Problème cheval de Troie indécrottable
Résolu/Fermé
A voir également:
- Problème cheval de Troie indécrottable
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Cheval de troie virus - Accueil - Virus
- Skyrim cheval perdu - Forum Jeux PC
- Message cheval de troie - Forum Virus
47 réponses
Utilisateur anonyme
31 janv. 2011 à 18:20
31 janv. 2011 à 18:20
bonjours,
☯ bienvenu sur CCM, nous allons essayer de résoudre ton problème.
☯ attentions, voici quelques règles:
▨ les helpers ici sont volontaire et peuvent traiter plusieurs sujets donc, si une réponse se fait trop attendre, pas de panique, nous reviendrons sur ton sujet. (si une réponse ce fait trop attendre, contacter le helper par MP.)
▨ il est important de suivre la procédure jusqu'au bout! même si le pc va mieux, ne pas partir tant que le helpers n'a pas dit que c'est fini... il pourrait rester des infections!
▨ si tu as des questions, n'hésite pas a me les poser, ne reste pas dans le doute.
☯ bonne désinfection.
pour une analyse de ton système, fais ceci:
----->ZHPDIAG<-----
/!\ utilisateur de vista et seven, désactiver l'UAC./!\
/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\
▶ Télécharge zhpdiag (de Nicolas Coolman)
▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
▶ attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
@++
☯ bienvenu sur CCM, nous allons essayer de résoudre ton problème.
☯ attentions, voici quelques règles:
▨ les helpers ici sont volontaire et peuvent traiter plusieurs sujets donc, si une réponse se fait trop attendre, pas de panique, nous reviendrons sur ton sujet. (si une réponse ce fait trop attendre, contacter le helper par MP.)
▨ il est important de suivre la procédure jusqu'au bout! même si le pc va mieux, ne pas partir tant que le helpers n'a pas dit que c'est fini... il pourrait rester des infections!
▨ si tu as des questions, n'hésite pas a me les poser, ne reste pas dans le doute.
☯ bonne désinfection.
pour une analyse de ton système, fais ceci:
----->ZHPDIAG<-----
/!\ utilisateur de vista et seven, désactiver l'UAC./!\
/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\
▶ Télécharge zhpdiag (de Nicolas Coolman)
▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
▶ attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
@++
Merci pour les réponses rapide.
J'ai oublié de préciser que j'avais installé ZoneAlarm entre temps pour pallier à l'absence du pare-feu winows.
De plus il m'est impossible de me connecter à Windows update.
Impossible d'utiliser ci-joint. J'ai uploader le rapport ailleurs, le voici :
http://seb.petit77.free.fr/ZHPDiag.txt
J'ai oublié de préciser que j'avais installé ZoneAlarm entre temps pour pallier à l'absence du pare-feu winows.
De plus il m'est impossible de me connecter à Windows update.
Impossible d'utiliser ci-joint. J'ai uploader le rapport ailleurs, le voici :
http://seb.petit77.free.fr/ZHPDiag.txt
Utilisateur anonyme
Modifié par 91300 le 31/01/2011 à 18:37
Modifié par 91300 le 31/01/2011 à 18:37
hum!!! je le sentais en prennant ce sujet, probablement un beau ROOTKIT...
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
ensuite:
Télécharge GMER Scanner de rootkit
http://www2.gmer.net/download.php
[*]télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.
[*]exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.
[*]le chargement va prendre une minute.
[*]si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).
[*]règle les paramètres (fenêtre de droite) de la manière suivante :
# seule la partition système (en général C:\ ) doit rester cochée
# Show All : décochée
[*]clique sur "SCAN" puis patiente...
[*]En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "051209.txt"
[*]Double clique sur "051209.txt" ; le fichier s'ouvre dans le Bloc-Notes
[*]Copie le contenu et colle le dans ta réponse.
▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀
Qualification Helper sur HELPER FORMATION.
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
ensuite:
Télécharge GMER Scanner de rootkit
http://www2.gmer.net/download.php
[*]télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.
[*]exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.
[*]le chargement va prendre une minute.
[*]si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).
[*]règle les paramètres (fenêtre de droite) de la manière suivante :
# seule la partition système (en général C:\ ) doit rester cochée
# Show All : décochée
[*]clique sur "SCAN" puis patiente...
