Rootkit sur fichier systeme = bluescreen

Résolu
tyddy -  
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Je viens demander de l'aide car j'ai un fichier systeme appelé zhqyss.sys inconnu de google impossible a supprimer manuellement et je ne sais comment men debarrasser jai essayé avast , malwarebyte...
Sans succes je sais que c'est un fichier contaminé et à la suite de mes nombreux bluescreens je le vois en en cause sur la page bleue :s
jai un netbook asus et impossible de formater cd :s
windows7

cordialement



A voir également:

86 réponses

Précédent
Réponse 41 / 86
tyddy
 
pas de soucis :) j'espère c'est la fin des misères parce que sa fait un moment que c'était devenu l'enfer et quand on est dans un pays etranger on se fait vite escroquée avec nos allures touristes

merci beaucoup je poste dès que c'est fait
0
Réponse 42 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

--> Lance avenger
--> Ferme toutes les fenêtres et toutes les applications en cours et double-clique sur l'icône avenger (Icône avec l'épée).
--> Clique sur OK pour accepter les termes d'utilisation.
--> Une fois le programme lancé, verifie bien que :
- La case "Scan For RootKit" soit cochée.
- La case "Automatically disable any rootkits found" ne soit pas cochée.
--> Clique sur Execute pour lancer le scan.
--> Répondre Oui à ce message de confirmation.
--> Répondre Oui pour exécuter un scan antirootkit.
--> La première étape étant finie, The Avenger a désormais besoin de redémarrer votre PC pour finir, clique sur Oui.
Ton PC redémarrera alors automatiquement.
--> Au redémarrage, le rapport de The Avenger s'ouvrira automatiquement, poste-le (C:\avenger.txt).
0
tyddy
 
non en fait kaspersky a demarré sous mozilla :p
0
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

t'as gagné du coup...on fait les deux, kapersky et avenger
0
tyddy
 
quelle chance :p non mais kaspersky est meme pas commencé il fait ses mises a jour ultra longue et je crois je vais mendormir parce que deux nuits blanches sur le pc là :p
0
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
on continue demain si tu veux, surtout que ca sent la fin...
0
tyddy
 
sa fait plaisir dentendre sa :p oui on continue tout à l'heure sans faute avec avenger et kaspersky qui fera ses mises a jour durant ma nuit de sommeil (157108KB tout de même) merci beaucoup pour tout et à tout a l'heure
0
Réponse 43 / 86
tyddy
 
suite à un defaut technique : commandes inaccessibles et gresillement du pc jai du redemarrer manuellement et Kaspersky a repris a 0 ces mises à jour !
desespoir ! je vais faire avenger dabord
0
Réponse 44 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
oui laisse tomber kapersky
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 86
tyddy
 
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished! Terminate.
0
Réponse 46 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

le pc va toujours bien ?
0
Réponse 47 / 86
tyddy
 
bluescreen zhyqss.sys a l'instant :s
0
Réponse 48 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encadré blanc " Entrez ci dessous...." copie/colle ceci :

zhyqss


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

* Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )
0
Réponse 49 / 86
tyddy
 
1. ========================= SEAF 1.0.0.9 - C_XX
2.
3. Commencé à: 16:52:55 le 11/10/2010
4.
5. Valeur(s) recherchée(s):
6. zhyqss
7.
8. (!) --- Calcul du Hash "MD5"
9. (!) --- Informations supplémentaires
10. (!) --- Affichage des ADS
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15.
16. "C:\Windows\System32\drivers\zhyqss.sys" [ ----A---- | 842 Ko ]
17. TC: 18/09/2010,21:39:24 | TM: 11/10/2010,16:54:26 | DA: 18/09/2010,21:39:24
18.
19. Hash MD5: [Impossible à obtenir]
20.
21.
22. =========================
23.
24.
25.
26. ====== Entrée(s) du registre ======
27.
28.
29. [HKLM\System\ControlSet001\Enum\Root\LEGACY_ZHYQSS]
30.
31. [HKLM\System\ControlSet001\services\zhyqss]
32.
33. [HKLM\System\ControlSet002\Enum\Root\LEGACY_ZHYQSS]
34.
35. [HKLM\System\ControlSet002\services\zhyqss]
36.
37. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ZHYQSS]
38.
39. [HKLM\System\CurrentControlSet\services\zhyqss]
40.
41. [HKU\S-1-5-21-37374645-1396205322-2350621599-1004\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
42. "LastKey"="Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\zhyqss" (REG_SZ)
43.
44. =========================
45.
46. Fin à: 16:59:53 le 11/10/2010
47. 295093 Éléments analysés
48.
49. =========================
50. E.O.F
0
Réponse 50 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

o execute le , La fenêtre suivante va s'ouvrir::

http://i265.photobucket.com/albums/ii226/Marie_Ven/0001img-2421.png

o Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
o Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:

[img]http://i265.photobucket.com/albums/ii226/Marie_Ven/0002img-40.png/img

o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

o Si Suspicious file est indiqué, laisse l'option cochée sur Skip

o Clique sur Continue puis sur Reboot now pour redémarrer le PC.

o Envoie le rapport généré sur http://www.cijoint.fr/ dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

tutoriel--> https://support.kaspersky.com/5350
0
Réponse 51 / 86
tyddy
 
http://www.cijoint.fr/cjlink.php?file=cj201010/cijtW7bmZn.txt
0
tyddy
 
ps sa ma pas mis reboot now :s jai redemarré mn pc seule
0
Réponse 52 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

il l'a bien vu

refais un coup de TDDS killer pour voir s'il revient encore stp
0
Réponse 53 / 86
tyddy
 
http://www.cijoint.fr/cjlink.php?file=cj201010/cijRBqJa20.txt

positif il l'a retrouvé mais comme j'avais fait skip sa ne metonne pas dois je changer en quarantaine ou deleted ?
0
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
deleted
0
Réponse 54 / 86
tyddy
 
http://www.cijoint.fr/cjlink.php?file=cj201010/cijhQs6ict.txt
0
tyddy
 
jai refait un TDDS killer et il ne l'a pas trouvé de nouveau c'est bon signe sa non ?
0
Réponse 55 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
normalement oui...mais il est revenu à chaque fois

refais ceci https://forums.commentcamarche.net/forum/affich-19436494-rootkit-sur-fichier-systeme-bluescreen?page=3#62
0
Réponse 56 / 86
tyddy
 
1. ========================= SEAF 1.0.0.9 - C_XX
2.
3. Commencé à: 18:29:15 le 11/10/2010
4.
5. Valeur(s) recherchée(s):
6. zhyqss
7.
8. (!) --- Calcul du Hash "MD5"
9. (!) --- Informations supplémentaires
10. (!) --- Affichage des ADS
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. Aucun fichier trouvé
16.
17.
18. ====== Entrée(s) du registre ======
19.
20.
21. [HKLM\System\ControlSet001\Enum\Root\LEGACY_ZHYQSS]
22.
23. [HKLM\System\ControlSet002\Enum\Root\LEGACY_ZHYQSS]
24.
25. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ZHYQSS]
26.
27. [HKU\S-1-5-21-37374645-1396205322-2350621599-1004\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
28. "LastKey"="Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\zhyqss" (REG_SZ)
29.
30. =========================
31.
32. Fin à: 18:36:41 le 11/10/2010
33. 296381 Éléments analysés
34.
35. =========================
36. E.O.F
0
Réponse 57 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::



Registry::

[-HKLM\System\ControlSet001\Enum\Root\LEGACY_ZHYQSS]
[-HKLM\System\ControlSet002\Enum\Root\LEGACY_ZHYQSS]
[-HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ZHYQSS]
[HKU\S-1-5-21-37374645-1396205322-2350621599-1004\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"=-


* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
0
Réponse 58 / 86
tyddy
 
ComboFix 10-10-09.03 - pro 11/10/2010 19:52:53.3.2 - x86
Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.1014.320 [GMT 2:00]
Lancé depuis: c:\users\pro\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\users\pro\Desktop\CFScript.txt
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\pro\AppData\Local\Temp\jna9090999172975211859.dll
.
---- Exécution préalable -------
.
c:\users\pro\AppData\Local\Temp\jna2322529748221382826.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-11 au 2010-10-11 ))))))))))))))))))))))))))))))))))))
.

