Antivirus bloqués et scan qu'en sans echec Fermé

Question

Je ne sais pas ce que c'est, mais une chose est certaine, c'est une belle saxxperie!

Ma femme a choper un virus il y a quelques semaines et déborder par le boulot je n'ai eu le temps de m'en occuper que pendant mes vacances (passées devant son PC!!!).

Les symptômes:
- Les protections du PC (antivirus, firewall et autres) sont toutes bloqués lors du lancement du PC
- Impossible d'accéder au panneau de configuration (le PC plante avec un ecran bleu contenant des écritures bleu - impossible de lire ce qui est marqué car l'écran ne dure qu'une demi seconde!)
- Dès qu'un CD, une clès USB, un disque dur externe ou tout autre device est branché sur le PC, il plante (même ecran bleu)
- Impossible d'installer un antivirus, impossible de lancer un scan (off ou online) en mode normal


J'ai fais de nombreuses manipulations et rien a y faire:
- Boot avec HBCD mais le menu est bloqué donc impossible de lancer les scans antivirus
- Achat d'un antivirus (kapersky) = impossible a installé car le(s) virus bloque sont installation (message d'erreur dans ce sens)
- Téléchargement de AVPTool = Installation bloquée par le(s) virus en mode normale. Je l'ai installé et lancé en mode sans échec et là, croyez le ou non, mais il n'a trouvé AUCUN VIRUS ni malware ou autre!!!!
- Téléchargement, installation et scan (tout en mode sans echec car impossible de faire les manip en mode normal) avec ELIBAGLE = 1 virus d'éliminé et 2 fichiers défectueux réparés
- Idem avec Emisoft Anti-Malware = 93 fichiers, cookies et traces suspectes supprimées
- Idem avec Escan = 2 virus supprimés et 6 erreurs réparés
- Stinger est en cours de scan selon le même process et j'ai encore AVG sous le coude
- Je suis prêt à lancer des scans online en mode sans echec avec  Bitedefender, Scan en ligne Firefox et Panda (ils sont eux aussi bloqués en mode normal)
- DrWeb, FindyKill ne veulent pas se lancer en mode sans echec et sont eux aussi bloqués en mode normal

Pour répondre à des questions qui pourraient venir, j'ai réalisé un CHDSK, tout va bien de ce côté là donc je suis quasi certain qu'il s'agit d'un ou plusieurs virus!!!


Pour compléter le niveau d'infos, le PC tourne sur Vista.


Voila un peu la situation (de merxe) dans laquelle je suis le jour du nouvel an.... Si quelqu'un a un tuyau et/ou conseil, je suis preneur!

Merci d'avance pour votre aide et surtour, bonne année 2011 (sans virus)!


Veuillez trouver ci-desssous le rapport HijackThis réalisé en mode sans echec:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:59:18, on 31/12/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18385)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\SAAB\Desktop\stinger10101176.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\SAAB\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nixud.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nixud.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [DVDAgent] "C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe"
O4 - HKLM\..\Run: [TSMAgent] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"
O4 - HKLM\..\Run: [CLMLServer for HP TouchSmart] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [TVAgent] "C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Hewlett-Packard\Media\Webcam" update "Software\Hewlett-Packard\Media\Webcam"
O4 - HKLM\..\Run: [SmartMenu] %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [UpdatePDIRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "SOFTWARE\CyberLink\PowerDirector\7.0"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [CardDetector] C:\Program Files\CardDetector\ICON225\CardDetector.exe
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [JavaLaunchUninstall] "C:\Windows\system32\LaunchUninstall.exe" /uninstall C:\Program Files\Java Launcher
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: AVPTOOL_setup_9.0.0.722_29.12.2010_22-31.lnk = C:\Users\SAAB\Desktop\Virus Removal Tool\AVPTOOL_setup_9.0.0.722_29.12.2010_22-31\startup.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_c92065b9\aestsrv.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_c92065b9\STacSV.exe
O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

______________

si cela coince sur sur ci joint.fr passer par https://www.cjoint.com/

Ods · Answer

Merci pour cette réactivité! J'essaye ça immédiatement!

Ods · Answer

Une petite précision, je relance le PC en mode normal ou en mode sans échec c'est OK?

moment de grace · Answer

en normal si il est d'accord....

Ods · Answer

L'installation a marché (en mode sans echec) mais lorsque je veux lancer le diag en mode normal, il refuse de le charger... Je réessaie en mode sans echec immédiatement.

ods · Answer

Et voici!


http://www.cijoint.fr/cjlink.php?file=cj201012/cij3AmVZCv.txt



Sauf erreur de ma part, on constate 2 infections possibles:

---\ Infection BT - BHO/Toolbar (Possible)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe (.not file.) 
[HKCU\Software\Search Settings]
[HKLM\Software\Search Settings]

moment de grace · Answer

oui effectivement mais en aucun cas responsable de tes soucis

fais ces deux choses

1)

vas ici et fais le test  http://consultaide.e-monsite.com/rubrique,conficker-simples-tests,355935.html

_________

2)

comme ELIBAGLE avait trouvé quelque chose et que findykill, je ne sais pas où tu l'as pris on le refait

* Téléchargez FindyKill sur le Bureau. 

http://www.teamxscript.org/findykillTelechargement.html

ou

http://teamxscript.changelog.fr/FindyKill.html

* Double-cliquez sur FindyKill présent sur le Bureau. 