[*]En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "051209.txt"
[*]Double clique sur "051209.txt" ; le fichier s'ouvre dans le Bloc-Notes
[*]Copie le contenu et colle le dans ta réponse.
▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀
Qualification Helper sur HELPER FORMATION.
ok je vais faire ca.
Je note déjà au passage cette ligne très suspecte dans le rapport :
O4 - HKLM\..\policies\Explorer\Run: [jgyo0w] C:\DOCUME~1\Seb\LOCALS~1\Temp\19aqp.exe (.not file.)
Je note déjà au passage cette ligne très suspecte dans le rapport :
O4 - HKLM\..\policies\Explorer\Run: [jgyo0w] C:\DOCUME~1\Seb\LOCALS~1\Temp\19aqp.exe (.not file.)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok je vais arrêter de remarquer n'importe quoi :)
J'ai installé Defoogger et désactiver Daemon tolls
GMER pose problème. L'exécution provoque un arrêt immédiat du système et un redémarage. Au retour windows "Windows a récupéré une erreur sérieuse".
MPême chose au deuxième essai avec en prime le DD non détecté au démarrage.
J'ai installé Defoogger et désactiver Daemon tolls
GMER pose problème. L'exécution provoque un arrêt immédiat du système et un redémarage. Au retour windows "Windows a récupéré une erreur sérieuse".
MPême chose au deuxième essai avec en prime le DD non détecté au démarrage.
Après avoir désactivé antivirus et autres, il restait des processus liés à antivir que je ne pouvais arrêter. J'ai donc lancé GMER en mod sans echec, j'espère que ca ira. Voici le rapport :
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-31 20:21:23
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdePort0 SAMSUNG_HD103UJ rev.1AA01118
Running: 04bwycgq.exe; Driver: C:\DOCUME~1\Seb\LOCALS~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateFile [0xB63DE782]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateKey [0xB63FD6DC]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateProcess [0xB63F7EB4]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateProcessEx [0xB63F82A2]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateSection [0xB6401916]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xB63DF398]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteKey [0xB63FEFE4]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteValueKey [0xB63FE93C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDuplicateObject [0xB63F6DF0]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey [0xB63FF93C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xB63FFB44]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenFile [0xB63DEFAA]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenProcess [0xB63FA1CE]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenThread [0xB63F9DF8]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRenameKey [0xB64008D2]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwReplaceKey [0xB6400208]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRestoreKey [0xB64012A4]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSecureConnectPort [0xB63E47DC]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xB63DF75C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetSecurityObject [0xB6400E12]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetValueKey [0xB63FE0C4]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSystemDebugControl [0xB63F8F0A]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwTerminateProcess [0xB63F8C86]
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwYieldExecution + 17A 804E49D4 4 Bytes JMP 57960018
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0097000A
.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 0098000A
.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 3 Bytes JMP 0096000C
.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!KiUserExceptionDispatcher + 4 7C91E480 1 Byte [84]
.text C:\WINDOWS\System32\svchost.exe[960] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 00FE000A
.text C:\WINDOWS\Explorer.EXE[1736] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00AE000A
.text C:\WINDOWS\Explorer.EXE[1736] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C8000A
.text C:\WINDOWS\Explorer.EXE[1736] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00AD000C
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [B63E7C2A] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [B63E7C2A] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [B63E7C2A] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [B63C73C4] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [B63E7C2A] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [B63E02AA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [B63E060C] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [B63DFD40] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [B63E041C] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 8AE2E39B
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 8AE2E39B
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort2 8AE2E39B
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort3 8AE2E39B
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP2T0L0-12 8AE2E39B
Device \Driver\Tcpip \Device\Udp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskSAMSUNG_HD103UJ_________________________1AA01118#31535033444a5357303535343733202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBF 0xA4 0xE1 0x07 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x87 0x80 0x48 0x94 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD2 0x89 0xBC 0x77 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xF7 0x88 0xF1 0xCE ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBF 0xA4 0xE1 0x07 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x87 0x80 0x48 0x94 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD2 0x89 0xBC 0x77 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xF7 0x88 0xF1 0xCE ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBF 0xA4 0xE1 0x07 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x87 0x80 0x48 0x94 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD2 0x89 0xBC 0x77 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xF7 0x88 0xF1 0xCE ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Jeux\Chessmaster Grandmaster Edition\Data\Tutoriels\josh academy\Josh Strategy\Cases faibles \x2013 Création d'un avant-poste.tut 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5C0CB5C5-69A9-75B3-8EE8-43DB5C709587}
