Rootkit

MystGil -  
 MystGil -
Bonjour,



j'ai actuellement un virus de type rootkit sur mon PC, cela se manifeste par un ralentissement au démarrage (long écran noir après l'écran Bios et avant le chargement de Windows) que je peux d'ailleurs court-circuiter en ouvrant mon lecteur CD pendant l'écran noir et donc éviter l'attente.
Pour autant je n'arrive pas à m'en débarrasser j'ai effectué divers scan avec spybot, malwarebyte, antivir sans pouvoir détecter quoique ce soit.
J'ai utilisé Combofix, dont le log se trouve à la fin de mon message, quant à Gmer il plante lors du scan et il m'est impossible de rebooter en mode sans echec (redémarrage automatique en mode normal dès l'accès au bureau en mode sans echec).
Je requiers donc votre aide, merci.

ComboFix 10-09-17.04 - Cyril Le Daddy 22/09/2010 18:59:12.6.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3071.1964 [GMT 2:00]
Lancé depuis: c:\users\Cyril Le Daddy\Desktop\CCM.exe
SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-22 au 2010-09-22 ))))))))))))))))))))))))))))))))))))
.

2010-09-22 17:13 . 2010-09-22 17:13 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Local\temp
2010-09-22 17:13 . 2010-09-22 17:13 -------- d-----w- c:\users\ReleaseEngineer.MACROVISION\AppData\Local\temp
2010-09-22 17:13 . 2010-09-22 17:13 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-09-22 17:13 . 2010-09-22 17:13 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-21 18:46 . 2010-09-21 19:13 -------- d-----w- C:\CCM
2010-09-19 12:11 . 2010-09-19 12:47 -------- d-----w- C:\ComboFix
2010-09-18 19:57 . 2010-09-18 19:57 -------- d-----w- c:\programdata\TVU Networks
2010-09-18 13:33 . 2010-09-18 13:33 -------- d-----w- C:\My Music
2010-09-15 17:29 . 2010-04-16 16:46 502272 ----a-w- c:\windows\system32\usp10.dll
2010-09-15 17:29 . 2010-08-17 14:11 128000 ----a-w- c:\windows\system32\spoolsv.exe
2010-09-15 17:29 . 2010-04-05 17:02 317952 ----a-w- c:\windows\system32\MP4SDECD.DLL
2010-09-15 16:10 . 2010-05-27 20:08 739328 ----a-w- c:\windows\system32\inetcomm.dll
2010-09-13 18:34 . 2010-09-13 18:47 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Roaming\DAEMON Tools Lite
2010-09-12 19:09 . 2010-08-30 12:34 1496064 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-09-12 19:09 . 2010-08-30 12:33 43008 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-09-12 19:09 . 2010-08-30 12:33 338944 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-09-12 19:09 . 2010-08-30 12:33 346112 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-22 16:57 . 2008-01-26 14:26 -------- d-----w- c:\programdata\NVIDIA
2010-09-22 16:44 . 2008-01-12 15:03 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-09-22 16:30 . 2010-03-06 16:59 35750 ----a-w- c:\programdata\nvModes.dat
2010-09-22 14:40 . 2009-11-17 19:40 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Roaming\uTorrent
2010-09-21 15:41 . 2007-06-26 21:06 688194 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-21 15:41 . 2007-06-26 21:06 130868 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-18 20:00 . 2007-06-26 11:33 -------- d-----w- c:\program files\Packard Bell
2010-09-18 19:59 . 2008-12-16 19:47 -------- d-----w- c:\program files\VSO
2010-09-18 19:59 . 2008-12-16 19:47 47360 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\pcouffin.sys
2010-09-18 19:59 . 2008-12-16 19:47 47360 ----a-w- c:\users\Cyril Le Daddy\AppData\Roaming\pcouffin.sys
2010-09-18 19:59 . 2008-12-16 19:47 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Roaming\Vso
2010-09-18 19:57 . 2009-10-20 19:24 -------- d-----w- c:\program files\TVUPlayer
2010-09-17 11:55 . 2007-10-24 08:59 -------- d-----w- c:\users\Cyril Le Daddy\AppData\Roaming\OFFICEOne7
2010-09-15 18:43 . 2007-12-22 18:05 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-15 17:41 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-09-13 15:56 . 2008-01-12 15:03 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-13 11:24 . 2009-01-12 12:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-13 01:23 . 2009-11-17 19:42 -------- d-----w- c:\program files\uTorrent
2010-09-13 01:23 . 2009-03-11 18:49 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-12 19:08 . 2008-01-09 22:35 1356 ----a-w- c:\users\Cyril Le Daddy\AppData\Local\d3d9caps.dat
2010-08-15 11:31 . 2008-03-20 10:43 -------- d-----w- c:\program files\Safari
2010-08-15 11:30 . 2010-08-15 11:30 72488 ----a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.17.8\SetupAdmin.exe
2010-08-15 11:28 . 2010-08-15 11:28 -------- d-----w- c:\program files\iTunes
2010-08-15 11:28 . 2010-08-15 11:28 -------- d-----w- c:\program files\iPod
2010-08-15 11:28 . 2007-12-20 10:51 -------- d-----w- c:\program files\Common Files\Apple
2010-08-15 11:28 . 2007-12-15 17:57 -------- d-----w- c:\programdata\Apple Computer
2010-08-15 11:20 . 2007-12-15 13:44 -------- d-----w- c:\program files\Common Files\Java
2010-08-15 11:19 . 2007-12-15 13:44 -------- d-----w- c:\program files\Java