* Choisissez l'option 1 (Recherche). 

* Laissez travailler l'outil. 

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider). 

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt). 

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

* Tuto : http://pagesperso-orange.fr/NosTools/index.html

ods · Answer

1) Toutes les images apparaissent bien

2) je lance le process en mode sans echec avec accès au réseau

ods · Answer

2) Voila le rapport:

Rien d'anormale ?!


############################## | FindyKill V5.052 |

# User : SAAB (Administrateurs) # PC-DE-SAAB
# Update on 23/10/2010 by El Desaparecido
# Start at: 13:05:07 | 31/12/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# AMD Athlon(tm) X2 Dual-Core QL-65
# Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : eScan Virus Control (VC) for Windows 9.0.718.1 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 221,87 Go (139,51 Go free) # NTFS
# D:\ # Disque fixe local # 11,01 Go (1,83 Go free) [RECOVERY] # NTFS
# E:\ # Disque CD-ROM

################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |

ods · Answer

J'ai aussi lancer un scan avec Combofix, voici le rapport ci-dessous:

ComboFix 10-12-30.03 - SAAB 31/12/2010  12:34:38.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3069.2454 [GMT 1:00]
Lancé depuis: c:\users\SAAB\Desktop\asdehi.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
C:\Install.exe
c:\windowsegedit.com
c:\windows\system32\Ijl11.dll
c:\windows\system32	askmgr.com

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-11-28 au 2010-12-31  ))))))))))))))))))))))))))))))))))))
.

2010-12-31 11:45 . 2010-12-31 11:46	--------	d-----w-	c:\users\SAAB\AppData\Local	emp
2010-12-31 11:45 . 2010-12-31 11:45	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-12-31 11:29 . 2010-12-31 11:29	--------	d-----w-	C:\asdehi
2010-12-31 11:05 . 2010-12-31 11:16	--------	d-----w-	c:\program files\ZHPDiag
2010-12-31 09:53 . 2010-12-31 11:00	4838	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2010-12-30 21:14 . 2010-12-31 09:41	--------	d-----w-	C:\FyK
2010-12-30 21:09 . 2010-12-30 21:09	--------	d-----w-	C:\PUB
2010-12-30 16:54 . 2010-12-30 21:06	--------	d-----w-	c:\program files\Emsisoft Anti-Malware
2010-12-30 16:09 . 2010-12-30 16:09	--------	d-----w-	c:\users\SAAB\AppData\Roaming\QuickScan
2010-12-29 21:42 . 2010-12-30 14:23	--------	d-----w-	c:\programdata\Kaspersky Lab
2010-12-29 21:41 . 2009-10-22 11:54	37392	----a-w-	c:\windows\system32\drivers\18591702.sys
2010-12-29 21:41 . 2009-10-09 21:31	311312	----a-w-	c:\windows\system32\drivers\1859170.sys
2010-12-29 21:41 . 2009-09-25 15:59	128016	----a-w-	c:\windows\system32\drivers\18591701.sys
2010-12-29 20:51 . 2010-12-29 20:51	--------	d-----w-	c:\programdata\Kaspersky Lab Setup Files
2010-12-05 11:44 . 2010-12-05 11:44	--------	d-----w-	c:\programdata\WindowsSearch

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 10:41 . 2009-12-07 19:54	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-10-07 23:21 . 2010-11-15 10:29	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{27ED46DA-5124-46E1-A20F-FAF5123998A1}\mpengine.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-11-13 972080]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-12-04 1410344]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]
"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]
"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]
"TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-05-08 206120]
"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"CardDetector"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-10-18 241664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

c:\users\SAAB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
AVPTOOL_setup_9.0.0.722_29.12.2010_22-31.lnk - c:\users\SAAB\Desktop\Virus Removal Tool\AVPTOOL_setup_9.0.0.722_29.12.2010_22-31\startup.exe [2010-12-29 72208]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R1 aswSP;aswSP; [x]
R2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/07/19 03:03];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [2008-11-28 16:04 87536]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_c92065b9\aestsrv.exe [2009-01-13 77824]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-02-11 51792]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 136176]
R2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [2008-12-17 365952]
R2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [2008-11-26 296320]
R2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [2008-11-26 116096]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-11-19 222512]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-07-09 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-06-26 51968]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-12-05 109408]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2007-10-30 28224]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-09-04 54784]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2008-05-28 22072]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ECACHE

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 08:14	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-12-30 c:\windows\Tasks\eScan Updater.job
- c:\progra~1\eScan\TRAYICOS.EXE [2010-12-30 15:27]