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-31 20:21:23
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdePort0 SAMSUNG_HD103UJ rev.1AA01118
Running: 04bwycgq.exe; Driver: C:\DOCUME~1\Seb\LOCALS~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateFile [0xB63DE782]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateKey [0xB63FD6DC]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateProcess [0xB63F7EB4]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateProcessEx [0xB63F82A2]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateSection [0xB6401916]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xB63DF398]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteKey [0xB63FEFE4]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteValueKey [0xB63FE93C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDuplicateObject [0xB63F6DF0]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey [0xB63FF93C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xB63FFB44]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenFile [0xB63DEFAA]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenProcess [0xB63FA1CE]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenThread [0xB63F9DF8]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRenameKey [0xB64008D2]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwReplaceKey [0xB6400208]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRestoreKey [0xB64012A4]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSecureConnectPort [0xB63E47DC]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xB63DF75C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetSecurityObject [0xB6400E12]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetValueKey [0xB63FE0C4]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSystemDebugControl [0xB63F8F0A]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwTerminateProcess [0xB63F8C86]
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwYieldExecution + 17A 804E49D4 4 Bytes JMP 57960018
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0097000A
.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 0098000A
.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 3 Bytes JMP 0096000C
.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!KiUserExceptionDispatcher + 4 7C91E480 1 Byte [84]
.text C:\WINDOWS\System32\svchost.exe[960] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 00FE000A
.text C:\WINDOWS\Explorer.EXE[1736] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00AE000A
.text C:\WINDOWS\Explorer.EXE[1736] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C8000A
.text C:\WINDOWS\Explorer.EXE[1736] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00AD000C
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [B63E7C2A] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [B63E7C2A] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [B63E7C2A] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [B63C73C4] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [B63E9672] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [B63E7C2A] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [B63E9CBA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [B63E94C8] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [B63E02AA] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [B63E060C] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [B63DFD40] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [B63E041C] \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 8AE2E39B
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 8AE2E39B
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort2 8AE2E39B
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort3 8AE2E39B
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP2T0L0-12 8AE2E39B
Device \Driver\Tcpip \Device\Udp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskSAMSUNG_HD103UJ_________________________1AA01118#31535033444a5357303535343733202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBF 0xA4 0xE1 0x07 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x87 0x80 0x48 0x94 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD2 0x89 0xBC 0x77 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xF7 0x88 0xF1 0xCE ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBF 0xA4 0xE1 0x07 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x87 0x80 0x48 0x94 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD2 0x89 0xBC 0x77 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xF7 0x88 0xF1 0xCE ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBF 0xA4 0xE1 0x07 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x87 0x80 0x48 0x94 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xD2 0x89 0xBC 0x77 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xF7 0x88 0xF1 0xCE ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Jeux\Chessmaster Grandmaster Edition\Data\Tutoriels\josh academy\Josh Strategy\Cases faibles \x2013 Création d'un avant-poste.tut 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5C0CB5C5-69A9-75B3-8EE8-43DB5C709587}
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;
---- EOF - GMER 1.0.15 ----
Utilisateur anonyme
31 janv. 2011 à 22:38
31 janv. 2011 à 22:38
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Au lancement combofix m'indique que Antivir desktop est actif. Hors je suis en mode sans echec, il est désactivé et aucun processus lié au programme n'est lancé. Doisje le désinstaller comme AVG. Si oui existe-t-il un outil de suppression totale comme celui pour AVG?
Je ne l'ai meme pas désactivé, il ne s'est pas lancé je suis en mode sans echec. J'ai quand meme vérifié les processus actifs, il n'y a que ca :
explorer.exe vsmon.exe firefox.exe (je suis en train de poster :) ) plusieurs svchost.exe Isass.exe services.exe, winlofon.exe csrss.exe smss.exe System.
Pas de traces d'antivir ...
explorer.exe vsmon.exe firefox.exe (je suis en train de poster :) ) plusieurs svchost.exe Isass.exe services.exe, winlofon.exe csrss.exe smss.exe System.
Pas de traces d'antivir ...
J'avais redémarrer en mode sans échec pour pouvoir utiliser GMER. En mode normal je ne pouvais arrêter certains processus antivir ce qui provoquait un crash du système. J'y suis resté, plus d'alertes virus.
