Sujet Précédent Sujet Suivant

Problème cheval de Troie indécrottable

Résolu/Fermé
Ossecour - 31 janv. 2011 à 18:18
 Utilisateur anonyme - 5 févr. 2011 à 21:26
Bonjour,

Je vois qu'il y a ici des experts d'éradication de virus aussi je me permets de m'adresser à eux.

Depuis quelques temps je suis infecté par au moins un méchant cheval de troie dont je n'arrive pas à me débarrasser.

Symptômes :
- Arrêt d'un service Generic Host Process win32 désactivant ainsi le pare-feu windows. Ce dernier est alors impossible à se lancer.
- Création de dossiers avec un nom de 4 lettres aléatoires dans le dossier DocumentsAndSettings\..... \LocalSettings avec à l'intérieur un setup.exe qui cherche à se connecter. Ses programmes sont arrêtés par mon antivirus.
- Au démarrage de windows, environ 1 fois sur 2, le démarrage de windows se bloque juste après l'affichage du fond d'écran, pas de barre des tâches ou d'icônes sur le bureau.
JE suis obligé de faire un reset violent.

Mon antivirus (Antivir edition familliale) et mon antimalware ne détectent rien en mode sans échec.

J'ai installé le SP3 pensant avoir pourri le registre en nettoyant (problème process win32), et espérant ainsi le corriger. J'étais auparavant en SP2.

Que puis-je faire ?


47 réponses

Précédent
Réponse 21 / 47
Ossecour
Modifié par Ossecour le 2/02/2011 à 20:01
**EDIT : je viens de voir le commentaire sur le proxy : non, ce n'est pas normal. A moins que l'activation du routeur freebox en tienne lieu. Faut que je vérifie si je suis dans ce mode.**
**EDIT 2 : en effet, je suis en mode routeur, ceci pourrait expliquer celà. **
Je colle le rapport situé dans le dossier combofix renommé au cas où :

ComboFix 11-01-31.01 - Seb 02/02/2011 18:16:22.3.2 - x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3327.3016 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Seb\Bureau\sebpetit.exe
Commutateurs utilisés :: C:\Documents and Settings\Seb\Bureau\CFScript.txt
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"C:\Documents and Settings\LocalServiceupdate001.exe"
"C:\Documents and Settings\NetworkServiceupdate001.exe"
"C:\WINDOWS\006675_.tmp"
"C:\WINDOWS\Jqufua.exe"
"C:\WINDOWS\system32\mbiywfdr.dll"
"C:\WINDOWS\system32\tmp.tmp"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\LocalServiceupdate001.exe
C:\Documents and Settings\NetworkServiceupdate001.exe
C:\WINDOWS\006675_.tmp
C:\WINDOWS\Jqufua.exe
C:\WINDOWS\system32\mbiywfdr.dll
C:\WINDOWS\system32\tmp.tmp
.
---- Exécution préalable -------
.
C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe
C:\Documents and Settings\Seb\Mes documents\cc_20110130.reg
C:\Documents and Settings\Seb\Mes documents\cc_20110130_3.reg
C:\WINDOWS\$NtUninstallMTF1011$\zrpt.xml
C:\WINDOWS\kbdmdv.dll
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\tmp.tmp . . . . impossible à supprimer

.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((((((((( Fichiers créés du 2011-01-02 au 2011-02-02 ))))))))))))))))))))))))))))))))))))
.