2010-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 13:59]

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 13:59]

2010-12-30 c:\windows\Tasks\MailScan Dispatcher.job
- c:\progra~1\eScan\launch.exe [2010-12-30 15:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.nixud.com/
mStart Page = hxxp://www.nixud.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\SAAB\AppData\Roaming\Mozilla\Firefox\Profiles\0uisiyjs.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: 20-20 3D Viewer: 2020Player@2020Technologies.com - %profile%\extensions\2020Player@2020Technologies.com
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe
HKLM-Run-SmartMenu - %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
HKLM-Run-SearchSettings - c:\program files\pdfforge Toolbar\SearchSettings.exe
HKLM-RunOnce-<NO NAME> - (no file)
AddRemove-Google Chrome - c:\program files\Google\Chrome\Application\7.0.517.44\Installer\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-31 12:46
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msiserver]
"ImagePath"="%systemroot%\system32\msiexec /V"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-12-31  12:50:22
ComboFix-quarantined-files.txt  2010-12-31 11:50

Avant-CF: 149 445 648 384 octets libres
Après-CF: 149 716 328 448 octets libres

- - End Of File - - DC120C5AF5528F65554EBEB667C543E8

moment de grace · Answer

en effet pas grand  chose à voir

tu m'as devancé pour combo..

1)

findykill

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

! Déconnecte toi et ferme toutes application en cours (navigateur compris ) . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc... 

* Double clique sur setup.exe de Findykill présent sur ton bureau pour lancer l'outil. 

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

* Le pc va redémarrer automatiquement ... 

? le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal ! 

? Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt) 

 Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

______________

2)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


 c:\windows\system32\drivers\18591702.sys      
c:\windows\system32\drivers\1859170.sys      
c:\windows\system32\drivers\18591701.sys     



Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

Ods · Answer

En effet, c'est bien le post de guillaume qui m'a été envoyé par email et que j'ai appliqué! 

AVG est en cours d'analyse, dès qu'il a fini (d'ici 30 min) je lance les procédures suggérées! 

Merci à tout les deux pour votre aide et votre soutien!

Ods · Answer

oui^^

Mais j'ai demandé à ce que tous les posts me soient aussi envoyé par mail donc même si je n'ai pas pu voir ton post, le mail est resté ; )

moment de grace · Answer

et moi j'attends ca  https://forums.commentcamarche.net/forum/affich-20355585-antivirus-bloques-et-scan-qu-en-sans-echec#13

Ods · Answer

Gros Gro bug!

J'ai fais la manip de suppression avec FindyKill, le PC a redémaré, Windows (mode normal) s'est lancé et là, un gros bug: écran bleu brouillé et bip sonore continue!

Par ailleurs, aucun rapport de suppression...


Je ne sais pas dire si c'est le PC ou le virus qui souffre!

Ods · Answer

Voilà que le PC ne redémarre plus en mode normal... = ((

moment de grace · Answer

à la vue des rapport

je pense à un soucis matériel en + de quelques infections

..........

examen tres long

Téléchargez Dr.Web CureIt! sur ton Bureau : 
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan. 
Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite. 
Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration. 
Choisissez l'onglet Scanner, et décochez Analyse heuristique. 
De retour à la fenêtre principale : choisissez Analyse complète. 
 Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la. 
Cliquez Oui pour Tout si un fichier est détecté. 
A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine. 
Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport. 
Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv. 
Fermez Dr.Web CureIt! 
Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage. 
Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note 

Ensuite : 

Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/ 
Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier 
Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

