nsiproxy.sys:ohci1394.sys:pci.sys:pciide.sys:powerfil.sys:processr.sys:rasl2tp.sys:raspppoe.sys:RASPPTP.SYS:RDPCDD.SYS:rfcomm.sys:sbp2port.sys:sdbus.sys:serenum.sys:serial.sys:sermouse.sys:sffdisk.sys:sffp_mmc.sys:smbios.sys:swenum.sys:tdx.sys:termdd.sys:tpm.sys:tunmp.sys:tunnel.sys:umbus.sys:update.sys:usb8023.sys:USBAudio.sys:USBCCGP.SYS:usbcir.sys:USBEHCI.sys:usbhub.sys:USBOHCI.sys:usbprint.sys:USBUHCI.sys:viac7.sys:wacompen.sys:wceusbsh.sys:winusb.sys:ws2ifsl.sys:xnacc.sys"
214.
215. [HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\PnpLockdownFiles]
216. "C:\Windows\system32\DRIVERS\atapi.sys"="1"
217.
218. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c]
219. "f!atapi.sys"="0x610074006100700069002E00730079007300"
220.
221. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b]
222. "f!atapi.sys"="0x610074006100700069002E00730079007300"
223.
224. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c]
225. "f!atapi.sys"="0x610074006100700069002E00730079007300"
226.
227. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8]
228. "f!atapi.sys"="0x610074006100700069002E00730079007300"
229.
230. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\VersionedIndex\6.0.6002.18005_001c11ba\ComponentFamilies\x86_mshdc.inf_31bf3856ad364e35_none_5c2445fc4c02f86e\f256!atapi.sys]
231.
232. [HKLM\System\ControlSet001\Services\atapi]
233. "ImagePath"="system32\drivers\atapi.sys"
234.
235. [HKLM\System\ControlSet001\Services\Eventlog\System\iteatapi]
236. "EventMessageFile"="%SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\iteatapi.sys"
237.
238. [HKLM\System\ControlSet001\Services\iteatapi]
239. "ImagePath"="\SystemRoot\system32\drivers\iteatapi.sys"
240.
241. [HKLM\System\ControlSet002\Services\atapi]
242. "ImagePath"="system32\drivers\atapi.sys"
243.
244. [HKLM\System\ControlSet002\Services\Eventlog\System\iteatapi]
245. "EventMessageFile"="%SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\iteatapi.sys"
246.
247. [HKLM\System\ControlSet002\Services\iteatapi]
248. "ImagePath"="\SystemRoot\system32\drivers\iteatapi.sys"
249.
250. [HKLM\System\CurrentControlSet\Services\atapi]
251. "ImagePath"="system32\drivers\atapi.sys"
252.
253. [HKLM\System\CurrentControlSet\Services\Eventlog\System\iteatapi]
254. "EventMessageFile"="%SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\iteatapi.sys"
255.
256. [HKLM\System\CurrentControlSet\Services\iteatapi]
257. "ImagePath"="\SystemRoot\system32\drivers\iteatapi.sys"
258.
259. =========================
260.
261. Fin à: 19:51:49 le 25/09/2010 ( E.O.F )
262.
263. =========================
0
Réponse 16 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 19:57
l'atapi est bon

il n'y a pas d'erreur à priori

des signes d'infection de ton côté ?
0
Réponse 17 / 21
MystGil
25 sept. 2010 à 20:08
Les signes dépendent des jours en termes de fréquence et d'intensité,
ces derniers temps cela va mieux, mais les principaux sont:
- Long démarrage (comme expliqué plus haut dans le 1er message après l'écran du BIOS un long écran noir durant plusieurs minutes).
- Des bugs du style freeze ou "programme ne repond plus" (par exemple explorer notamment lors de branchement de péripheriques, mozilla etc.).
- Des crashs dumps ou avertissement "possible infection" lors de scan combofix ou gmer (voir 1er message).

S'il n'y a donc finalement pas d'infection me voilà rassuré, et merci beaucoup en tout cas pour le temps consacré, pour rien finalement, c'est vraiment sympa de ta part.
0
Réponse 18 / 21
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 20:17
éventuellement

fais un scan en ligne ici

copie colle le rapport final

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335

tuto pout t'aider

https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur
0
Réponse 19 / 21
MystGil
25 sept. 2010 à 20:23
Il arrive également que le processus conime.exe soit actif, j'ai lu ici ou là qu'il s'agirait dans certains cas d'un virus, est-ce vrai?
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
25 sept. 2010 à 20:25
tout dans certains cas peut être infectieux..

fais le scan en ligne pour voir
0
Réponse 20 / 21
MystGil
Modifié par MystGil le 26/09/2010 à 02:40
Voilà pour le scan, je ne pense pas qu'il soit fort révélateur, mais bon.
Je me demande en fait si le problème principal ne vient pas d'un bug que j'ai eu avec Daemon tools et kernel debugger qui a fichu le bazar dans mes lecteurs.

KASPERSKY ONLINE SCANNER 7.0: scan report
Sunday, September 26, 2010
Operating system: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 2 (build 6002)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Saturday, September 25, 2010 13:01:05
Records in database: 4240410
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
C:\
E:\
F:\
G:\
H:\
L:\

Scan statistics:
Objects scanned: 230363
Threats found: 1
Infected objects found: 1
Suspicious objects found: 0
Scan duration: 04:24:22


File name / Threat / Threats count
C:\Users\Cyril Le Daddy\Downloads\u995.exe Infected: not-a-virus:NetTool.Win32.Proxy.h 1

Selected area has been scanned.
0

Discussions similaires

Rootkit détecté par AVG mais ne fait rien?
Hakayami -
hellodu95 -

11 réponses
help rootkit
celine746 -
celine746 -

21 réponses
Avast détecte un rootkit
Marie12345 -
Marie12345 -

2 réponses
win32 Rootkit
Mary -
plopus -

8 réponses