2011-01-31 17:24:01 . 2011-01-31 17:25:49 -------- d-----w- C:\Program Files\ZHPDiag
2011-01-30 20:14:41 . 2008-04-13 18:34:42 299520 -c----w- C:\WINDOWS\system32\dllcache\drmclien.dll
2011-01-30 20:13:08 . 2008-04-13 10:40:50 10240 ------w- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2011-01-30 15:50:47 . 2011-01-30 15:51:59 -------- d-----w- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Adobe
2011-01-28 20:07:09 . 2011-01-28 20:11:53 -------- d-----w- C:\Documents and Settings\Seb\Application Data\TS3Client
2011-01-28 20:05:49 . 2011-01-28 20:05:53 -------- d-----w- C:\Program Files\TeamSpeak 3 Client
2011-01-28 17:45:42 . 2010-05-20 17:10:02 69120 ----a-w- C:\WINDOWS\system32\zlcomm.dll
2011-01-28 17:45:42 . 2010-05-20 17:10:02 103936 ----a-w- C:\WINDOWS\system32\zlcommdb.dll
2011-01-28 17:45:38 . 2011-01-28 17:45:45 -------- d-----w- C:\WINDOWS\system32\ZoneLabs
2011-01-28 17:45:38 . 2010-05-20 17:10:06 1238528 ----a-w- C:\WINDOWS\system32\zpeng25.dll
2011-01-28 17:45:19 . 2011-01-28 17:45:37 -------- d-----w- C:\Program Files\Zone Labs
2011-01-28 17:44:58 . 2011-02-01 18:17:14 -------- d-----w- C:\WINDOWS\Internet Logs
2011-01-27 22:38:10 . 2011-01-27 22:38:10 -------- d-----w- C:\Adobe
2011-01-27 22:38:08 . 2011-01-27 22:39:22 -------- d-----w- C:\Documents and Settings\LocalService\Local Settings\Application Data\Adobe
2011-01-25 21:46:19 . 2011-01-25 21:46:19 -------- d-s---w- C:\Documents and Settings\LocalService\UserData
2011-01-25 21:34:59 . 2011-01-25 21:34:59 -------- d-s---w- C:\Documents and Settings\NetworkService\UserData
2011-01-24 19:58:03 . 2011-01-24 19:58:04 -------- d--h--w- C:\WINDOWS\msdownld.tmp
2011-01-24 19:18:57 . 2011-01-25 19:32:29 -------- d-----w- C:\Documents and Settings\Seb\Application Data\Rift
2011-01-08 10:08:11 . 2011-01-08 10:28:26 -------- d-----w- C:\Program Files\PDF Image Extractr

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-10 12:39:00 . 2009-12-05 06:21:48 350720 ----a-w- C:\Program Files\hjsplit.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 08:51:28 16876032]
"TurboV"="C:\Program Files\ASUS\TurboV\TurboV.exe" [2008-12-19 15:00:40 5381120]
"Six Engine"="C:\Program Files\ASUS\EPU\EPU.exe" [2008-12-20 18:56:40 4066816]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-03-03 21:18:00 61440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 18:34:00 15360]
"Wwoyifohah"="C:\WINDOWS\kbdmdv.dll" [BU]
"ElsShqIYvvg.exe"="C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe" [BU]

[HKLM\~\startupfolder\C:^Documents and Settings^Seb^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]
path=C:\Documents and Settings\Seb\Menu Démarrer\Programmes\Démarrage\OneNote 2007 - Capture d'écran et lancement.lnk
backup=C:\WINDOWS\pss\OneNote 2007 - Capture d'écran et lancement.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07:44 932288 ----a-r- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47:04 35760 ----a-w- C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 08:20:52 57344 ------r- C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CE8SIIFGSU]
C:\DOCUME~1\Seb\LOCALS~1\Temp\Jnt.exe [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 06:00:48 33648 -c--a-w- C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
2004-08-03 21:32:00 208952 ----a-w- C:\WINDOWS\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
2004-08-03 21:31:50 59392 ----a-w- C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-03 21:32:16 455168 ----a-w- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-03 21:32:16 455168 ----a-w- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrintDisp]
2009-08-21 09:36:46 878080 ----a-w- C:\WINDOWS\system32\PrintDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SansaDispatch]
2010-12-17 06:07:04 79872 ----a-w- C:\Documents and Settings\Seb\Application Data\SanDisk\Sansa Updater\SansaDispatch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07:20 2260480 --sha-r- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 10:43:18 248040 -c--a-w- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"C:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"C:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Jeux\\Dawn of War\\W40k.exe"=
"C:\\Jeux\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Jeux\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Jeux\\TmNationsForever\\TmForever.exe"=
"C:\\Jeux\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\Samsung New PC Studio\\npsasvr.exe"=
"C:\\Program Files\\Samsung New PC Studio\\npsvsvr.exe"=
"C:\\Program Files\\Vuze\\Azureus.exe"=
"C:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"C:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"C:\\Program Files\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 acedrv11;acedrv11;C:\WINDOWS\system32\drivers\acedrv11.sys [24/02/2010 11:22:10 185472]
R2 AsSysCtrlService;ASUS System Control Service;C:\Program Files\ASUS\AsSysCtrlService\1.00.00\AsSysCtrlService.exe [22/11/2009 10:57:28 86016]
R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [10/02/2010 13:05:23 233472]
R2 Printer Control;Printer Control;C:\WINDOWS\system32\PrintCtrl.exe [30/04/2010 18:41:36 77824]
R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [10/02/2010 13:05:23 36608]
S2 gupdate;Service Google Update (gupdate);C:\Program Files\Google\Update\GoogleUpdate.exe [03/12/2009 19:41:30 135664]
S3 AllShare;SAMSUNG AllShare Service;C:\Program Files\SAMSUNG PC Share Manager\WiselinkPro.exe [16/07/2010 17:23:30 6638080]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);C:\WINDOWS\system32\drivers\ss_bbus.sys [10/02/2010 13:05:30 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);C:\WINDOWS\system32\drivers\ss_bmdfl.sys [10/02/2010 13:05:30 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;C:\WINDOWS\system32\drivers\ss_bmdm.sys [10/02/2010 13:05:30 121856]
S3 WDC_SAM;WD SCSI Pass Thru driver;C:\WINDOWS\system32\DRIVERS\wdcsam.sys --> C:\WINDOWS\system32\DRIVERS\wdcsam.sys [?]
S4 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [22/11/2009 12:23:35 691696]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
.
Contenu du dossier 'Tâches planifiées'