2010-08-15 11:16 . 2010-08-15 11:16 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-08-15 11:11 . 2007-12-15 12:05 -------- d-----w- c:\program files\Messenger Plus! Live
2010-07-17 03:00 . 2010-04-22 17:04 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-26 06:05 . 2010-08-14 16:06 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-14 16:06 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 06:02 . 2010-08-14 16:06 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 04:25 . 2010-08-14 16:06 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-25 16:15 . 2010-06-25 16:15 71992 ----a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe
2007-06-26 21:12 . 2007-06-26 21:12 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 4390912]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-12-13 198160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Users^Cyril Le Daddy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PyGrenouille.lnk]
path=c:\users\Cyril Le Daddy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PyGrenouille.lnk
backup=c:\windows\pss\PyGrenouille.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-21 13:53 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-01-11 21:18 13679720 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-01-11 21:18 110696 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2010-01-11 21:18 962664 ----a-w- c:\windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
2007-02-21 01:18 366400 ----a-w- c:\program files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 20:16 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 02:27 144784 ----a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-12-13 11:56 198160 ----a-w- c:\program files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-09-15 691696]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-11-05 108289]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe [2010-08-14 188416]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-01-11 240232]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-09-22 c:\windows\Tasks\User_Feed_Synchronization-{901DFF25-4CAB-479D-A209-5DD472E78A24}.job
- c:\windows\system32\msfeedssync.exe [2010-08-14 04:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = http://login.live.com/...
uInternet Settings,ProxyOverride = local
IE: Download with &Shareaza - c:\program files\Shareaza\RazaWebHook32.dll/3000
FF - ProfilePath - c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - component: c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Canal\Canal Widget\VOD\npCpVod.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npShiVa3D.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: c:\program files\TVUPlayer\npTVUAx.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Cyril Le Daddy\AppData\Roaming\Mozilla\Firefox\Profiles\yay4wqfy.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-22 19:13
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85AFDB60]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x8a3b8d24
\Driver\ACPI -> acpi.sys @ 0x80614d68
\Driver\atapi -> 0x8665c5d0
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3483169716-177007014-2927761483-1002\Software\G*e*n*i*e*"!\FM Genie Scout 10]
"GameDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2010\\games"
"ShortlistDir"=""
"ScreenshotsDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2010"
"SaveDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2010\\"
"HistoryDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\FM Genie Scout 10\\History Points"
"LangDB"="c:\\Program Files\\Sports Interactive\\Football Manager 2010\\data\\db\\1000\\lang_db.dat"
"LastSaveGame"=""
"Language"="French"
"LoadLangDB"=dword:00000001
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"GraphStep"=dword:00000000
"SkinName"="Steklo Black"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:0000006f
"UniqueID"="C8-F045-2CF3"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
"Currency"=dword:00000056

[HKEY_USERS\S-1-5-21-3483169716-177007014-2927761483-1002\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
"GameDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2009\\games"
"ShortlistDir"=""
"ScreenshotsDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2009"
"SaveDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\Football Manager 2009\\"
"HistoryDir"="c:\\Users\\Cyril Le Daddy\\Documents\\Sports Interactive\\FM Genie Scout 2009 XE\\History Points"
"LangDB"="c:\\Program Files\\Sports Interactive\\Football Manager 2009\\data\\updates\\update-930\\db\\930\\lang_db.dat"
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000000
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"GraphStep"=dword:00000000
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000067
"UniqueID"="C8-F045-2CF3"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
"Currency"=dword:00000056

