Rootkit Alureon

Luker -  
 Utilisateur anonyme -
Bonjour,

J'ai fréquemment un reboot de mon pc avec un écran bleu j'ai donc cherché sur des forums et d'après que j'ai le rootkit Alureon. J'ai donc télécharger Random's System Information Tool (RSIT) et je trouve ceci pour log.txt:
Merci d'avance de m'aider
Logfile of random's system information tool 1.08 (written by random/random)
Run by Alexandre at 2010-11-24 13:43:52
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 149 GB (62%) free of 238 GB
Total RAM: 2038 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:48:17, on 24/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky PURE\avp.exe
C:\Program Files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\KMService.exe
C:\Program Files\Nero\Update\NASvc.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\BR040286.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
C:\Program Files\Kaspersky Lab\Kaspersky PURE\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~2\MODULE~1\stpass.exe
C:\DOCUME~1\ALEXAN~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Alexandre\Mes documents\Downloads\Programs\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\Alexandre.exe
C:\Documents and Settings\Alexandre\Mes documents\Downloads\Compressed\gmer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky PURE\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office14\GROOVEEX.DLL
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky PURE\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BisonInst0402] C:\WINDOWS\BR040286.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky PURE\avp.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~4\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files\Kaspersky Lab\Kaspersky PURE\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger avec Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Mon Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky PURE\klwtbbho.dll
O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky PURE\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Kaspersky PURE (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky PURE\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de gestion du système CryproStorage (CSObjectsSrv) - Infowatch - C:\Program Files\Fichiers communs\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

40 réponses

  • 1
  • 2
Résumé de la discussion

Des redémarrages fréquents et un écran bleu ont suscité une suspicion d’infection par un rootkit, potentiellement Alureon, après l’analyse des rapports générés par RSIT et HijackThis, à l’époque. Les éléments diagnostiqués incluent des services et processus système inhabituels, des modules chargés au démarrage et des entrées suspectes, ce qui justifie l’usage d’outils de nettoyage comme ZHPDiag et ZHPFix. Plusieurs procédures recommandent de sauvegarder les rapports, d’exécuter les outils en mode administrateur et de nettoyer les éléments identifiés, tout en restant attentif à d’éventuels composants réseau persistants et aux services au démarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour
    J'ai analysé le rapport de ZHPDiag, et il y a des infections à nettoyer
    2
    1. clemtheboss413 Messages postés 782 Statut Membre 7
       
      vas y je te laisse la main
      0
    2. Luker
       
      Peut-tu me dire lesquelles Jawaryinti ?
      0
    3. Utilisateur anonyme
       
      salut, Jawaryinti, tu prends la suite?
      0
    4. clemtheboss413 Messages postés 782 Statut Membre 7
       
      tas ps l'impression
      0
  2. clemtheboss413 Messages postés 782 Statut Membre 7
     
    Salut
    Donwload Zhpdiag
    Installe et démarre le !
    Clique sur la loupe et ensuite (à la fin)sur la disquette
    Tu enregistre le rapport sur le bureau
    Vas sur http://www.cijoint.fr
    Héberge le rapport dessus
    Donne le lien dans ta prochaine réponse
    1
  3. Utilisateur anonyme
     
    Bonjour 91300, je reprends la suite

    A Luker, je te prépare une procédure
    1
  4. Luker
     
    Merci d'avoir répondu aussi vite.
    J'ai fait comme tu m'as dit et voici le lien:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cij1fsRDrv.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. clemtheboss413 Messages postés 782 Statut Membre 7
     
    le lien est mort re fais un lien svp
    0
    1. Utilisateur anonyme
       
      Bonjour
      Le lien marche parfaitement
      0
    2. clemtheboss413 Messages postés 782 Statut Membre 7
       
      mdr sa me met internal error 500
      c'était plus rapide
      P.s:n'hésite pas a me demander la main
      0
  7. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    bonjour a vous

    le lien est bon

    pour suivre
    0
  8. Luker
     
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijtNtY0oo.txt

    Voila.
    0
  9. Luker
     
    Voici le log de MBAM

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5181

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    24/11/2010 15:47:25
    mbam-log-2010-11-24 (15-47-25).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 229296
    Temps écoulé: 1 heure(s), 16 minute(s), 39 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> No action taken.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> No action taken.
    C:\WINDOWS\system32\secushr.dat (Malware.Trace) -> No action taken.
    0
  10. clemtheboss413 Messages postés 782 Statut Membre 7
     
    Vide la quarantaine et je passe la main
    0
  11. Luker
     
    Okay sa m'a mis sa quand j'ai mis supprimé sélection une idée ?:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5181