ods · Answer

File name:
1859170.sys
Submission date:
2010-12-31 17:43:08 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.12.31.00	2010.12.30	-
AntiVir	7.11.0.247	2010.12.31	-
Antiy-AVL	2.0.3.7	2010.12.31	-
Avast	4.8.1351.0	2010.12.31	-
Avast5	5.0.677.0	2010.12.31	-
AVG	9.0.0.851	2010.12.31	-
BitDefender	7.2	2010.12.31	-
CAT-QuickHeal	11.00	2010.12.31	-
ClamAV	0.96.4.0	2010.12.31	-
Command	5.2.11.5	2010.12.31	-
Comodo	7253	2010.12.31	-
DrWeb	5.0.2.03300	2010.12.31	-
Emsisoft	5.1.0.1	2010.12.31	-
eSafe	7.0.17.0	2010.12.30	-
eTrust-Vet	36.1.8073	2010.12.31	-
F-Prot	4.6.2.117	2010.12.31	-
F-Secure	9.0.16160.0	2010.12.31	-
Fortinet	4.2.254.0	2010.12.31	-
GData	21	2010.12.31	-
Ikarus	T3.1.1.90.0	2010.12.31	-
Jiangmin	13.0.900	2010.12.31	-
K7AntiVirus	9.75.3406	2010.12.31	-
Kaspersky	7.0.0.125	2010.12.31	-
McAfee	5.400.0.1158	2010.12.31	-
McAfee-GW-Edition	2010.1C	2010.12.31	-
Microsoft	1.6402	2010.12.31	-
NOD32	5750	2010.12.31	-
Norman	6.06.12	2010.12.31	-
nProtect	2010-12-31.01	2010.12.31	-
Panda	10.0.2.7	2010.12.31	-
PCTools	7.0.3.5	2010.12.31	-
Prevx	3.0	2010.12.31	-
Rising	22.80.04.04	2010.12.31	-
Sophos	4.60.0	2010.12.31	-
SUPERAntiSpyware	4.40.0.1006	2010.12.31	-
Symantec	20101.3.0.103	2010.12.31	-
TheHacker	6.7.0.1.109	2010.12.30	-
TrendMicro	9.120.0.1004	2010.12.31	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.31	-
VBA32	3.12.14.2	2010.12.30	-
VIPRE	7898	2010.12.31	-
ViRobot	2010.12.31.4232	2010.12.31	-
VirusBuster	13.6.121.0	2010.12.30	-
Additional information
Show all
MD5   : 64d93ec1218765498c40619427a85a91
SHA1  : 5695668698653c1b24adf47fe4ed11aca821c9cd
SHA256: 3c14aacd33d5f17c597558fe0095c128c1f35868b172a58c75f0bdfe7f8b2276
ssdeep: 6144:TOzNyAPg5gosTX33OY+fmltTd4+MRjDxaYInRkiJXvsh:Tmy2g5gDTXnltTW+MRj0jRkKs
File size : 311312 bytes
First seen: 2009-11-25 22:54:02
Last seen : 2010-12-31 17:43:08
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1996-2009.
product......: Kaspersky_ Anti-Virus _
description..: Klif Mini-Filter _fre_wlh_x86_
original name: KLIF
internal name: KLIF
file version.: 8.4.0.101 built by: WinDDK
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 8:31 PM 10/9/2009
verified.....: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x46EAF
timedatestamp....: 0x4ACF8EC7 (Fri Oct 09 19:28:07 2009)
machinetype......: 0x14c (I386)

[[ 8 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x34D5A, 0x34E00, 6.48, 8c9f30432c2cc5fc6f5481b6ef57f8f0
.rdata, 0x36000, 0x1C44, 0x1E00, 4.20, ecc31acb3b2ed5be819659e58e89037b
.data, 0x38000, 0x2FE8, 0x1200, 4.53, 04e2d7c1084a0587b89fd26b23d2f133
PAGE, 0x3B000, 0x7D94, 0x7E00, 6.39, 14a9ec6cec589dc8e10eebdf877112cc
PAGEDATA, 0x43000, 0x7C, 0x200, 1.63, 5e38e46e343c2b077105267d9f354c63
INIT, 0x44000, 0x5C68, 0x5E00, 6.20, 5d9f31bd2f31c11e9998badaea26d6c6
.rsrc, 0x4A000, 0x390, 0x400, 3.09, bffa628f1b6da991ca188a07578c6b5f
.reloc, 0x4B000, 0x40AE, 0x4200, 6.43, ed9acef1a8b0fa7572d5bbcb1bb7693e