[HKEY_USERS\S-1-5-21-3483169716-177007014-2927761483-1002\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:37,be,32,ed,f8,f8,a8,d8,f0,30,05,5a,5d,b1,3c,16,be,03,70,80,d4,58,ce,
59,ba,be,40,c7,9a,14,dc,94,8d,a4,6a,1f,69,a5,1d,e7,a8,dc,e9,8d,60,b4,13,9e,\
"??"=hex:f5,59,c4,30,94,5d,55,e4,82,b6,26,22,f7,08,56,5c

[HKEY_USERS\S-1-5-21-3483169716-177007014-2927761483-1002\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
"datasecu"=hex:3b,5c,6e,6b,f7,ab,f4,fe,84,aa,17,a8,73,80,f5,0c,b1,8c,4e,ab,a6,
69,9e,c5,1c,1e,11,f5,c1,a8,78,70,f0,90,0c,e0,8e,4c,c3,00,0d,e0,cf,3b,92,8a,\
"rkeysecu"=hex:a1,bd,82,d4,2a,b6,1f,ad,d7,4b,cb,a8,2a,c5,3c,f2

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-09-22 19:15:02
ComboFix-quarantined-files.txt 2010-09-22 17:15
ComboFix2.txt 2010-09-21 19:13
ComboFix3.txt 2010-09-19 12:47
ComboFix4.txt 2010-09-15 17:11
ComboFix5.txt 2010-09-22 16:50

Avant-CF: 46 221 983 744 octets libres
Après-CF: 46 189 481 984 octets libres

- - End Of File - - B196FC5A47FD3ACBF88CA9FAC0A2952F

21 réponses

  • 1
  • 2
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    Dans les paramètres du BIOS, pour le boot (démarrage), le disque dur est bien en première position ?
    1
  2. MystGil
     
    N'utilisant jamais ce menu j'ai plutôt navigué en eaux inconnues.
    Dans les paramètres du BIOS je suis allé dans l'onglet "Boot".
    Là deux sous menu, Hard disk boot et cd rom boot.
    Dans le 1er encore 2 sous section (dont une avec ecrit hitachi machin machin), et dans le second (CD rom boot): first device: mon lecteur CD, second device HDD, third device etc.
    Je ne sais pas si je répond vraiment bien à ta question et si tel est le cas désolé d'avance :p
    0
  3. MystGil
     
    Pour être sûr de ne pas faire n'importe quoi au niveau des réglages du BIOS j'ai remis les réglages par défaut, sans que mon problème soit reglé.
    De plus lorsque j'effectue des scans de mon PC pour trouver et éliminer ce fameux rootkit je tombe en crash dumps.
    Que faire ?
    J'ai de plus en plus envie de reformater carrément.
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    avant de formater

    essaie ceci

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
    * Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
    * Merci à Malekal pour le tutoriel
    * Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    * Double clique sur mbr.exe
    * Un rapport sera généré : mbr.log
    * En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
    * Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:

    => Sous XP : "%userprofile%\Bureau\mbr" -f

    => Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f

    * (veuillez à bien respecter les guillemets)
    * Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
    * Réactive tes protections .Poste ce rapport et supprime le ensuite.

    o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    o Relance mbr.exe
    o Réactive tes protections.
    o Le nouveau mbr.log devrait être celui-ci :
    o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    o device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK


    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0
    1. MystGil
       
      Merci, pour la réponse.
      Gmer ne me détecte rien, au contraire de combofix donc bon...j'espère que c'était un faux positif et que mes problèmes sont indépendants d'un virus.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    ensuite

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    pour t'aider sur ci joijnt : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
    0
  7. MystGil
     
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijqGgaISs.txt
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    * Télécharge Defogger
    http://www.jpshortstuff.247fixes.com/Defogger.exe

    => lance le
    * Une fenêtre apparait clique sur Disable
    * Redémarre le PC si demandé

    puis

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    MBRfix


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
    0
  9. MystGil
     
    Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
    Fichier d'export Registre :
    Run by Cyril Le Daddy at 25/09/2010 15:47:48
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85B73648]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x86636188
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ========== Récapitulatif ==========
    1 : Master Boot Record

    End of the scan
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    on va vérifier ton atapi qui semble être celui suspecté comme infecté

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    Télécharge List_Kill'em et enregistre le sur ton bureau

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Executer List_Kill'em"


    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport C:\List'em.txt

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    Même opération pour le rapport more.txt qui se trouve sur ton bureau

    si soucis avec ci joint. fr

    => utiliser https://www.cjoint.com/
    => utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

    0
  11. MystGil
     
    Pour le moment le programme est toujours sur l'écran blanc, c'est en effet assez long :p
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      depuis combien de temps tourne t il ?

      tu as bien désactiver toutes tes protection, antispyware en tout genre compris

      as tu bien fait clic droit "executer en tant qu'administrateur
      0
    2. MystGil
       
      Cela faisait une heure environ, j'ai bel et bien désactivé Antivir, le résident spybot, et mon pare-feu ainsi qu'exécuté en tant qu'admin.
      J'ai alors relancé le scan depuis maintenant 30 min.
      0
    3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      spybot

      t'as fait comme ca ?

