Rootkit trouvé par avast et probleme de demal

Résolu
fab -  
vieu bison boiteu Messages postés 45515 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour, depuis deux jours avast m envoie un message qu une menace a été détecté!!!rootkit trouvé c:\windows\system32\drivers\cavmtrpaw.sys est endommagé. L ordi plante quelques fois au démarrage, des fois il arrive a démarrer mais mon bureau est bizarre. Bandereau en bas de couleur bizarre ainsi que le menu démarrer!!!En étant juste sur le bureau j ai aussi quelque fois un message de microsoft windows qui me dis : processus hôte pour les services windows a cesser de fonctionner et a été arreté...

Il y a quelques années j avais eu un soucis d ordi et j avais perdu toutes mes données , photos... Donc la j ai mis mes photos sur disque dure externe au cas ou.
Merci de m aider!!!je suis pas tres fort en informatique...



A voir également:

23 réponses

  • 1
  • 2
Réponse 1 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
yop,

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.



2
Réponse 2 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
1
Réponse 3 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
bha je vois rien d'anormal \o/

T'as possibilité de lancer GMER en mode sans échec voir s'il plante ?

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.


sinon je veux bien aller péter le fichier que tu mentionnes dans ton premier post mais bon....
1
vieu bison boiteu Messages postés 45515 Date d'inscription   Statut Contributeur Dernière intervention   3 556
 
bonjour

c'est la touche de fonction "F5" qu'il faut tapoter au démarrage , maintenant

la touche "F8" ouvre de plus en plus un "BOOT Menu"

à+
0
Réponse 4 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Passe TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=

Poste le rapport ici.
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Pas grave pour le rapport.
Mais refais un scan TDSSKiller voir s'il détecte encore qq chose.
1
Réponse 6 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
On va dire que c'est bon alors.

Quelques conseils :

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html



Fonctionnement malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Burn, burn, yes ya gonna burn
Burn, burn, yes ya gonna burn
Burn, burn, yes ya gonna burn
Burn, burn, yes ya gonna burn

It goes a-1, 2, 3
1
Réponse 7 / 23
fab
 
pour le moment on dirais!!mais je suis prudent.
Comment etre sur???
j ai plusieurs questions avant de clore si tu permet :

1 / je pe essayer gmer maintenant??? pour voir!!comme il plantais tout le temps...
2/ j ai acheter un disque dur externe quand c arrivé!!!car je voulais pas predre mes photos... mon disque externe a pu etre infecté aussi??? quand j ai mis les photos dessus???
3 / je garde ds un coin TDSS KILLER comme ca je ferais des analyse de temps en temps.


encore merci!!j espere que je ne v plus avoir de soucis!!! je te tiens au courant ce soir!!!si rien n arrive avant ce soir!!je cloturais mon soucis ;)
1
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
1/ Si tu veux mais c'est pas dit que ne plantera plus. Ca peut être Avast! qui le fait planter ou autre chose (Daemon tools etc).
2/ ça devrait être bon.
3/ Ca sert à rien.
0
fab
 
et bien ecoute tu as raison ca a planté. Ca dois venir d autre chose...
merci pour t rep. J ai refais TDSS KILLER et n a rien trouvé
Je n ai eu aucun message d alerte d avast ni de microsoft de l apres midi qui m embete!!je pense que c fini.
Je tiens a te faire un grand merci!!!tu as bien vu que c pas mon fort les ordi mais tu as su me guider!!!Encore un super grand merci c sympas de tomber sur des gens comme toi!!je te souhaite une bonne continuation!!!encore GRAND MERCIIIIIIIIIIIIIIIIIIIIIIIIIII
0
Réponse 8 / 23
fab
 
merci pour la rep!!! j ai fais ce que tu as demandé!! Il n y avais pas de bouton QUICK sCAN? MAIS analyse EN HAUT A GAUCHE; j ai cliqué sur celui ci. J ai ensuite utilisé le site que tu ma donné pour mettre mon raaport. Je met le lien ici. Car je c pas si il fallais te le donner.

http://www.cijoint.fr/cjlink.php?file=cj201010/cijwbfSYSg.txt
0
Réponse 9 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
il a l'air d'avoir été shooté le rootkit.

Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
0
Réponse 10 / 23
fab
 
tu dis que le rootkit a été detruit c ca??? en fait quand avast la detecté il m a demander ignoer je crois ou supprimer!!!moi j ai cliqué sur supprimé!!!J ai été en zone de quarantaine et il y avis plusieurs choses!!j ai tout supprimé.