2011-02-02 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2009-12-03 18:41:30 . 2009-12-03 18:41:29]

2011-02-01 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2009-12-03 18:41:30 . 2009-12-03 18:41:29]
.
.
------- Examen supplémentaire -------
.
IE: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - C:\Documents and Settings\Seb\Application Data\Mozilla\Firefox\Profiles\voil2k5g.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
.
0
Réponse 22 / 47
Utilisateur anonyme
2 févr. 2011 à 21:23
▶ Télécharge TDSSKiller

▶ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

▶ Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\tdsskiller.txt.
0
Réponse 23 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
2 févr. 2011 à 21:29
Bonsoir 91300, j'attendais ton retour avec impatience :)
Voici le rapport:
2011/02/02 21:27:05.0921 0120 TDSS rootkit removing tool 2.4.16.0 Feb 1 2011 10:34:03
2011/02/02 21:27:06.0203 0120 ================================================================================
2011/02/02 21:27:06.0203 0120 SystemInfo:
2011/02/02 21:27:06.0203 0120
2011/02/02 21:27:06.0203 0120 OS Version: 5.1.2600 ServicePack: 3.0
2011/02/02 21:27:06.0203 0120 Product type: Workstation
2011/02/02 21:27:06.0203 0120 ComputerName: HAL
2011/02/02 21:27:06.0203 0120 UserName: Seb
2011/02/02 21:27:06.0203 0120 Windows directory: C:\WINDOWS
2011/02/02 21:27:06.0203 0120 System windows directory: C:\WINDOWS
2011/02/02 21:27:06.0203 0120 Processor architecture: Intel x86
2011/02/02 21:27:06.0203 0120 Number of processors: 2
2011/02/02 21:27:06.0203 0120 Page size: 0x1000
2011/02/02 21:27:06.0203 0120 Boot type: Safe boot with network
2011/02/02 21:27:06.0203 0120 ================================================================================
2011/02/02 21:27:06.0468 0120 Initialize success
2011/02/02 21:27:14.0468 2012 ================================================================================
2011/02/02 21:27:14.0468 2012 Scan started
2011/02/02 21:27:14.0468 2012 Mode: Manual;
2011/02/02 21:27:14.0468 2012 ================================================================================
2011/02/02 21:27:16.0156 2012 acedrv11 (e6f53d6c0dea3d375362265e175ca638) C:\WINDOWS\system32\drivers\acedrv11.sys
2011/02/02 21:27:16.0234 2012 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/02/02 21:27:16.0265 2012 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/02/02 21:27:16.0359 2012 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/02/02 21:27:16.0468 2012 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/02/02 21:27:16.0593 2012 AmdPPM (033448d435e65c4bd72e70521fd05c76) C:\WINDOWS\system32\DRIVERS\AmdPPM.sys
2011/02/02 21:27:16.0656 2012 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/02/02 21:27:16.0750 2012 AsIO (2b4e66fac6503494a2c6f32bb6ab3826) C:\WINDOWS\system32\drivers\AsIO.sys
2011/02/02 21:27:16.0796 2012 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/02/02 21:27:16.0843 2012 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/02/02 21:27:16.0984 2012 ati2mtag (2d11242de84e5136fdff4a74510dba33) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/02/02 21:27:17.0093 2012 AtiHdmiService (d9bc8892b9440a2551b8148c57aa039e) C:\WINDOWS\system32\drivers\AtiHdmi.sys
2011/02/02 21:27:17.0203 2012 atksgt (3c4b9850a2631c2263507400d029057b) C:\WINDOWS\system32\DRIVERS\atksgt.sys
2011/02/02 21:27:17.0250 2012 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/02/02 21:27:17.0312 2012 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/02/02 21:27:17.0375 2012 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/02/02 21:27:17.0578 2012 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/02/02 21:27:17.0625 2012 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/02/02 21:27:17.0687 2012 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/02/02 21:27:17.0703 2012 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/02/02 21:27:17.0765 2012 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/02/02 21:27:17.0796 2012 Changer (2a5815ca6fff24b688c01f828b96819c) C:\WINDOWS\system32\drivers\Changer.sys
2011/02/02 21:27:17.0953 2012 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/02/02 21:27:18.0031 2012 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/02/02 21:27:18.0078 2012 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/02/02 21:27:18.0125 2012 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/02/02 21:27:18.0171 2012 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/02/02 21:27:18.0218 2012 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/02/02 21:27:18.0296 2012 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/02/02 21:27:18.0328 2012 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/02/02 21:27:18.0359 2012 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/02/02 21:27:18.0406 2012 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/02/02 21:27:18.0484 2012 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/02/02 21:27:18.0562 2012 FsUsbExDisk (790a4ca68f44be35967b3df61f3e4675) C:\WINDOWS\system32\FsUsbExDisk.SYS