      Désactiver le TeaTimer de Spybot (Merci à Nico et nathandre):
      Pour désactiver le TeaTimer :
      => Ouvrir Spybot S&D
      => Dans le menu "Mode", séléctionner le mode avancé.
      => Une fenêtre demande confirmation cliquer sur "oui".
      => Une fois le mode avancé actif, ouvrir l'onglet "Outils".
      => Cliquer sur Résident.
      => La partie Résident comporte deux lignes qui sont normalement cochées :
      *Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
      * Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
      => Décocher la ligne TeaTimer.
      => Redémarrer Spybot (le fermer et le réouvrir)
      => Retourner dans le menu Résident et vérifier qu'il soit bien désactivé

      Spybot va géner les outils
      0
    4. MystGil
       
      Oui, j'ai re-relancé l'outil sans succès pour le moment.
      0
  12. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    0
    1. MystGil
       
      Je ne peux pas démarrer en mode sans echec, après le chargement, et avant l'arrivée sur le bureau mon PC redémarre immédiatement de façon automatique.
      0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

    * Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

    * Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    atapi

    * Au niveau des " options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    * Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

    * Clique sur " Lancer la recherche " et laisse travailler l'outil ...
    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    0
  14. MystGil
     
    . ========================= SEAF 1.0.0.8 - C_XX
    2.
    3. Commencé à: 19:38:15 le 25/09/2010
    4.
    5. Valeur(s) recherchée(s):
    6. atapi
    7.
    8. (!) --- Calcul du Hash "MD5"
    9. (!) --- Informations supplémentaires
    10. (!) --- Affichage des ADS
    11. (!) --- Recherche registre
    12.
    13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    14.
    15. Aucun fichier trouvé
    16.
    17.
    18. ====== Entrée(s) du registre ======
    19.
    20.
    21. [HKLM\System\ControlSet001\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
    22. ""="IDE ATA/ATAPI controllers"
    23.
    24. [HKLM\System\ControlSet001\Enum\PCI\VEN_10DE&DEV_03EC&SUBSYS_E1011631&REV_A2\3&2411e6fe&0&30]
    25. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    26.
    27. [HKLM\System\ControlSet001\Enum\PCIIDE\IDEChannel\4&39e23c68&0&0]
    28. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    29.
    30. [HKLM\System\ControlSet001\Enum\PCIIDE\IDEChannel\4&39e23c68&0&1]
    31. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    32.
    33. [HKLM\System\ControlSet002\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
    34. ""="IDE ATA/ATAPI controllers"
    35.
    36. [HKLM\System\ControlSet002\Enum\PCI\VEN_10DE&DEV_03EC&SUBSYS_E1011631&REV_A2\3&2411e6fe&0&30]
    37. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    38.
    39. [HKLM\System\ControlSet002\Enum\PCIIDE\IDEChannel\4&39e23c68&0&0]
    40. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    41.
    42. [HKLM\System\ControlSet002\Enum\PCIIDE\IDEChannel\4&39e23c68&0&1]
    43. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    44.
    45. [HKLM\System\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
    46. ""="IDE ATA/ATAPI controllers"
    47.
    48. [HKLM\System\CurrentControlSet\Enum\PCI\VEN_10DE&DEV_03EC&SUBSYS_E1011631&REV_A2\3&2411e6fe&0&30]
    49. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    50.
    51. [HKLM\System\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&39e23c68&0&0]
    52. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    53.
    54. [HKLM\System\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&39e23c68&0&1]
    55. "Mfg"="@mshdc.inf,%ms-drivers%;(Contrôleurs ATA/ATAPI IDE standard)"
    56.
    57. =========================
    58.
    59. Fin à: 19:41:24 le 25/09/2010 ( E.O.F )
    60.
    61. =========================
    0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    peux tu refaire la même manip mais avec ce texte : atapi.sys