Je v de suite faire ce que tu m a dis et je te tiens au courant!!

au fait, merci de ta rapidité c sympas!!a tout de suite.
0
Réponse 11 / 23
fab
 
je n arrive pas a trouvé l endrois ou aller pour désactiver l antivirus!!!désolé!!! peut tu m aider stp!!merci
0
Réponse 12 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Si Avast! détecte rien ça doit être bon.
0
Réponse 13 / 23
fab
 
bon j ai trouvé comment desactiver avast!! mais quand j ai lancé gmer au bout de quelques secondes j ai eu le message d alerte!!je pense que c quand il trouve un rootkit!!! si j ai bien compris!!j ai cliqué sur ok ! le scan a continuer mais c arreter un peu plus loin!!!! nouveau message le programme dois s arreter microsoft windows a rencontrer un probleme!!!ca c un message que je recois souvent depuis mon soucis!!!mais la l ordi c carrement arreter!!!et redemarrer tout seul. Je v refaire une tentative de scan avec gmer en esperant qu il aille jusqu au bout
0
Réponse 14 / 23
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Fais une capture de GMER et envoie la sur cijoint
et file le lien ici.
0
Réponse 15 / 23
fab
 
et bien deuxieme tentative et meme resultat!!!le programme se ferme!!il me dit qu il a rencontrer un probleme!!!
Je n est pas compris ta demande desolé!!!
0
Réponse 16 / 23
fab
 
et bien ce ne fut pas de la tarte!!!!j ai lancé combofix. Il a bien trouvé un rootkit. A ce moment la il demande un redemarrage. Je clique sur ok. Mais lors du redemarrage l ecran reste noir pendant au moins 20 minutes sans que rien ne se passe. Je decide de faire CONTROLE ALT SUPP . J ai essayé de changer d utilisateur sans succes!!!j ai fermé la session et rouvert apres!!la ca passe!!! on reviens sur un fond noir mais combofix reviens et recommence l analyse!!!et cette fois ci j ai eu un rapport. Ensuite le bureau c affiché. Voici le rapport :

ComboFix 10-10-20.04 - fabetcaro 21/10/2010 15:46:10.1.2 - x86
Lancé depuis: c:\users\fabetcaro\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Public\Documents\Server\admin.txt
c:\users\Public\Documents\Server\server.dat

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-21 au 2010-10-21 ))))))))))))))))))))))))))))))))))))
.