[[ 3 import(s) ]]
ntoskrnl.exe: RtlEqualUnicodeString, RtlEnumerateGenericTableWithoutSplayingAvl, _vsnwprintf, ZwEnumerateKey, ZwSetValueKey, ZwCreateFile, ZwDeleteKey, RtlIntegerToUnicodeString, ZwCreateKey, RtlUnicodeStringToInteger, ExAcquireRundownProtectionCacheAware, ExReleaseRundownProtectionCacheAware, ExWaitForRundownProtectionReleaseCacheAware, KeClearEvent, ZwFlushVirtualMemory, RtlHashUnicodeString, KeSetPriorityThread, KeUnstackDetachProcess, ZwUnmapViewOfSection, ZwMapViewOfSection, KeStackAttachProcess, ZwCreateSection, ExFreeCacheAwareRundownProtection, FsRtlAreVolumeStartupApplicationsComplete, MmUnsecureVirtualMemory, ExReInitializeRundownProtection, ObfReferenceObject, MmSecureVirtualMemory, ExAllocateCacheAwareRundownProtection, ExRundownCompletedCacheAware, IoUnregisterPlugPlayNotification, IoGetDeviceObjectPointer, IoRegisterPlugPlayNotification, SeTokenType, SeCreateClientSecurity, SeImpersonateClientEx, IoDeviceObjectType, IoBuildSynchronousFsdRequest, PsGetThreadProcessId, PsThreadType, PsGetProcessId, PsProcessType, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, ExGetPreviousMode, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, KeQueryInterruptTime, _stricmp, ZwQuerySystemInformation, KeDelayExecutionThread, strncmp, ZwQueryInformationProcess, KeServiceDescriptorTable, PsLookupProcessByProcessId, IoGetBaseFileSystemDeviceObject, ZwOpenFile, ObQueryNameString, MmHighestUserAddress, strncpy, IoAllocateIrp, IoGetStackLimits, SeReleaseSubjectContext, SeQueryAuthenticationIdToken, SeCaptureSubjectContext, PsDereferenceImpersonationToken, RtlCopySid, SeQueryInformationToken, PsReferenceImpersonationToken, PsReferencePrimaryToken, PsIsThreadTerminating, _allrem, MmUserProbeAddress, CmRegisterCallbackEx, CmGetCallbackVersion, CmUnRegisterCallback, RtlGetVersion, PsGetVersion, ZwDeleteValueKey, ZwEnumerateValueKey, _allshl, InterlockedIncrement, InterlockedDecrement, IoThreadToProcess, PsLookupThreadByThreadId, ZwTerminateProcess, ProbeForRead, SeExports, NtBuildNumber, ZwQuerySection, RtlNumberGenericTableElementsAvl, swprintf, IoGetAttachedDeviceReference, PsRemoveCreateThreadNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, RtlSetDaclSecurityDescriptor, RtlGetAce, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, ZwSetInformationObject, ZwQueryObject, ZwQueryKey, KeAddSystemServiceTable, KeInsertQueueApc, KeInitializeApc, IoIsSystemThread, NtQueryInformationProcess, RtlNtStatusToDosError, RtlAnsiStringToUnicodeString, ZwAllocateVirtualMemory, ZwFreeVirtualMemory, KeQueryTimeIncrement, KeTickCount, NtQueryInformationAtom, KeBugCheckEx, RtlUnwind, ZwOpenProcess, IoAllocateWorkItem, IoQueueWorkItem, ObReferenceObjectByPointer, _allmul, _alldiv, KeWaitForMultipleObjects, ObOpenObjectByPointer, IoGetRelatedDeviceObject, IoFreeWorkItem, KeSetEvent, KeGetCurrentThread, ExRundownCompleted, ExInitializeRundownProtection, RtlUpcaseUnicodeChar, RtlUpperChar, PsCreateSystemThread, PsTerminateSystemThread, ExWaitForRundownProtectionRelease, ExReleaseRundownProtection, ExAcquireRundownProtection, KeInitializeEvent, IoBuildDeviceIoControlRequest, KeWaitForSingleObject, ZwOpenKey, ZwQueryValueKey, ZwClose, IoDriverObjectType, ObReferenceObjectByName, RtlLengthSid, MmIsAddressValid, RtlGetElementGenericTableAvl, RtlEnumerateGenericTableAvl, RtlDeleteElementGenericTableAvl, RtlLookupElementGenericTableAvl, RtlUpcaseUnicodeString, InitSafeBootMode, IoGetCurrentProcess, PsInitialSystemProcess, MmMapLockedPagesSpecifyCache, memmove, IoGetTopLevelIrp, RtlInitializeSid, RtlSubAuthoritySid, _wcsnicmp, PsGetThreadId, PsGetCurrentThreadId, FsRtlIsNameInExpression, KeQuerySystemTime, PsGetCurrentProcessId, IoFileObjectType, ObReferenceObjectByHandle, ObfDereferenceObject, RtlAppendUnicodeStringToString, RtlCopyUnicodeString, RtlAppendUnicodeToString, RtlInitializeGenericTableAvl, RtlInsertElementGenericTableAvl, RtlImageNtHeader, ExDeletePagedLookasideList, ExDeleteNPagedLookasideList, ExInitializePagedLookasideList, ExInitializeNPagedLookasideList, RtlCompareUnicodeString, IofCompleteRequest, IofCallDriver, IoWMIRegistrationControl, RtlCompareMemory, RtlInitUnicodeString, MmGetSystemRoutineAddress, memset, memcpy, IoWMIWriteEvent, ExFreePoolWithTag, ExAllocatePoolWithTag, InterlockedPushEntrySList, ObOpenObjectByName, InterlockedPopEntrySList
HAL.dll: KfLowerIrql, KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeQueryPerformanceCounter, KeGetCurrentIrql, KfRaiseIrql
FLTMGR.SYS: FltWriteFile, FltGetRequestorProcess, FltGetFileNameInformation, FltParseFileNameInformation, FltIsDirectory, FltSetStreamContext, FltEnumerateVolumeInformation, FltGetStreamHandleContext, FltGetStreamContext, FltCreateSystemVolumeInformationFolder, FltSetInformationFile, FltGetVolumeContext, FltGetVolumeGuidName, FltEnumerateVolumes, FltCreateFileEx, FltReleaseFileNameInformation, FltGetFileNameInformationUnsafe, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltSendMessage, FltCloseClientPort, FltCloseCommunicationPort, FltAllocatePoolAlignedWithTag, FltReadFile, FltFreePoolAlignedWithTag, FltAllocateCallbackData, FltLockUserBuffer, FltFreeCallbackData, FltPerformSynchronousIo, FltAllocateGenericWorkItem, FltQueueGenericWorkItem, FltFreeGenericWorkItem, FltRegisterFilter, FltStartFiltering, FltGetDestinationFileNameInformation, FltGetContexts, FltSetStreamHandleContext, FltCancelFileOpen, FltFlushBuffers, FltSetCallbackDataDirty, FltGetRequestorProcessId, FltGetInstanceContext, FltGetVolumeProperties, FltAllocateContext, FltReleaseContext, FltQueryVolumeInformation, FltGetDiskDeviceObject, FltSetInstanceContext, FltSetVolumeContext, FltObjectReference, FltGetVolumeName, FltCreateFile, FltGetVolumeFromFileObject, FltClose, FltUnregisterFilter, FltInitializePushLock, FltReferenceFileNameInformation, FltAcquirePushLockShared, FltDeletePushLock, FltAcquirePushLockExclusive, FltReleasePushLock, FltObjectDereference, FltReleaseContexts, FltGetEcpListFromCallbackData, FltFindExtraCreateParameter, FltIsEcpFromUserMode, FltQueryInformationFile