    --

    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0
  16. MystGil
     
    1. ========================= SEAF 1.0.0.8 - C_XX
    2.
    3. Commencé à: 19:49:54 le 25/09/2010
    4.
    5. Valeur(s) recherchée(s):
    6. atapi.sys
    7.
    8. (!) --- Calcul du Hash "MD5"
    9. (!) --- Informations supplémentaires
    10. (!) --- Affichage des ADS
    11. (!) --- Recherche registre
    12.
    13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    14.
    15.
    16. "C:\Windows\ERDNT\cache\atapi.sys" [ ----A---- | 20 Ko ]
    17. TC: 13/09/2010,20:19:38 | TM: 11/04/2009,08:32:26 | DA: 13/09/2010,20:19:38
    18.
    19. Hash MD5: 1F05B78AB91C9075565A9D8A4B880BC4
    20.
    21. CompanyName: Microsoft Corporation
    22. ProductName: Microsoft® Windows® Operating System
    23. InternalName: atapi.sys
    24. OriginalFileName: atapi.sys
    25. LegalCopyright: © Microsoft Corporation. All rights reserved.
    26. ProductVersion: 6.0.6002.18005
    27. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    28.
    29. =========================
    30.
    31.
    32. "C:\Windows\System32\drivers\atapi.sys" [ ----A---- | 20 Ko ]
    33. TC: 20/10/2009,17:45:48 | TM: 11/04/2009,08:32:26 | DA: 20/10/2009,17:45:48
    34.
    35. Hash MD5: 1F05B78AB91C9075565A9D8A4B880BC4
    36.
    37. CompanyName: Microsoft Corporation
    38. ProductName: Microsoft® Windows® Operating System
    39. InternalName: atapi.sys
    40. OriginalFileName: atapi.sys
    41. LegalCopyright: © Microsoft Corporation. All rights reserved.
    42. ProductVersion: 6.0.6002.18005
    43. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    44.
    45. =========================
    46.
    47.
    48. "C:\Windows\System32\drivers\iteatapi.sys" [ ----A---- | 36 Ko ]
    49. TC: 02/11/2006,09:36:45 | TM: 02/11/2006,11:50:07 | DA: 02/11/2006,12:07:06
    50.
    51. Hash MD5: BCED60D16156E428F8DF8CF27B0DF150
    52.
    53. CompanyName: Integrated Technology Express, Inc.
    54. ProductName: Microsoft® Windows® Operating System
    55. InternalName: IT8211 WIN2000/XP driver v1.3.2.7
    56. OriginalFileName: iteatapi.sys
    57. LegalCopyright: Copyright (C) Integrated Technology Express, Inc. 2005
    58. ProductVersion: 6.0.5492.0
    59. FileVersion: v1.3.2.7 (NT.060726-2054)
    60.
    61. =========================
    62.
    63.
    64. "C:\Windows\System32\DriverStore\FileRepository\iteatapi.inf_431397fb\iteatapi.sys" [ ----A---- | 36 Ko ]
    65. TC: 02/11/2006,12:25:06 | TM: 02/11/2006,11:50:07 | DA: 02/11/2006,12:25:06
    66.
    67. Hash MD5: BCED60D16156E428F8DF8CF27B0DF150
    68.
    69. CompanyName: Integrated Technology Express, Inc.
    70. ProductName: Microsoft® Windows® Operating System
    71. InternalName: IT8211 WIN2000/XP driver v1.3.2.7
    72. OriginalFileName: iteatapi.sys
    73. LegalCopyright: Copyright (C) Integrated Technology Express, Inc. 2005
    74. ProductVersion: 6.0.5492.0
    75. FileVersion: v1.3.2.7 (NT.060726-2054)
    76.
    77. =========================
    78.
    79.
    80. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys" [ ----A---- | 22 Ko ]
    81. TC: 14/02/2008,04:05:23 | TM: 14/02/2008,04:05:23 | DA: 14/02/2008,04:05:23
    82.
    83. Hash MD5: B35CFCEF838382AB6490B321C87EDF17
    84.
    85. CompanyName: Microsoft Corporation
    86. ProductName: Microsoft® Windows® Operating System
    87. InternalName: atapi.sys
    88. OriginalFileName: atapi.sys
    89. LegalCopyright: © Microsoft Corporation. All rights reserved.
    90. ProductVersion: 6.0.6000.16632
    91. FileVersion: 6.0.6000.16632 (vista_gdr.080118-1500)
    92.
    93. =========================
    94.
    95.
    96. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys" [ ----A---- | 20 Ko ]
    97. TC: 20/10/2009,17:45:48 | TM: 11/04/2009,08:32:26 | DA: 20/10/2009,17:45:48
    98.
    99. Hash MD5: 1F05B78AB91C9075565A9D8A4B880BC4
    100.
    101. CompanyName: Microsoft Corporation
    102. ProductName: Microsoft® Windows® Operating System
    103. InternalName: atapi.sys
    104. OriginalFileName: atapi.sys
    105. LegalCopyright: © Microsoft Corporation. All rights reserved.
    106. ProductVersion: 6.0.6002.18005
    107. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    108.
    109. =========================
    110.
    111.
    112. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys" [ ----A---- | 19 Ko ]