2010-10-21 13:56 . 2010-10-21 13:57 -------- d-----w- c:\users\fabetcaro\AppData\Local\temp
2010-10-21 13:56 . 2010-10-21 13:56 -------- d-----w- c:\users\fabrice.PC-de-fabetcaro.000\AppData\Local\temp
2010-10-21 13:56 . 2010-10-21 13:56 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-21 13:56 . 2010-10-21 13:56 -------- d-----w- c:\users\fabrice.PC-de-fabetcaro\AppData\Local\temp
2010-10-20 17:18 . 2010-09-09 22:52 6084944 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{A67C0DC4-7D39-4071-922D-90F5BFA221BF}\mpengine.dll
2010-10-14 19:03 . 2010-09-10 16:35 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe
2010-10-14 19:02 . 2010-09-10 16:37 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2010-10-14 16:59 . 2010-09-06 16:24 125952 ----a-w- c:\windows\system32\srvsvc.dll
2010-10-14 16:59 . 2010-09-06 14:13 303616 ----a-w- c:\windows\system32\drivers\srv.sys
2010-10-14 16:59 . 2010-09-06 14:12 145408 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-10-14 16:59 . 2010-09-06 14:12 101888 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-10-14 16:59 . 2010-09-06 16:23 17920 ----a-w- c:\windows\system32\netevent.dll
2010-10-14 16:43 . 2010-08-31 15:41 954752 ----a-w- c:\windows\system32\mfc40.dll
2010-10-14 16:43 . 2010-08-31 15:41 954288 ----a-w- c:\windows\system32\mfc40u.dll
2010-10-14 11:53 . 2010-09-20 09:25 231936 ----a-w- c:\windows\system32\msshsq.dll
2010-10-13 19:24 . 2010-08-31 15:40 531968 ----a-w- c:\windows\system32\comctl32.dll
2010-10-13 19:03 . 2010-06-28 16:15 1315840 ----a-w- c:\windows\system32\ole32.dll
2010-10-13 19:03 . 2010-06-28 14:31 339968 ----a-w- c:\program files\Windows NT\Accessories\wordpad.exe
2010-10-13 17:56 . 2010-08-10 15:02 274432 ----a-w- c:\windows\system32\schannel.dll
2010-10-13 17:49 . 2010-08-26 16:07 157184 ----a-w- c:\windows\system32\t2embed.dll
2010-10-13 17:28 . 2010-08-31 13:39 2037248 ----a-w- c:\windows\system32\win32k.sys
2010-10-13 17:21 . 2010-08-20 15:21 866816 ----a-w- c:\windows\system32\wmpmde.dll
2010-10-07 18:41 . 2010-10-07 18:42 -------- d-----w- C:\Temp
2010-10-06 13:03 . 2010-10-06 13:03 -------- d-----w- c:\windows\OvtCam
2010-10-06 13:02 . 2003-10-15 14:52 307200 ----a-w- c:\windows\vidcap32.exe
2010-10-06 13:02 . 2003-10-15 14:52 200704 ----a-w- c:\windows\sel3110.exe
2010-10-06 13:02 . 2003-10-15 14:52 174530 ----a-w- c:\windows\system32\drivers\ov519vid.sys
2010-10-06 13:02 . 2003-10-15 14:52 16426 ----a-w- c:\windows\system32\ov519usd.dll
2010-10-06 13:02 . 2003-10-15 14:52 40960 ----a-w- c:\windows\system32\ov519ext.dll
2010-10-06 13:02 . 2003-10-15 14:52 25211 ----a-w- c:\windows\system32\drivers\ov519cmd.sys
2010-10-06 13:02 . 2003-10-15 14:52 25099 ----a-w- c:\windows\system32\ov519ext.ax
2010-10-06 13:02 . 2003-10-15 14:52 40960 ----a-w- c:\windows\CleanDev.exe
2010-10-06 13:02 . 2003-10-15 14:52 32528 ----a-w- c:\windows\amcap.exe
2010-10-06 13:02 . 2003-10-15 14:52 61440 ----a-w- c:\windows\ov519dib.dll
2010-10-06 13:02 . 2003-10-15 14:52 135168 ----a-w- c:\windows\ov519cap.exe
2010-09-29 08:41 . 2010-06-22 12:57 2048 ----a-w- c:\windows\system32\tzres.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-23 17:38 . 2008-12-23 15:02 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2007-07-19 1120568]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-14 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-08-27 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 4390912]
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 232184]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-23 30192]
"MSPService"="c:\program files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe" [2007-06-12 102400]
"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]
"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13683232]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 92704]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-15 149280]
"Hiyo"="c:\program files\HiYo\bin\HiYo.exe" [2010-07-09 255344]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Wireless Configuration Utility.lnk - c:\program files\TRENDnet\TEW-424UB\WlanCU.exe [2007-4-29 434176]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-4037712979-3831963458-1355728774-1002]
"EnableNotificationsRef"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 135664]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-23 30192]
R3 RTL8187B;TRENDnet TEW-424UB 54M USB Dongle;c:\windows\system32\DRIVERS\RTL8187B.sys [2007-07-18 281088]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-08-27 92008]

.
Contenu du dossier 'Tâches planifiées'

2010-10-21 c:\windows\Tasks\Extension de garantie.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2007-08-28 16:38]

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 12:31]

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 12:31]

2010-10-21 c:\windows\Tasks\Recovery DVD Creator.job
- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2007-08-28 16:34]

2010-10-21 c:\windows\Tasks\User_Feed_Synchronization-{47AB2A0B-69D5-4B4B-BDD0-CD9225746EC4}.job
- c:\windows\system32\msfeedssync.exe [2008-12-25 07:33]
.
.
------- Examen supplémentaire -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
Trusted Zone: bobtv.fr\www
DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - hxxp://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
FF - ProfilePath - c:\users\fabetcaro\AppData\Roaming\Mozilla\Firefox\Profiles\7c44l5ex.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.akeoportail.com/
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-Picasa2 - c:\program files\Picasa2\Uninstall.exe



Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys xfilt.sys acpi.sys hal.dll >>UNKNOWN [0x866ED446]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x889b5322
\Driver\ACPI -> acpi.sys @ 0x806a0d4c
\Driver\atapi -> ataport.SYS @ 0x807b89a8
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