VT Community

ods · Answer

File name:
18591701.sys
Submission date:
2010-12-31 17:37:50 (UTC)
Current status:
queued (#2570) queued analysing finished
Result:
0/ 43 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.12.31.00	2010.12.30	-
AntiVir	7.11.0.247	2010.12.31	-
Antiy-AVL	2.0.3.7	2010.12.31	-
Avast	4.8.1351.0	2010.12.31	-
Avast5	5.0.677.0	2010.12.31	-
AVG	9.0.0.851	2010.12.31	-
BitDefender	7.2	2010.12.31	-
CAT-QuickHeal	11.00	2010.12.31	-
ClamAV	0.96.4.0	2010.12.31	-
Command	5.2.11.5	2010.12.31	-
Comodo	7253	2010.12.31	-
DrWeb	5.0.2.03300	2010.12.31	-
Emsisoft	5.1.0.1	2010.12.31	-
eSafe	7.0.17.0	2010.12.30	-
eTrust-Vet	36.1.8073	2010.12.31	-
F-Prot	4.6.2.117	2010.12.31	-
F-Secure	9.0.16160.0	2010.12.31	-
Fortinet	4.2.254.0	2010.12.31	-
GData	21	2010.12.31	-
Ikarus	T3.1.1.90.0	2010.12.31	-
Jiangmin	13.0.900	2010.12.31	-
K7AntiVirus	9.75.3406	2010.12.31	-
Kaspersky	7.0.0.125	2010.12.31	-
McAfee	5.400.0.1158	2010.12.31	-
McAfee-GW-Edition	2010.1C	2010.12.31	-
Microsoft	1.6402	2010.12.31	-
NOD32	5750	2010.12.31	-
Norman	6.06.12	2010.12.31	-
nProtect	2010-12-31.01	2010.12.31	-
Panda	10.0.2.7	2010.12.31	-
PCTools	7.0.3.5	2010.12.31	-
Prevx	3.0	2010.12.31	-
Rising	22.80.04.04	2010.12.31	-
Sophos	4.60.0	2010.12.31	-
SUPERAntiSpyware	4.40.0.1006	2010.12.31	-
Symantec	20101.3.0.103	2010.12.31	-
TheHacker	6.7.0.1.109	2010.12.30	-
TrendMicro	9.120.0.1004	2010.12.31	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.31	-
VBA32	3.12.14.2	2010.12.30	-
VIPRE	7898	2010.12.31	-
ViRobot	2010.12.31.4232	2010.12.31	-
VirusBuster	13.6.121.0	2010.12.30	-
Additional information
Show all
MD5   : 7dd41b7ac1fbb1dbf20bb1f4e4fbe58c
SHA1  : c763c52f8b0dbb6594f1a81246ae2c27c6f74557
SHA256: 16b77fb533986ca6119f1307e52a4d0b863043c3fee572df20c0bc0115cf68d8
ssdeep: 1536:3BJVx78OeKLiS554lvz1VMjRIRorRe2VCQPBiGclS4NcPr/Yeb:rvKXbb1VMjK+FCQJiGc
lU/
File size : 128016 bytes
First seen: 2009-10-02 18:22:12
Last seen : 2010-12-31 17:37:50
TrID:
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1997-2009.
product......: Kaspersky Anti-Virus
description..: Kaspersky Unified Driver
original name: KL1.SYS
internal name: KL1
file version.: 6.4.0.11
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 2:59 PM 9/25/2009
verified.....: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2CA0
timedatestamp....: 0x4ABCCCA4 (Fri Sep 25 13:59:00 2009)
machinetype......: 0x14c (I386)