    113. TC: 02/11/2006,12:25:06 | TM: 02/11/2006,11:49:36 | DA: 02/11/2006,12:25:06
    114.
    115. Hash MD5: 4F4FCB8B6EA06784FB6D475B7EC7300F
    116.
    117. CompanyName: Microsoft Corporation
    118. ProductName: Microsoft® Windows® Operating System
    119. InternalName: atapi.sys
    120. OriginalFileName: atapi.sys
    121. LegalCopyright: © Microsoft Corporation. All rights reserved.
    122. ProductVersion: 6.0.6000.16386
    123. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)
    124.
    125. =========================
    126.
    127.
    128. "C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys" [ ----A---- | 22 Ko ]
    129. TC: 17/05/2008,04:40:24 | TM: 18/01/2008,23:41:32 | DA: 17/05/2008,04:40:24
    130.
    131. Hash MD5: 2D9C903DC76A66813D350A562DE40ED9
    132.
    133. CompanyName: Microsoft Corporation
    134. ProductName: Microsoft® Windows® Operating System
    135. InternalName: atapi.sys
    136. OriginalFileName: atapi.sys
    137. LegalCopyright: © Microsoft Corporation. All rights reserved.
    138. ProductVersion: 6.0.6001.18000
    139. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
    140.
    141. =========================
    142.
    143.
    144. "C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys" [ ----A---- | 22 Ko ]
    145. TC: 14/02/2008,04:05:23 | TM: 14/02/2008,04:05:23 | DA: 14/02/2008,04:05:23
    146.
    147. Hash MD5: B35CFCEF838382AB6490B321C87EDF17
    148.
    149. CompanyName: Microsoft Corporation
    150. ProductName: Microsoft® Windows® Operating System
    151. InternalName: atapi.sys
    152. OriginalFileName: atapi.sys
    153. LegalCopyright: © Microsoft Corporation. All rights reserved.
    154. ProductVersion: 6.0.6000.16632
    155. FileVersion: 6.0.6000.16632 (vista_gdr.080118-1500)
    156.
    157. =========================
    158.
    159.
    160. "C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys" [ ----A---- | 22 Ko ]
    161. TC: 14/02/2008,04:05:23 | TM: 14/02/2008,04:05:23 | DA: 14/02/2008,04:05:23
    162.
    163. Hash MD5: E03E8C99D15D0381E02743C36AFC7C6F
    164.
    165. CompanyName: Microsoft Corporation
    166. ProductName: Microsoft® Windows® Operating System
    167. InternalName: atapi.sys
    168. OriginalFileName: atapi.sys
    169. LegalCopyright: © Microsoft Corporation. All rights reserved.
    170. ProductVersion: 6.0.6000.20757
    171. FileVersion: 6.0.6000.20757 (vista_ldr.080118-1500)
    172.
    173. =========================
    174.
    175.
    176. "C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys" [ ----A---- | 22 Ko ]
    177. TC: 17/05/2008,04:40:24 | TM: 18/01/2008,23:41:32 | DA: 17/05/2008,04:40:24
    178.
    179. Hash MD5: 2D9C903DC76A66813D350A562DE40ED9
    180.
    181. CompanyName: Microsoft Corporation
    182. ProductName: Microsoft® Windows® Operating System
    183. InternalName: atapi.sys
    184. OriginalFileName: atapi.sys
    185. LegalCopyright: © Microsoft Corporation. All rights reserved.
    186. ProductVersion: 6.0.6001.18000
    187. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
    188.
    189. =========================
    190.
    191.
    192. "C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys" [ ----A---- | 20 Ko ]
    193. TC: 20/10/2009,17:45:48 | TM: 11/04/2009,08:32:26 | DA: 20/10/2009,17:45:48
    194.
    195. Hash MD5: 1F05B78AB91C9075565A9D8A4B880BC4
    196.
    197. CompanyName: Microsoft Corporation
    198. ProductName: Microsoft® Windows® Operating System
    199. InternalName: atapi.sys
    200. OriginalFileName: atapi.sys
    201. LegalCopyright: © Microsoft Corporation. All rights reserved.
    202. ProductVersion: 6.0.6002.18005
    203. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    204.
    205. =========================
    206.
    207.
    208.
    209. ====== Entrée(s) du registre ======
    210.
    211.
    212. [HKLM\Software\Microsoft\Windows\CurrentVersion\Diagnostics\Performance\Resolvers]