2010-10-11 18:13 . 2010-10-11 18:13 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-11 15:23 . 2010-10-11 16:19 -------- d-----w- C:\tdsskiller
2010-10-11 14:52 . 2010-10-11 14:52 -------- d-----w- c:\program files\SEAF
2010-10-10 21:49 . 2010-10-11 14:27 -------- d-----w- c:\program files\Ad-Remover
2010-10-10 12:25 . 2010-10-10 12:25 -------- d-----w- c:\program files\Esl
2010-10-10 12:25 . 2010-10-10 12:25 -------- d-----w- c:\program files\Common Files\Adobe
2010-10-10 12:25 . 2010-10-10 12:25 -------- d-----w- c:\program files\Setup Files
2010-10-10 03:36 . 2010-09-27 11:24 528 ----a-r- C:\MediaID.bin
2010-10-10 02:37 . 2010-10-10 02:38 -------- d-----r- C:\MONBIJOU
2010-10-10 00:53 . 2010-10-10 01:23 -------- d-----w- C:\FyK
2010-10-10 00:27 . 2010-10-10 21:33 -------- d-----w- c:\program files\ZHPDiag
2010-10-09 13:32 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\30746632.sys
2010-10-09 13:32 . 2009-10-09 21:31 311312 ----a-w- c:\windows\system32\drivers\3074663.sys
2010-10-09 13:32 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\30746631.sys
2010-10-09 12:45 . 2010-10-09 16:08 -------- d-----w- c:\users\pro
2010-10-08 16:44 . 2010-09-09 22:52 6084944 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{47E79654-FE90-44B5-8E67-8C8CF1D130EE}\mpengine.dll
2010-10-07 22:00 . 2010-10-09 12:16 -------- d-----w- c:\program files\Panda Security
2010-10-03 13:35 . 2010-10-03 13:35 -------- d-----w- c:\windows\Sun
2010-10-03 11:56 . 2010-10-03 22:52 -------- d-----w- c:\program files\Softonic_France
2010-10-02 23:15 . 2010-10-10 02:39 -------- d-----w- C:\WindowsImageBackup
2010-10-02 18:28 . 2010-10-08 16:38 -------- d-----w- c:\users\edith
2010-10-02 17:36 . 2010-10-09 02:37 -------- d-----w- c:\users\Invité
2010-10-02 10:45 . 2009-10-10 02:57 12800 ----a-w- c:\windows\system32\drivers\sffp_sd.sys
2010-10-02 10:40 . 2010-10-02 10:40 -------- d-----w- c:\windows\system32\x64
2010-09-30 17:52 . 2010-10-03 22:53 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-09-30 17:52 . 2010-09-30 17:52 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-29 13:48 . 2010-03-04 04:04 146304 ----a-w- c:\windows\system32\drivers\usbvideo.sys
2010-09-29 13:48 . 2010-03-04 03:57 190976 ----a-w- c:\windows\system32\drivers\ks.sys
2010-09-29 12:13 . 2010-06-19 06:15 2048 ----a-w- c:\windows\system32\tzres.dll
2010-09-29 12:11 . 2010-08-27 05:30 13312 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2010-09-27 15:31 . 2010-09-07 14:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-09-27 15:31 . 2010-09-07 14:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-09-27 15:31 . 2010-09-07 14:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-09-27 15:31 . 2010-09-07 14:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-09-27 15:31 . 2010-09-07 14:47 50768 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2010-09-27 15:30 . 2010-09-07 15:12 38848 ----a-w- c:\windows\avastSS.scr
2010-09-27 15:30 . 2010-09-07 15:11 167592 ----a-w- c:\windows\system32\aswBoot.exe
2010-09-27 12:58 . 2010-05-12 01:11 480784 ----a-w- c:\program files\Mozilla Firefox\32bit\vsapiins.exe
2010-09-26 21:32 . 2010-09-27 19:27 -------- d-----w- c:\users\moi
2010-09-25 21:00 . 2010-09-27 15:30 -------- d-----w- c:\programdata\Alwil Software
2010-09-25 21:00 . 2010-09-25 21:00 -------- d-----w- c:\program files\Alwil Software
2010-09-25 20:36 . 2010-10-03 22:52 -------- d-----w- c:\program files\Spyware Doctor
2010-09-25 20:29 . 2010-09-15 00:26 23512 ----a-w- c:\program files\Mozilla Firefox\components\browserdirprovider.dll
2010-09-25 20:29 . 2010-09-15 00:26 137176 ----a-w- c:\program files\Mozilla Firefox\components\brwsrcmp.dll
2010-09-25 20:21 . 2010-09-25 20:21 -------- d-----w- c:\program files\Windows Live Safety Center
2010-09-25 19:10 . 2010-09-15 00:26 920024 ----a-w- c:\program files\Mozilla Firefox\js3250.dll
2010-09-25 19:10 . 2010-09-15 00:26 908248 ----a-w- c:\program files\Mozilla Firefox\firefox.exe
2010-09-25 19:10 . 2010-09-15 00:26 17880 ----a-w- c:\program files\Mozilla Firefox\AccessibleMarshal.dll
2010-09-25 19:10 . 2010-09-15 00:26 120280 ----a-w- c:\program files\Mozilla Firefox\crashreporter.exe
2010-09-25 19:10 . 2010-09-14 20:35 249856 ----a-w- c:\program files\Mozilla Firefox\freebl3.dll
2010-09-25 12:41 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-25 12:41 . 2010-10-03 13:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-25 12:41 . 2010-09-27 19:25 -------- d-----w- c:\programdata\Malwarebytes
2010-09-25 12:41 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-23 14:19 . 2010-09-23 14:19 -------- d-----w- c:\program files\ScanSoft
2010-09-23 14:11 . 2010-09-23 14:12 -------- d-----w- c:\programdata\WinZip
2010-09-23 13:47 . 2010-10-10 12:25 -------- d-----w- c:\program files\Resource
2010-09-23 13:47 . 2010-10-10 12:25 -------- d-----w- c:\program files\Reader
2010-09-22 16:10 . 2010-09-22 16:10 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2010-09-19 11:55 . 2010-09-27 19:27 -------- d-----w- c:\program files\PC Tools Security
2010-09-19 11:55 . 2010-09-27 05:50 -------- d-----w- c:\program files\Common Files\PC Tools
2010-09-19 11:42 . 2010-09-19 11:56 -------- d-----w- c:\programdata\PC Tools
2010-09-15 11:19 . 2010-08-21 05:32 316928 ----a-w- c:\windows\system32\spoolsv.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-27 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-19 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-19 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-04-19 150552]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"Adobe Reader Speed Launcher"="c:\program files\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