Utilisateur anonyme
31 janv. 2011 à 23:12
31 janv. 2011 à 23:12
retourne en mode normale pour combofix et désactive avira. si ca marche pas, on le désinstallera.
Impossible de désactiver totalement antivir en mode normal. Il reste un processus que je ne peux pas arrêter car il est "inaccessible". Même en supprimant le lancement d'antivir au démarrage via ccleaner, ce processus est présent.
Utilisateur anonyme
31 janv. 2011 à 23:35
31 janv. 2011 à 23:35
sert, toi de ceci alors: http://dlpro.antivir.com/package/regcleaner/win32/en/avira_registry_cleaner_en.exe
Utilisateur anonyme
1 févr. 2011 à 08:14
1 févr. 2011 à 08:14
re ,
utilise combofix en mode sans echec et passe outre les avertissements
utilise combofix en mode sans echec et passe outre les avertissements
re,
J'ai utilisé combofix en mode sans échec et tou ne s'est pas bien passé.
J'ai ignoré les avertissements de combofix.
Il a tenté de récupérer sur le net la console de restauration windows mais n'y est pas arrivé.
Il a ensuite détecté un rootkit et a redémarré le système.
PAs assez rapide et hésitant à redémarrer en sans echec, windows a démarrer en mode normal.
Combofix a recommencé son scan, j'ai ignoré deux alertes antivir.
Puis au cours du scan après pas mal de "phases terminées" arrêt du système et redémarrage.
Apparemment pas de dommages visibles sur le système et on peut espérer que le rootkit soit effacé.
Que faire maintenant?
J'ai utilisé combofix en mode sans échec et tou ne s'est pas bien passé.
J'ai ignoré les avertissements de combofix.
Il a tenté de récupérer sur le net la console de restauration windows mais n'y est pas arrivé.
Il a ensuite détecté un rootkit et a redémarré le système.
PAs assez rapide et hésitant à redémarrer en sans echec, windows a démarrer en mode normal.
Combofix a recommencé son scan, j'ai ignoré deux alertes antivir.
Puis au cours du scan après pas mal de "phases terminées" arrêt du système et redémarrage.
Apparemment pas de dommages visibles sur le système et on peut espérer que le rootkit soit effacé.
Que faire maintenant?
ok, je croyais que le message suivant annulais la demande d'effacement d'antivir. Je m'y remets chef.
en effet, ici, GEN t'a dit de ne pas le supprimer et de passer par le MSE, moi, je préfères le désinstaller pour prendre aucun risque et le réinstaller après.
effectivement. Tout s'est presque bien passé .... Mais pas totalement. A l'affichage de la dernière fenetre indiquant que le rapport allait apparaitre, au bout de quelques secondes, crash système. Pas de fichier ComboFix.Txt sous laracine, j'ai récupéré celui -ci dans le dossier combofix, mais il me semble incomplet meme si la date/heure semble correspondre au debut du scan :
ComboFix 11-01-31.01 - Seb 01/02/2011 19:24:13.2.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3327.3012 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Seb\Bureau\sebpetit.exe
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe
C:\Documents and Settings\Seb\Mes documents\cc_20110130.reg
C:\Documents and Settings\Seb\Mes documents\cc_20110130_3.reg
C:\WINDOWS\$NtUninstallMTF1011$
C:\WINDOWS\$NtUninstallMTF1011$\zrpt.xml
C:\WINDOWS\kbdmdv.dll
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\tmp.tmp . . . . impossible à supprimer
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((((((((( Fichiers créés du 2011-01-01 au 2011-02-01 ))))))))))))))))))))))))))))))))))))
.