    213. "SystemBinariesList"="win32k.sys:winlogon.exe:EXPLORER.EXE:CSRSS.Exe:dwm.exe:logon.scr:logonui.exe:lsass.exe:lsm.exe:ntkrpamp.exe:ntoskrnl.exe:RUNDLL32.EXE:services.exe:slsvc.exe:smss.exe:spoolsv.exe:svchost.exe:taskeng.exe:WinInit.exe:WISPTIS.EXE:dllhost.exe:dllhst3g.exe:cscript.exe:mmc.exe:msiexec.exe:upnpcont.exe:wscript.exe:WUDFHost.exe:dfsvc.exe:dfsvc.exe:fdbs.exe:ntfsbs.exe:memdiag.exe:NETFXSBS10.exe:applaunch.exe:aspnet_compiler.exe:aspnet_regbrowsers.exe:aspnet_regiis.exe:aspnet_regsql.exe:aspnet_state.exe:aspnet_wp.exe:caspol.exe:csc.exe:CVTRES.EXE:dfsvc.exe:dw20.exe:IEExec.exe:ilasm.exe:InstallUtil.exe:jsc.exe:MSBuild.exe:mscorsvw.exe:ngen.exe:RegAsm.exe::RegSvcs.exe:vbc.exe:TrustedInstaller.exe:Aurora.scr:AutoChk.Exe:AUTOFMT.EXE:CHKDSK.EXE:CHKNTFS.EXE:consent.exe:PnPUnattend.exe:PnPutil.exe:RacAgent.exe:fsquirt.exe:Uninst.exe:updateWmc.exe:wmdc.exe:wmdsync.exe:mofcomp.exe:ScrCons.exe:smi2smir.exe:unsecapp.exe:wbemtest.exe:winmgmt.exe:wmic.exe:bfsvc.exe:Twunk_16.exe:Twunk_32.exe:wuauclt.exe:wsqmcons.exe:sapisvr.exe:WinSAT.exe:p2phost.exe:SearchProtocolHost.exe:WerFault.exe:drvinst.exe:ehshell.exe:UI0Detect.exe:ehtray.exe:HelpPane.exe:mrt.exe:SearchFilterHost.exe:mobsync.exe:Narrator.exe:SLUI.exe:taskmgr.exe:PresentationSettings.exe:vds.exe:sdclt.exe:irftp.exe:DFDWiz.exe:SndVol.exe:makecab.exe:msfeedssync.exe:unregmp2.exe:DeviceProperties.exe:rstrui.exe:MdRes.exe:netsh.exe:printui.exe:mcupdate.exe:4mmdat.sys:61883.sys:ACPI.sys:amdk7.sys:amdk8.sys:ASYNCMAC.SYS:atapi.sys:AVC.SYS:cdfs.sys:cdrom.sys:circlass.sys:cmbatt.sys:crusoe.sys:CSC.Sys:dc21x4vm.sys:disk.sys:dot4.sys:dot4usb.sys:drmkaud.sys:ecache.sys:fdc.sys:floppy.sys:hdaudbus.sys:HDAudio.sys:HIDBTH.SYS:HIDIR.SYS:i8042prt.sys:intelppm.sys:irenum.SYS:IRSIR.SYS:kbdclass.sys:kbdhid.sys:LOOP.SYS:mf.sys:monitor.sys:mouclass.sys:mouhid.sys:msisadrv.sys:msiscsi.sys:NDISWAN.SYS:nsiproxy.sys:ohci1394.sys:pci.sys:pciide.sys:powerfil.sys:processr.sys:rasl2tp.sys:raspppoe.sys:RASPPTP.SYS:RDPCDD.SYS:rfcomm.sys:sbp2port.sys:sdbus.sys:serenum.sys:serial.sys:sermouse.sys:sffdisk.sys:sffp_mmc.sys:smbios.sys:swenum.sys:tdx.sys:termdd.sys:tpm.sys:tunmp.sys:tunnel.sys:umbus.sys:update.sys:usb8023.sys:USBAudio.sys:USBCCGP.SYS:usbcir.sys:USBEHCI.sys:usbhub.sys:USBOHCI.sys:usbprint.sys:USBUHCI.sys:viac7.sys:wacompen.sys:wceusbsh.sys:winusb.sys:ws2ifsl.sys:xnacc.sys"
    214.
    215. [HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\PnpLockdownFiles]
    216. "C:\Windows\system32\DRIVERS\atapi.sys"="1"
    217.
    218. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c]
    219. "f!atapi.sys"="0x610074006100700069002E00730079007300"
    220.
    221. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b]
    222. "f!atapi.sys"="0x610074006100700069002E00730079007300"
    223.
    224. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c]
    225. "f!atapi.sys"="0x610074006100700069002E00730079007300"
    226.
    227. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8]
    228. "f!atapi.sys"="0x610074006100700069002E00730079007300"
    229.
    230. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\VersionedIndex\6.0.6002.18005_001c11ba\ComponentFamilies\x86_mshdc.inf_31bf3856ad364e35_none_5c2445fc4c02f86e\f256!atapi.sys]
    231.
    232. [HKLM\System\ControlSet001\Services\atapi]
    233. "ImagePath"="system32\drivers\atapi.sys"
    234.
    235. [HKLM\System\ControlSet001\Services\Eventlog\System\iteatapi]
    236. "EventMessageFile"="%SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\iteatapi.sys"
    237.
    238. [HKLM\System\ControlSet001\Services\iteatapi]
    239. "ImagePath"="\SystemRoot\system32\drivers\iteatapi.sys"
    240.
    241. [HKLM\System\ControlSet002\Services\atapi]
    242. "ImagePath"="system32\drivers\atapi.sys"
    243.
    244. [HKLM\System\ControlSet002\Services\Eventlog\System\iteatapi]
    245. "EventMessageFile"="%SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\iteatapi.sys"
    246.
    247. [HKLM\System\ControlSet002\Services\iteatapi]
    248. "ImagePath"="\SystemRoot\system32\drivers\iteatapi.sys"
    249.
    250. [HKLM\System\CurrentControlSet\Services\atapi]
    251. "ImagePath"="system32\drivers\atapi.sys"
    252.
    253. [HKLM\System\CurrentControlSet\Services\Eventlog\System\iteatapi]
    254. "EventMessageFile"="%SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\iteatapi.sys"
    255.
    256. [HKLM\System\CurrentControlSet\Services\iteatapi]
    257. "ImagePath"="\SystemRoot\system32\drivers\iteatapi.sys"
    258.
    259. =========================
    260.
    261. Fin à: 19:51:49 le 25/09/2010 ( E.O.F )
    262.
    263. =========================
    0
  17. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    l'atapi est bon