**************************************************************************
.
Heure de fin: 2010-10-21 16:01:36
ComboFix-quarantined-files.txt 2010-10-21 14:01

Avant-CF: 81 063 325 696 octets libres
Après-CF: 81 909 616 640 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=10 Sets=1,2,3,4,5,6,7,8,9,10
- - End Of File - - 2B1C98052A29C803AD4F81B8C229038D
0
Réponse 17 / 23
fab
 
bonjour, alors hier soir avant d aller au dodo j ai eteint l ordi et je l ai redemarrer pour voir... Pas de soucis.
Ce matin je l ai demarré et aucun probleme pour le moment aussi.
Cela se passe bien au démarrage.
Cela fais 30 minutes que je tourne sur internet et aucun message d alerte pour le moment.
Par contre j ai toujours ce message de "microsoft windows" qui s affiche en bas tout en bas et qui me dis : Processus hôte pour les services windows a cesser de fonctionner et a été arreté.
Un probleme est a l origine du dysfonctionnement de cette application.Windows vous previendra si une solution est dispo. Et on peux que cliquer sur fermer.
une autre fenettre s ouvre en anglais. ..
Bon pour le moment je v quand meme faire GMER en mode sans echec. je te tiens au courant. merci
0
Réponse 18 / 23
fab
 
ca c quand je ferme mon message de microsoft windows et la nouvelle page
rapport et solutions trouvé me donne ca :

Download updates for Windows
There was a problem with Windows that caused it to stop working correctly.

Your computer might be missing updates that can help improve its stability and security.

Open Windows Update to check for and install Important and Recommended updates.

Windows Update

In the left pane, click Check for updates. If any updates are found, click View available updates.

Select all Important updates, and then click Install. If you are prompted for an administrator password or confirmation, type the password or provide confirmation.

Note
If you have turned on automatic updating, you might not see any Important updates listed. If this is the case, the updates have already been downloaded to your computer.

Additional information


To learn more about updating your computer, go to the Microsoft website and read the following article:

Windows Update Frequently Asked Questions
0
Réponse 19 / 23
fab
 
bon pour gmer en mode sans echec j y arrive pas. Si j appuie sur F8 au debut je tombe ds le menu boot!!!
je recommence et apres si je fait F8 jusqu au logo rien ne se passe. :(
Je v refaire un essai en mode normal.
0
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
faut le faire juste avant le logo :
0
fab
 
c ce que je fais mais rien!!
0
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
bha non, si tu l'avais fait, tu aurais pu démarrer en mode sans échec -regarde là : https://www.malekal.com/demarrer-windows-mode-sans-echec/
0
fab
 
c bon j ai réussi!!desolé!!faut vraiment tomber pile poile!!bon je suis en mode sans echec!!je v essayer!!
0
fab
 
et bien voila!!en mode sans echec c le meme topo!!! il scan : me balance le messafe d alerte en anglais qui dis que gmer a trouvé une modification du systeme causé par un rootkit en activité.
Je clique sur ok et il continue le scan jusqu a ce que l ordi se plante et redemarre tout seul!!
0
Réponse 20 / 23
fab
 
voila j ai reussi un faire un scan avec tdsskiller!!pour une fois tout c bien passé!!!par contre je n est pas de rapport?????

il a trouvé :

-Malicious objets :

-Rootkit.win32.TDSS.tdl4 cure
MBR
Name:\hardDisk0\MBR

ensuite j ai cliqué sur continuer
et apres REBOOT NOW
comme il demande!!!
(j avais tout noté au cas ou ;) )

donc j ai cliqué!! l ordi a redemarrer!!!
petit changement , j avais plus le son quand le logo windows apparais!! la je l ai retrouvé.


Mais apres je me retrouve sur le bureau. Mais pas de rapport!!???
Voila. Dis moi si le rapport est quelque part. sinon je refait le meme scan pour voir si c bon???
merci
0

Discussions similaires

Phishing faux mail d'avast
Colette34 -
Gerper -

2 réponses
Prélèvement dri Avast software
Ml -
dadout -

2 réponses
Arnaque installation Avast Premium security
Eldanield -
bazfile -

9 réponses
Impossible de joindre Avast
soleil12 -
MPMP10 -

1 réponse
arnaque de avast prelevement sans autorisation
petit -
Petittoune -

15 réponses