2011-02-01 18:28:17 . 2011-02-01 18:28:17 0 ----a-w- C:\WINDOWS\system32\tmp.tmp
2011-01-31 17:24:01 . 2011-01-31 17:25:49 -------- d-----w- C:\Program Files\ZHPDiag
2011-01-31 17:17:58 . 2011-01-31 17:17:58 47616 ----a-w- C:\WINDOWS\system32\mbiywfdr.dll
2011-01-30 20:14:41 . 2008-04-13 18:34:42 299520 -c----w- C:\WINDOWS\system32\dllcache\drmclien.dll
2011-01-30 20:13:08 . 2008-04-13 10:40:50 10240 ------w- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2011-01-30 20:12:38 . 2006-12-28 11:01:32 19569 ----a-w- C:\WINDOWS\006675_.tmp
2011-01-30 15:51:30 . 2004-08-19 15:10:00 29184 ----a-w- C:\Documents and Settings\NetworkServiceupdate001.exe
2011-01-30 15:50:47 . 2011-01-30 15:51:59 -------- d-----w- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Adobe
2011-01-28 20:07:09 . 2011-01-28 20:11:53 -------- d-----w- C:\Documents and Settings\Seb\Application Data\TS3Client
2011-01-28 20:05:49 . 2011-01-28 20:05:53 -------- d-----w- C:\Program Files\TeamSpeak 3 Client
2011-01-28 17:45:42 . 2010-05-20 17:10:02 69120 ----a-w- C:\WINDOWS\system32\zlcomm.dll
2011-01-28 17:45:42 . 2010-05-20 17:10:02 103936 ----a-w- C:\WINDOWS\system32\zlcommdb.dll
2011-01-28 17:45:38 . 2011-01-28 17:45:45 -------- d-----w- C:\WINDOWS\system32\ZoneLabs
2011-01-28 17:45:38 . 2010-05-20 17:10:06 1238528 ----a-w- C:\WINDOWS\system32\zpeng25.dll
2011-01-28 17:45:19 . 2011-01-28 17:45:37 -------- d-----w- C:\Program Files\Zone Labs
2011-01-28 17:44:58 . 2011-02-01 18:17:14 -------- d-----w- C:\WINDOWS\Internet Logs
2011-01-27 22:38:54 . 2004-08-19 15:10:00 29184 ----a-w- C:\Documents and Settings\LocalServiceupdate001.exe
2011-01-27 22:38:10 . 2011-01-27 22:38:10 -------- d-----w- C:\Adobe
2011-01-27 22:38:08 . 2011-01-27 22:39:22 -------- d-----w- C:\Documents and Settings\LocalService\Local Settings\Application Data\Adobe
2011-01-25 21:46:19 . 2011-01-25 21:46:19 -------- d-s---w- C:\Documents and Settings\LocalService\UserData
2011-01-25 21:34:59 . 2011-01-25 21:34:59 -------- d-s---w- C:\Documents and Settings\NetworkService\UserData
2011-01-25 21:24:56 . 2011-01-25 21:24:46 192512 ----a-w- C:\WINDOWS\Jqufua.exe
2011-01-24 19:58:03 . 2011-01-24 19:58:04 -------- d--h--w- C:\WINDOWS\msdownld.tmp
2011-01-24 19:18:57 . 2011-01-25 19:32:29 -------- d-----w- C:\Documents and Settings\Seb\Application Data\Rift
2011-01-08 10:08:11 . 2011-01-08 10:28:26 -------- d-----w- C:\Program Files\PDF Image Extractr
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-10 12:39:00 . 2009-12-05 06:21:48 350720 ----a-w- C:\Program Files\hjsplit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 08:51:28 16876032]
"TurboV"="C:\Program Files\ASUS\TurboV\TurboV.exe" [2008-12-19 15:00:40 5381120]
"Six Engine"="C:\Program Files\ASUS\EPU\EPU.exe" [2008-12-20 18:56:40 4066816]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-03-03 21:18:00 61440]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 18:34:00 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mbiywfdr.dll
[HKLM\~\startupfolder\C:^Documents and Settings^Seb^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]
path=C:\Documents and Settings\Seb\Menu Démarrer\Programmes\Démarrage\OneNote 2007 - Capture d'écran et lancement.lnk
backup=C:\WINDOWS\pss\OneNote 2007 - Capture d'écran et lancement.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07:44 932288 ----a-r- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47:04 35760 ----a-w- C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 08:20:52 57344 ------r- C:\WINDOWS\Alcmtr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 06:00:48 33648 -c--a-w- C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
2004-08-03 21:32:00 208952 ----a-w- C:\WINDOWS\ime\imjp8_1\imjpmig.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
2004-08-03 21:31:50 59392 ----a-w- C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-03 21:32:16 455168 ----a-w- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-03 21:32:16 455168 ----a-w- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrintDisp]