    il n'y a pas d'erreur à priori

    des signes d'infection de ton côté ?
    0
  18. MystGil
     
    Les signes dépendent des jours en termes de fréquence et d'intensité,
    ces derniers temps cela va mieux, mais les principaux sont:
    - Long démarrage (comme expliqué plus haut dans le 1er message après l'écran du BIOS un long écran noir durant plusieurs minutes).
    - Des bugs du style freeze ou "programme ne repond plus" (par exemple explorer notamment lors de branchement de péripheriques, mozilla etc.).
    - Des crashs dumps ou avertissement "possible infection" lors de scan combofix ou gmer (voir 1er message).

    S'il n'y a donc finalement pas d'infection me voilà rassuré, et merci beaucoup en tout cas pour le temps consacré, pour rien finalement, c'est vraiment sympa de ta part.
    0
  19. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    éventuellement

    fais un scan en ligne ici

    copie colle le rapport final

    http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335

    tuto pout t'aider

    https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur
    0
  20. MystGil
     
    Il arrive également que le processus conime.exe soit actif, j'ai lu ici ou là qu'il s'agirait dans certains cas d'un virus, est-ce vrai?
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      tout dans certains cas peut être infectieux..

      fais le scan en ligne pour voir
      0
  21. MystGil
     
    Voilà pour le scan, je ne pense pas qu'il soit fort révélateur, mais bon.
    Je me demande en fait si le problème principal ne vient pas d'un bug que j'ai eu avec Daemon tools et kernel debugger qui a fichu le bazar dans mes lecteurs.

    KASPERSKY ONLINE SCANNER 7.0: scan report
    Sunday, September 26, 2010
    Operating system: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 2 (build 6002)
    Kaspersky Online Scanner version: 7.0.26.13
    Last database update: Saturday, September 25, 2010 13:01:05
    Records in database: 4240410
    --------------------------------------------------------------------------------

    Scan settings:
    scan using the following database: extended
    Scan archives: yes
    Scan e-mail databases: yes

    Scan area - My Computer:
    C:\
    E:\
    F:\
    G:\
    H:\
    L:\

    Scan statistics:
    Objects scanned: 230363
    Threats found: 1
    Infected objects found: 1
    Suspicious objects found: 0
    Scan duration: 04:24:22

    File name / Threat / Threats count
    C:\Users\Cyril Le Daddy\Downloads\u995.exe Infected: not-a-virus:NetTool.Win32.Proxy.h 1

    Selected area has been scanned.
    0
  • 1
  • 2