[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x16BBC, 0x16C00, 6.38, dddd74c8397a2d3a2410411853fa4365
.4lulz, 0x18000, 0x500000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
.data, 0x518000, 0x2F24, 0x3000, 2.63, 60022989bbf1decad14950fd83d3c909
INIT, 0x51B000, 0x54A, 0x600, 5.02, f3397d902be76b809d0b71b529972541
.rsrc, 0x51C000, 0x408, 0x600, 2.45, 6d0ccd8942a830bc9662b2b4239c83d4
.reloc, 0x51D000, 0x2D24, 0x2E00, 1.47, 48dc37f0b67e704793035f5299350824

[[ 3 import(s) ]]
ntoskrnl.exe: swprintf, sprintf, ZwQueryInformationFile, ExFreePool, ExAllocatePoolWithTag, memset, ZwClose, ZwReadFile, memcpy, strncmp, KeWaitForSingleObject, ObfDereferenceObject, ObReferenceObjectByHandle, PsCreateSystemThread, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwEnumerateValueKey, ZwOpenKey, wcsstr, RtlEqualUnicodeString, RtlCopyUnicodeString, KeReleaseMutex, PsSetLoadImageNotifyRoutine, KeInitializeMutex, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, _except_handler3, ZwQueryValueKey, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlPrefixUnicodeString, _stricmp, strchr, ZwQuerySystemInformation, IoAllocateIrp, _strnicmp, IoGetRelatedDeviceObject, KeInitializeSpinLock, InterlockedIncrement, InterlockedDecrement, ZwCreateFile, DbgPrint, IofCompleteRequest, PsGetVersion, wcschr, rand, srand, memmove
HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock
TDI.SYS: TdiMapUserRequest

VT Community

ods · Answer

File name:
18591702.sys
Submission date:
2010-12-31 17:56:17 (UTC)
Current status:
queued (#2590) queued analysing finished
Result:
0/ 42 (0.0%)
	
VT Community

malware
 Safety score: 0.0% 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.12.31.00	2010.12.30	-
AntiVir	7.11.0.247	2010.12.31	-
Antiy-AVL	2.0.3.7	2010.12.31	-
Avast	4.8.1351.0	2010.12.31	-
Avast5	5.0.677.0	2010.12.31	-
AVG	9.0.0.851	2010.12.31	-
BitDefender	7.2	2010.12.31	-
CAT-QuickHeal	11.00	2010.12.31	-
ClamAV	0.96.4.0	2010.12.31	-
Command	5.2.11.5	2010.12.31	-
Comodo	7253	2010.12.31	-
DrWeb	5.0.2.03300	2010.12.31	-
eSafe	7.0.17.0	2010.12.30	-
eTrust-Vet	36.1.8073	2010.12.31	-
F-Prot	4.6.2.117	2010.12.31	-
F-Secure	9.0.16160.0	2010.12.31	-
Fortinet	4.2.254.0	2010.12.31	-
GData	21	2010.12.31	-
Ikarus	T3.1.1.90.0	2010.12.31	-
Jiangmin	13.0.900	2010.12.31	-
K7AntiVirus	9.75.3406	2010.12.31	-
Kaspersky	7.0.0.125	2010.12.31	-
McAfee	5.400.0.1158	2010.12.31	-
McAfee-GW-Edition	2010.1C	2010.12.31	-
Microsoft	1.6402	2010.12.31	-
NOD32	5750	2010.12.31	-
Norman	6.06.12	2010.12.31	-
nProtect	2010-12-31.01	2010.12.31	-
Panda	10.0.2.7	2010.12.31	-
PCTools	7.0.3.5	2010.12.31	-
Prevx	3.0	2010.12.31	-
Rising	22.80.04.04	2010.12.31	-
Sophos	4.60.0	2010.12.31	-
SUPERAntiSpyware	4.40.0.1006	2010.12.31	-
Symantec	20101.3.0.103	2010.12.31	-
TheHacker	6.7.0.1.109	2010.12.30	-
TrendMicro	9.120.0.1004	2010.12.31	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.31	-
VBA32	3.12.14.2	2010.12.30	-
VIPRE	7898	2010.12.31	-
ViRobot	2010.12.31.4232	2010.12.31	-
VirusBuster	13.6.121.0	2010.12.30	-
Additional information
Show all
MD5   : a305fad3719c5db0c13d1c2bfd08a04d
SHA1  : cd7300ae608db1ca6583736b9648cf36b476f832
SHA256: a3f8d9139142391d5f68aeb75a501243852a487f084f5aa75c03eb173d2b8935
ssdeep: 768:M+hdvdtdNZnYvFOzz2o7fSgLa1TvanHWp66enLvbYCSm02:M+hdvdtdN1rz6qnLagDN/YeR
File size : 37392 bytes
First seen: 2009-11-25 16:43:41
Last seen : 2010-12-31 17:56:17
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1997-2009.
product......: Kaspersky Anti-Virus
description..: Kaspersky Lab Boot Guard Driver
original name: KLBG.SYS
internal name: KLBG
file version.: 9.1.0.0
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 10:54 AM 10/22/2009
verified.....: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x3CA0
timedatestamp....: 0x4AE02BB3 (Thu Oct 22 09:53:55 2009)
machinetype......: 0x14c (I386)