2009-08-21 09:36:46 878080 ----a-w- C:\WINDOWS\system32\PrintDisp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SansaDispatch]
2010-12-17 06:07:04 79872 ----a-w- C:\Documents and Settings\Seb\Application Data\SanDisk\Sansa Updater\SansaDispatch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07:20 2260480 --sha-r- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 10:43:18 248040 -c--a-w- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"C:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"C:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Jeux\\Dawn of War\\W40k.exe"=
"C:\\Jeux\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Jeux\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Jeux\\TmNationsForever\\TmForever.exe"=
"C:\\Jeux\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Program Files\\Samsung New PC Studio\\npsvsvr.exe"=
"C:\\Program Files\\Vuze\\Azureus.exe"=
"C:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"C:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"C:\\Program Files\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 acedrv11;acedrv11;C:\WINDOWS\system32\drivers\acedrv11.sys [24/02/2010 11:22:10 185472]
R2 AsSysCtrlService;ASUS System Control Service;C:\Program Files\ASUS\AsSysCtrlService\1.00.00\AsSysCtrlService.exe [22/11/2009 10:57:28 86016]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [10/02/2010 13:05:23 233472]
R2 Printer Control;Printer Control;C:\WINDOWS\system32\PrintCtrl.exe [30/04/2010 18:41:36 77824]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [10/02/2010 13:05:23 36608]
S2 gupdate;Service Google Update (gupdate);C:\Program Files\Google\Update\GoogleUpdate.exe [03/12/2009 19:41:30 135664]
S3 AllShare;SAMSUNG AllShare Service;C:\Program Files\SAMSUNG PC Share Manager\WiselinkPro.exe [16/07/2010 17:23:30 6638080]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [10/02/2010 13:05:30 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [10/02/2010 13:05:30 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [10/02/2010 13:05:30 121856]
S3 WDC_SAM;WD SCSI Pass Thru driver;C:\WINDOWS\system32\DRIVERS\wdcsam.sys --> C:\WINDOWS\system32\DRIVERS\wdcsam.sys [?]
S4 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [22/11/2009 12:23:35 691696]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - FSUSBEXDISK
.
Contenu du dossier 'Tâches planifiées'
2011-02-01 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2009-12-03 18:41:30 . 2009-12-03 18:41:29]
2011-02-01 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2009-12-03 18:41:30 . 2009-12-03 18:41:29]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:53758
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - C:\Documents and Settings\Seb\Application Data\Mozilla\Firefox\Profiles\voil2k5g.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
.
.
------- Associations de fichier -------
.
.reg=Regedit.Document
.
- - - - ORPHELINS SUPPRIMES - - - -
HKU-Default-Run-Wwoyifohah - C:\WINDOWS\kbdmdv.dll
HKU-Default-Run-ElsShqIYvvg.exe - C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe
MSConfigStartUp-CE8SIIFGSU - C:\DOCUME~1\Seb\LOCALS~1\Temp\Jnt.exe
** EDIT ** je n'ai pas vu vos discussions ultérieures, je me suis exécuté de suite.
ComboFix 11-01-31.01 - Seb 01/02/2011 19:24:13.2.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3327.3012 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Seb\Bureau\sebpetit.exe
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe
C:\Documents and Settings\Seb\Mes documents\cc_20110130.reg
C:\Documents and Settings\Seb\Mes documents\cc_20110130_3.reg
C:\WINDOWS\$NtUninstallMTF1011$
C:\WINDOWS\$NtUninstallMTF1011$\zrpt.xml
C:\WINDOWS\kbdmdv.dll
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\tmp.tmp . . . . impossible à supprimer
.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((((((((( Fichiers créés du 2011-01-01 au 2011-02-01 ))))))))))))))))))))))))))))))))))))
.