c:\users\edith\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\users\pro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-9-30 503808]
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-27 135664]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
S0 30746632;30746632 Boot Guard Driver;c:\windows\system32\DRIVERS\30746632.sys [2009-10-22 37392]
S1 30746631;30746631;c:\windows\system32\DRIVERS\30746631.sys [2009-09-25 128016]
S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2009-07-06 11448]
S1 aswSP;aswSP; [x]
S1 setup_9.0.0.722_03.05.2010_19-26drv;setup_9.0.0.722_03.05.2010_19-26drv;c:\windows\system32\DRIVERS\3074663.sys [2009-10-09 311312]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-13 50688]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-27 20:58]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-27 20:58]
.
.
------- Examen supplémentaire -------
.
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\users\pro\AppData\Roaming\Mozilla\Firefox\Profiles\1qiyvz1i.default\
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Reader\browser\nppdf32.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-klmdb.sys


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\taskhost.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conhost.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2010-10-11 20:28:02 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-11 18:27
ComboFix2.txt 2010-10-10 02:19

Avant-CF: 56 542 924 800 octets libres
Après-CF: 56 713 584 640 octets libres

- - End Of File - - 7E8A5B9B1CE70C7D124A306A0D0384EA
0
Réponse 59 / 86
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

j'espère qu'on a eu sa peau maintenant

refais ca stp

https://forums.commentcamarche.net/forum/affich-19436494-rootkit-sur-fichier-systeme-bluescreen?page=3#62
0
Réponse 60 / 86
tyddy
 
1. ========================= SEAF 1.0.0.9 - C_XX
2.
3. Commencé à: 20:42:54 le 11/10/2010
4.
5. Valeur(s) recherchée(s):
6. zhyqss
7.
8. (!) --- Calcul du Hash "MD5"
9. (!) --- Informations supplémentaires
10. (!) --- Affichage des ADS
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. Aucun fichier trouvé
16.
17.
18. ====== Entrée(s) du registre ======
19.
20.
21. [HKLM\System\ControlSet001\Enum\Root\LEGACY_ZHYQSS]
22.
23. [HKLM\System\ControlSet002\Enum\Root\LEGACY_ZHYQSS]
24.
25. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ZHYQSS]
26.
27. [HKU\S-1-5-21-37374645-1396205322-2350621599-1004\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
28. "LastKey"="Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\zhyqss" (REG_SZ)
29.
30. =========================
31.
32. Fin à: 20:54:36 le 11/10/2010
33. 287724 Éléments analysés
34.
35. =========================
36. E.O.F
0