[[ 7 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x427E, 0x4400, 6.30, b2a5eb356209d15285e1808b9629411c
.rdata, 0x6000, 0x150C, 0x1600, 7.38, 945af6e04dbf86c095c1755f343392a8
.data, 0x8000, 0x198, 0x200, 1.76, 38b21fbea339d3c01709e6603a4baa5c
PAGECODE, 0x9000, 0x2EB, 0x400, 5.07, d6e2cfe49628330b8479e665ce2a9c2a
INIT, 0xA000, 0x650, 0x800, 4.61, f1d93e70472651a3da107c37db60f3a4
.rsrc, 0xB000, 0x418, 0x600, 2.48, 7907b082561e0fcf5edc2821a6ea5738
.reloc, 0xC000, 0x422, 0x600, 4.20, 70b278bb5403516ecc43165f821d09c7

[[ 2 import(s) ]]
ntoskrnl.exe: MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, _except_handler3, memset, ObfDereferenceObject, ObReferenceObjectByName, IoDriverObjectType, RtlInitUnicodeString, KeServiceDescriptorTable, PsGetCurrentProcessId, IoGetCurrentProcess, memcpy, ExFreePoolWithTag, ExAllocatePoolWithTag, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, ZwClose, ZwSetValueKey, ZwDeleteValueKey, ZwEnumerateValueKey, ZwOpenKey, ExInitializeResourceLite, MmIsAddressValid, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, IoGetDeviceObjectPointer, ZwSetInformationFile, ZwQueryInformationFile, IoCreateFile, ZwWriteFile, ZwReadFile, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwNotifyChangeKey, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, IoDeleteSymbolicLink, IoDeleteDevice, IoRegisterBootDriverReinitialization, RtlCopyUnicodeString, InitSafeBootMode, ZwCreateKey, ZwEnumerateKey, ExAllocatePool, ZwDeleteKey, wcschr, MmUnlockPages, PsGetCurrentThreadId, IoFreeMdl, DbgPrint, RtlAnsiCharToUnicodeChar, KeBugCheckEx
HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel

VT Community

Ods · Answer

Avant tout, bonne année!

J'ai fais le scan rapide hier soir (aucun fichier infectés), ensuite, j'ai lancé l'analyse complète pendant la nuit.

Au réveil, le PC était planté avec un écran brouillé.... Avant d'aller me couché, j'ai vu que des fichiers été infectés et j'ai donc cliqué sur "oui pour tout". Impossible de mettre la main sur le rapport de scan et l'ordi ne veut plus redémarré en mode normal...

Une idée pour que je puisse récupéré le compte rendu?

Ods · Answer

Après de nombreuses tentatives d'élimination de l'infection (qui restera inconnue...), j'ai finalement réussi a formater l'ordinateur qui semble être rétabli!

Le processus global:

Scans réalisés (qu'en mode sans échecs):
- FindyKill
- Stinger
- AVG
- DrWeb CureIt
- eScan
- EliBagle
- Emisoft Anti-Malware
- HijackThis
- ATF Cleaner

Aucun scan en ligne n'a été possible....

J'ai par ailleurs booté à partir de HBCD (Hiren's BootCD) via "Mini Windows XP" qui contient un grand nombre d'antivirus et autres fonctionnalités permettant (en général) d'analyser l'ensemble du matériel et des infections présentes. Bien que le boot ait été possible, le menu de HBCD refusé de se lancer. Je me suis donc contenté de faire une première analyse du matériel pour vérifier si tout tournait rond. Tout aller bien sur le plan technique mais je n'ai rien pu savoir sur les infections présentes.

Donc après une vérification complète du matériel (CHDSK et autre possibilités disponibles sous le BIOS), j'ai pris la décision de formater le PC.

En insérant un CD de XP que j'avais sous le coude, le virus me bloquait le démarrage. Impossible de formater à partir du CD de Windows.

Je suis donc partis pour le Recovery Manager présent sur le PC (un HP tournant avec Vista). Pour y accéder, il faut taper F11 qu'on l'on peut faire avec F8 pour atteindre le mode sans echec.

Dans le Recovery Manager, j'ai choisi de faire une réinitialisation "Usine" du PC. 

Et me voici avec un PC tout propre (Kapersky vient de finir son scan complet, il est clean)!

Merci encore à Guillaume et à Moment de Grâce pour leur soutien!

Et surtout bonne année avec la santé pour vous, vos proches et votre PC!!!!

moment de grace · Answer

bonjour et bonne année à vous

effectivement tu as choisis la solution la plus sage...

bonne continuation et quelques recommandations

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://www.teamxscript.org/usbfixTelechargement.html
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Pour savoir si ton PC est à jour utilise Sécunia

https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

...................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

Antivirus bloqués et scan qu'en sans echec

23 réponses

Discussions similaires