2011-02-01 18:28:17 . 2011-02-01 18:28:17 0 ----a-w- C:\WINDOWS\system32\tmp.tmp
2011-01-31 17:24:01 . 2011-01-31 17:25:49 -------- d-----w- C:\Program Files\ZHPDiag
2011-01-31 17:17:58 . 2011-01-31 17:17:58 47616 ----a-w- C:\WINDOWS\system32\mbiywfdr.dll
2011-01-30 20:14:41 . 2008-04-13 18:34:42 299520 -c----w- C:\WINDOWS\system32\dllcache\drmclien.dll
2011-01-30 20:13:08 . 2008-04-13 10:40:50 10240 ------w- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2011-01-30 20:12:38 . 2006-12-28 11:01:32 19569 ----a-w- C:\WINDOWS\006675_.tmp
2011-01-30 15:51:30 . 2004-08-19 15:10:00 29184 ----a-w- C:\Documents and Settings\NetworkServiceupdate001.exe
2011-01-30 15:50:47 . 2011-01-30 15:51:59 -------- d-----w- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Adobe
2011-01-28 20:07:09 . 2011-01-28 20:11:53 -------- d-----w- C:\Documents and Settings\Seb\Application Data\TS3Client
2011-01-28 20:05:49 . 2011-01-28 20:05:53 -------- d-----w- C:\Program Files\TeamSpeak 3 Client
2011-01-28 17:45:42 . 2010-05-20 17:10:02 69120 ----a-w- C:\WINDOWS\system32\zlcomm.dll
2011-01-28 17:45:42 . 2010-05-20 17:10:02 103936 ----a-w- C:\WINDOWS\system32\zlcommdb.dll
2011-01-28 17:45:38 . 2011-01-28 17:45:45 -------- d-----w- C:\WINDOWS\system32\ZoneLabs
2011-01-28 17:45:38 . 2010-05-20 17:10:06 1238528 ----a-w- C:\WINDOWS\system32\zpeng25.dll
2011-01-28 17:45:19 . 2011-01-28 17:45:37 -------- d-----w- C:\Program Files\Zone Labs
2011-01-28 17:44:58 . 2011-02-01 18:17:14 -------- d-----w- C:\WINDOWS\Internet Logs
2011-01-27 22:38:54 . 2004-08-19 15:10:00 29184 ----a-w- C:\Documents and Settings\LocalServiceupdate001.exe
2011-01-27 22:38:10 . 2011-01-27 22:38:10 -------- d-----w- C:\Adobe
2011-01-27 22:38:08 . 2011-01-27 22:39:22 -------- d-----w- C:\Documents and Settings\LocalService\Local Settings\Application Data\Adobe
2011-01-25 21:46:19 . 2011-01-25 21:46:19 -------- d-s---w- C:\Documents and Settings\LocalService\UserData
2011-01-25 21:34:59 . 2011-01-25 21:34:59 -------- d-s---w- C:\Documents and Settings\NetworkService\UserData
2011-01-25 21:24:56 . 2011-01-25 21:24:46 192512 ----a-w- C:\WINDOWS\Jqufua.exe
2011-01-24 19:58:03 . 2011-01-24 19:58:04 -------- d--h--w- C:\WINDOWS\msdownld.tmp
2011-01-24 19:18:57 . 2011-01-25 19:32:29 -------- d-----w- C:\Documents and Settings\Seb\Application Data\Rift
2011-01-08 10:08:11 . 2011-01-08 10:28:26 -------- d-----w- C:\Program Files\PDF Image Extractr
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-10 12:39:00 . 2009-12-05 06:21:48 350720 ----a-w- C:\Program Files\hjsplit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 08:51:28 16876032]
"TurboV"="C:\Program Files\ASUS\TurboV\TurboV.exe" [2008-12-19 15:00:40 5381120]
"Six Engine"="C:\Program Files\ASUS\EPU\EPU.exe" [2008-12-20 18:56:40 4066816]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-03-03 21:18:00 61440]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 18:34:00 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mbiywfdr.dll
[HKLM\~\startupfolder\C:^Documents and Settings^Seb^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]
path=C:\Documents and Settings\Seb\Menu Démarrer\Programmes\Démarrage\OneNote 2007 - Capture d'écran et lancement.lnk
backup=C:\WINDOWS\pss\OneNote 2007 - Capture d'écran et lancement.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07:44 932288 ----a-r- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47:04 35760 ----a-w- C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 08:20:52 57344 ------r- C:\WINDOWS\Alcmtr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 06:00:48 33648 -c--a-w- C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
2004-08-03 21:32:00 208952 ----a-w- C:\WINDOWS\ime\imjp8_1\imjpmig.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
2004-08-03 21:31:50 59392 ----a-w- C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-03 21:32:16 455168 ----a-w- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-03 21:32:16 455168 ----a-w- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrintDisp]
2009-08-21 09:36:46 878080 ----a-w- C:\WINDOWS\system32\PrintDisp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SansaDispatch]
2010-12-17 06:07:04 79872 ----a-w- C:\Documents and Settings\Seb\Application Data\SanDisk\Sansa Updater\SansaDispatch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07:20 2260480 --sha-r- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 10:43:18 248040 -c--a-w- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"C:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"C:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Jeux\\Dawn of War\\W40k.exe"=