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    24/11/2010 15:52:27
    mbam-log-2010-11-24 (15-52-27).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 229296
    Temps écoulé: 1 heure(s), 16 minute(s), 39 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Failed to unload process.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Delete on reboot.
    C:\WINDOWS\system32\secushr.dat (Malware.Trace) -> Quarantined and deleted successfully.
    0
    1. clemtheboss413 Messages postés 782 Statut Membre 7
       
      as-tu redemarrer
      0
  12. Luker
     
    Oui; c'est bon j'ai réussi à tout supprimer mais tu penses que sa va influencer et éviter que mon problème persiste ou tu ne sais pas ?
    0
    1. clemtheboss413 Messages postés 782 Statut Membre 7
       
      reste t'il des truc dans la quarantaine
      0
    2. Luker
       
      Non il ne reste rien.
      0
    3. clemtheboss413 Messages postés 782 Statut Membre 7
       
      ok
      0
  13. Luker
     
    voila:

    Rapport de ZHPFix 1.12.3221 par Nicolas Coolman, Update du 20/11/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-24-11-2010-16-40-31.txt
    Run by Alexandre at 24/11/2010 16:40:31
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Module(s) mémoire ==========
    C:\Documents and Settings\Alexandre\Application Data\SYSTEM32.dll [6] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    HKCU\Software\Conduit => Clé absente
    HKLM\Software\Conduit => Clé absente
    HKCU\Software\Drivers => Clé absente
    HKCU\Software\Zugo => Clé absente

    ========== Dossier(s) ==========
    C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\documents and settings\alexandre\application data\mozilla\firefox\profiles\\tnqdi0tm.default\searchplugins\askcom.xml => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    1 : Module(s) mémoire
    4 : Clé(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)

    End of the scan
    je te fais ZHPDiag
    0
  14. Luker
     
    Et voici:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijAUQLjVA.txt
    0
  15. Utilisateur anonyme
     
    Je verrai cela plus tard dans la soirée
    0
  16. Luker
     
    Voila c'est fait et voici le rapport:

    Rapport de ZHPFix 1.12.3221 par Nicolas Coolman, Update du 20/11/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-24-11-2010-21-37-20.txt
    Run by Alexandre at 24/11/2010 21:37:20
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe => Valeur absente
    O4 - HKCU\..\Run: [IDMan] . (.Tonec Inc. - Internet Download Manager (IDM).) -- C:\Program Files\Internet Download Manager\IDMan.exe => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-1275210071-261903793-839522115-1004\..\Run: [IDMan] . (.Tonec Inc. - Internet Download Manager (IDM).) -- C:\Program Files\Internet Download Manager\IDMan.exe => Valeur absente
    O4 - HKUS\S-1-5-21-1275210071-261903793-839522115-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Hot MP3 Customized Web Search) - http://search.conduit.com => Donnée remplacée avec succès

    ========== Récapitulatif ==========
    8 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre

    End of the scan
    0
  17. Utilisateur anonyme
     
    Ton PC reboot-il toujours avec un écran bleu ?
    0
    1. Luker
       
      Non pour l'instant il n'a pas reboot avec un écran bleu. J'espere qu'il ne le fera plus.
      Merci !!!
      0
  18. Utilisateur anonyme
     
    Attendons demain, si ça recommence, tu me le signale et on verra ce qu'on peut faire
    0
    1. Luker
       
      Ok je te fais signe si sa recommence mais normalement il n'y a pas de raison.
      Merci beaucoup!!
      0
  19. Utilisateur anonyme
     
    Tu as probablement un rootkit dans ton PC, on va surveiller ça quand même
    0
  20. Utilisateur anonyme
     
    Bonjour
    Tu as un cheval de troie qu'il faut virer
    Copie les lignes suivantes en gras ci dessous, c'est à dire
    que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
    clic droit dessus>copier

    [MD5.4635935FC972C582632BF45C26BFCB0E] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\srvany.exe [8192]
    [HKCU\Software\Windows X]
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AutoKMS.job
    O23 - Service: (KMService) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\srvany.exe
    O44 - LFC:[MD5.48A77273E8C545DCB70EEE3866CD2123] - 08/11/2010 - 20:34:34 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\AutoKMS.ini
    O44 - LFC:[MD5.0ED398A4D031B9CFB10E3FEDF97AD836] - 08/11/2010 - 20:32:28 ---A- . (.Pas de propriétaire - AutoKMS.) -- C:\WINDOWS\AutoKMS.exe [614400]
    O64 - Services: CurCS - C:\WINDOWS\system32\srvany.exe - KMService (KMService) .(.Pas de propriétaire - Pas de description.) - LEGACY_KMSERVICE
    SS - | Auto 06/10/2010 8192 | C:\WINDOWS\system32\srvany.exe (KMService) . (.Pas de propriétaire.) - C:\WINDOWS\system32\srvany.exe


    * Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
    ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
    tant qu'administrateur
    )
    * Clique sur l'icône représentant la lettre H, cela collera les lignes que tu
    as mis en mémoire
    * Clique sur OK, sur Tous, puis sur Nettoyer
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    0
    1. Utilisateur anonyme
       
      Je ne sais pas qui m'a mis cette note, c'est pas intelligent car ce que je dois faire faire, c'est
      de lui faire supprimer un cheval de Troie indiqué par ces lignes
      Windows est officiel
      0
  • 1
  • 2