"C:\\Jeux\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Jeux\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Jeux\\TmNationsForever\\TmForever.exe"=
"C:\\Jeux\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Program Files\\Samsung New PC Studio\\npsvsvr.exe"=
"C:\\Program Files\\Vuze\\Azureus.exe"=
"C:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"C:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"C:\\Program Files\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 acedrv11;acedrv11;C:\WINDOWS\system32\drivers\acedrv11.sys [24/02/2010 11:22:10 185472]
R2 AsSysCtrlService;ASUS System Control Service;C:\Program Files\ASUS\AsSysCtrlService\1.00.00\AsSysCtrlService.exe [22/11/2009 10:57:28 86016]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [10/02/2010 13:05:23 233472]
R2 Printer Control;Printer Control;C:\WINDOWS\system32\PrintCtrl.exe [30/04/2010 18:41:36 77824]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [10/02/2010 13:05:23 36608]
S2 gupdate;Service Google Update (gupdate);C:\Program Files\Google\Update\GoogleUpdate.exe [03/12/2009 19:41:30 135664]
S3 AllShare;SAMSUNG AllShare Service;C:\Program Files\SAMSUNG PC Share Manager\WiselinkPro.exe [16/07/2010 17:23:30 6638080]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [10/02/2010 13:05:30 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [10/02/2010 13:05:30 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [10/02/2010 13:05:30 121856]
S3 WDC_SAM;WD SCSI Pass Thru driver;C:\WINDOWS\system32\DRIVERS\wdcsam.sys --> C:\WINDOWS\system32\DRIVERS\wdcsam.sys [?]
S4 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [22/11/2009 12:23:35 691696]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - FSUSBEXDISK
.
Contenu du dossier 'Tâches planifiées'
2011-02-01 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2009-12-03 18:41:30 . 2009-12-03 18:41:29]
2011-02-01 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2009-12-03 18:41:30 . 2009-12-03 18:41:29]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:53758
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - C:\Documents and Settings\Seb\Application Data\Mozilla\Firefox\Profiles\voil2k5g.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
.
.
------- Associations de fichier -------
.
.reg=Regedit.Document
.
- - - - ORPHELINS SUPPRIMES - - - -
HKU-Default-Run-Wwoyifohah - C:\WINDOWS\kbdmdv.dll
HKU-Default-Run-ElsShqIYvvg.exe - C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe
MSConfigStartUp-CE8SIIFGSU - C:\DOCUME~1\Seb\LOCALS~1\Temp\Jnt.exe
** EDIT ** je n'ai pas vu vos discussions ultérieures, je me suis exécuté de suite.
Utilisateur anonyme
1 févr. 2011 à 22:32
1 févr. 2011 à 22:32
> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :
KillAll::
SnapShot::
File::
C:\WINDOWS\system32\mbiywfdr.dll
C:\WINDOWS\system32\tmp.tmp
C:\WINDOWS\006675_.tmp
C:\Documents and Settings\NetworkServiceupdate001.exe
C:\Documents and Settings\LocalServiceupdate001.exe
C:\WINDOWS\Jqufua.exe
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:53758
uInternet Settings,ProxyOverride = <local>
Reboot::
- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image.
(Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
NB: merci a jfkpresident a qui je viens d'emprunter le canned ;)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :
KillAll::
SnapShot::
File::
C:\WINDOWS\system32\mbiywfdr.dll
C:\WINDOWS\system32\tmp.tmp
C:\WINDOWS\006675_.tmp
C:\Documents and Settings\NetworkServiceupdate001.exe
C:\Documents and Settings\LocalServiceupdate001.exe
C:\WINDOWS\Jqufua.exe
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:53758
uInternet Settings,ProxyOverride = <local>
Reboot::
- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image.
(Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
NB: merci a jfkpresident a qui je viens d'emprunter le canned ;)
Même symptômes que précédemment : A l'affichage de la dernière fenetre indiquant que le rapport allait apparaitre, au bout d'une minute ou deux, crash système. Pas de Combofix.txt à la racine
Est-ce que je poste quand même le rapport Combofix.txt se trouvant dans le répertoire portant le nom que j'ai donné à combofix.exe ?
Est-ce que je poste quand même le rapport Combofix.txt se trouvant dans le répertoire portant le nom que j'ai donné à combofix.exe ?