2011/02/02 21:27:18.0609 2012 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/02/02 21:27:18.0671 2012 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/02/02 21:27:18.0718 2012 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/02/02 21:27:18.0796 2012 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/02/02 21:27:18.0859 2012 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/02/02 21:27:18.0921 2012 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/02/02 21:27:18.0953 2012 i2omgmt (9368670bd426ebea5e8b18a62416ec28) C:\WINDOWS\system32\drivers\i2omgmt.sys
2011/02/02 21:27:19.0031 2012 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\drivers\i8042prt.sys
2011/02/02 21:27:19.0078 2012 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/02/02 21:27:19.0250 2012 IntcAzAudAddService (41bb402c2ade27b32439bb765864ab3b) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/02/02 21:27:19.0343 2012 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/02/02 21:27:19.0375 2012 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/02/02 21:27:19.0406 2012 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/02/02 21:27:19.0453 2012 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/02/02 21:27:19.0500 2012 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/02/02 21:27:19.0531 2012 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/02/02 21:27:19.0578 2012 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/02/02 21:27:19.0625 2012 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/02/02 21:27:19.0640 2012 kbdhid (94c59cb884ba010c063687c3a50dce8e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/02/02 21:27:19.0703 2012 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/02/02 21:27:19.0750 2012 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/02/02 21:27:19.0796 2012 lbrtfdc (406598827a1b5f77954de11dde115ced) C:\WINDOWS\system32\drivers\lbrtfdc.sys
2011/02/02 21:27:19.0859 2012 lirsgt (4127e8b6ddb4090e815c1f8852c277d3) C:\WINDOWS\system32\DRIVERS\lirsgt.sys
2011/02/02 21:27:19.0906 2012 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/02/02 21:27:19.0937 2012 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/02/02 21:27:19.0953 2012 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/02/02 21:27:20.0000 2012 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/02/02 21:27:20.0031 2012 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/02/02 21:27:20.0109 2012 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/02/02 21:27:20.0187 2012 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/02/02 21:27:20.0250 2012 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/02/02 21:27:20.0296 2012 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/02/02 21:27:20.0312 2012 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/02/02 21:27:20.0328 2012 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/02/02 21:27:20.0375 2012 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/02/02 21:27:20.0390 2012 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/02/02 21:27:20.0453 2012 MTsensor (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
2011/02/02 21:27:20.0515 2012 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/02/02 21:27:20.0562 2012 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/02/02 21:27:20.0625 2012 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/02/02 21:27:20.0640 2012 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/02/02 21:27:20.0671 2012 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/02/02 21:27:20.0671 2012 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/02/02 21:27:20.0718 2012 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/02/02 21:27:20.0750 2012 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/02/02 21:27:20.0781 2012 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/02/02 21:27:20.0828 2012 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/02/02 21:27:20.0906 2012 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/02/02 21:27:20.0953 2012 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/02/02 21:27:21.0000 2012 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/02/02 21:27:21.0078 2012 NuidFltr (cf7e041663119e09d2e118521ada9300) C:\WINDOWS\system32\DRIVERS\NuidFltr.sys
2011/02/02 21:27:21.0125 2012 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/02/02 21:27:21.0140 2012 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/02/02 21:27:21.0156 2012 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/02/02 21:27:21.0203 2012 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/02/02 21:27:21.0281 2012 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys
2011/02/02 21:27:21.0312 2012 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/02/02 21:27:21.0359 2012 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/02/02 21:27:21.0406 2012 pccsmcfd (175cc28dcf819f78caa3fbd44ad9e52a) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/02/02 21:27:21.0453 2012 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/02/02 21:27:21.0500 2012 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/02/02 21:27:21.0562 2012 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/02/02 21:27:21.0718 2012 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/02/02 21:27:21.0765 2012 Processor (e19c9632ac828f6f214391e2bdda11cb) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/02/02 21:27:21.0796 2012 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/02/02 21:27:21.0843 2012 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/02/02 21:27:21.0890 2012 PxHelp20 (1962166e0ceb740704f30fa55ad3d509) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/02/02 21:27:22.0000 2012 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/02/02 21:27:22.0031 2012 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/02/02 21:27:22.0078 2012 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/02/02 21:27:22.0093 2012 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/02/02 21:27:22.0171 2012 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/02/02 21:27:22.0187 2012 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/02/02 21:27:22.0265 2012 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/02/02 21:27:22.0312 2012 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/02/02 21:27:22.0375 2012 RTLE8023xp (c48e7bbc6a17a0676079e11a13e82549) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
2011/02/02 21:27:22.0437 2012 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/02/02 21:27:22.0484 2012 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/02/02 21:27:22.0515 2012 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/02/02 21:27:22.0578 2012 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/02/02 21:27:22.0640 2012 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/02/02 21:27:22.0687 2012 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/02/02 21:27:22.0765 2012 sptd (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\System32\Drivers\sptd.sys
2011/02/02 21:27:22.0828 2012 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/02/02 21:27:22.0890 2012 Srv (89220b427890aa1dffd1a02648ae51c3) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/02/02 21:27:22.0953 2012 ss_bbus (eaa66218cd39f5bb1b4853a78c67c787) C:\WINDOWS\system32\DRIVERS\ss_bbus.sys
2011/02/02 21:27:23.0000 2012 ss_bmdfl (91765f99914ed8693d8bc76524f21581) C:\WINDOWS\system32\DRIVERS\ss_bmdfl.sys
2011/02/02 21:27:23.0046 2012 ss_bmdm (840e7b738b03c10ee91d9b7d3d6eff15) C:\WINDOWS\system32\DRIVERS\ss_bmdm.sys
2011/02/02 21:27:23.0109 2012 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys
2011/02/02 21:27:23.0187 2012 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/02/02 21:27:23.0203 2012 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/02/02 21:27:23.0250 2012 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/02/02 21:27:23.0375 2012 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/02/02 21:27:23.0453 2012 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/02/02 21:27:23.0484 2012 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/02/02 21:27:23.0515 2012 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/02/02 21:27:23.0546 2012 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/02/02 21:27:23.0625 2012 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/02/02 21:27:23.0718 2012 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/02/02 21:27:23.0781 2012 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/02/02 21:27:23.0796 2012 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/02/02 21:27:23.0828 2012 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/02/02 21:27:23.0859 2012 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/02/02 21:27:23.0890 2012 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/02/02 21:27:23.0921 2012 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/02/02 21:27:23.0937 2012 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/02/02 21:27:24.0000 2012 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
2011/02/02 21:27:24.0062 2012 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/02/02 21:27:24.0125 2012 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/02/02 21:27:24.0234 2012 vsdatant (050c38ebb22512122e54b47dc278bccd) C:\WINDOWS\system32\vsdatant.sys
2011/02/02 21:27:24.0296 2012 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/02/02 21:27:24.0390 2012 Wdf01000 (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
2011/02/02 21:27:24.0484 2012 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/02/02 21:27:24.0578 2012 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
2011/02/02 21:27:24.0640 2012 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/02/02 21:27:24.0687 2012 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/02/02 21:27:24.0718 2012 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/02/02 21:27:24.0734 2012 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/02/02 21:27:24.0937 2012 ================================================================================
2011/02/02 21:27:24.0937 2012 Scan finished
2011/02/02 21:27:24.0937 2012 ================================================================================
2011/02/02 21:27:41.0531 1704 Deinitialize success
0
Réponse 24 / 47
Utilisateur anonyme
2 févr. 2011 à 21:30
ok, normalement, on a eu le rootkit.
la suite:

> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


@++
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
2 févr. 2011 à 21:35
voici le rapport : http://seb.petit77.free.fr/ZHPDiag2.txt

J'avais désinfecté un malware doctor il y a quelques mois, je sais pas si il en reste des traces.
0
Réponse 26 / 47
Utilisateur anonyme
2 févr. 2011 à 21:39
fais ceci:

▶ rend toi sur virus total

▶ clique sur parcourir

▶ dans la nouvelle fenetre, copie colle ceci:

C:\DOCUME~1\Seb\LOCALS~1\Temp\Jnt.exe

▶ clique sur ouvrir

▶ attend la fin du scan puis, donne moi le lien internet des résultats .

-------------------------------------------------------------------------------------------------------





0
Valuu Messages postés 2163 Date d'inscription lundi 4 octobre 2010 Statut Contributeur Dernière intervention 12 avril 2015 201
2 févr. 2011 à 21:54
Salut :)
Juste pour suivre.
Bonne chasse
0
Réponse 27 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
Modifié par Ossecour2 le 2/02/2011 à 21:47
"le fichier n'existe pas" (en effet il n'existe pas c'est un des fichiers que j'ai supprimé en début d'infection ainsi que d'autres du meme type : J+2lettres aléatoires)
0
Réponse 28 / 47
Utilisateur anonyme
2 févr. 2011 à 22:35
Ce script va cibler certains éléments à supprimer :


* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).

* Copie les lignes suivantes :
-------------------------------------------------------------------------------------------------------

O4 - HKUS\S-1-5-18\..\Run: [Wwoyifohah] C:\WINDOWS\kbdmdv.dll (.not file.)

O4 - HKUS\S-1-5-18\..\Run: [ElsShqIYvvg.exe] C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe (.not file.)

O4 - HKUS\S-1-5-18\..\Run: [Wwoyifohah] C:\WINDOWS\kbdmdv.dll (.not file.)

O4 - HKUS\S-1-5-18\..\Run: [ElsShqIYvvg.exe] C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe (.not file.)

[HKCU\Software\CE8SIIFGSU]

[HKCU\Software\CL2GFOKBC9]

O53 - SMSR:HKLM\...\startupreg\CE8SIIFGSU [Key] . (.Pas de propriétaire - Pas de description.) --


------------------------------------------------------------------------------------------------------


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
0
Réponse 29 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
2 févr. 2011 à 22:41
Voilou :

Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-02-02-2011-22-40-33.txt
Run by Seb at 02/02/2011 22:40:33
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\CE8SIIFGSU => Clé supprimée avec succès
HKCU\Software\CL2GFOKBC9 => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\CE8SIIFGSU [Key] . (.Pas de propriétaire - Pas de description.) -- => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKUS\S-1-5-18\..\Run: [Wwoyifohah] C:\WINDOWS\kbdmdv.dll (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [ElsShqIYvvg.exe] C:\Documents and Settings\All Users\Application Data\ElsShqIYvvg.exe (.not file.) => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\windows\kbdmdv.dll => Fichier absent
c:\documents and settings\all users\application data\elsshqiyvvg.exe => Fichier absent


========== Récapitulatif ==========
3 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan
0
Réponse 30 / 47
Utilisateur anonyme
2 févr. 2011 à 22:45
MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections:

MBAM :

▣ Télécharge MBAM


▣ Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.


▣ Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\


▣ A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»


▣ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"


> L'analyse peut durer un plusieurs heures...


▣ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"


▣ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"


▣ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI » »
<signature>▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀
0
Réponse 31 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
2 févr. 2011 à 22:50
Je lance l'analyse pour la nuit. Pour info, j'imagine que MBAM remplace avantageusement mon antimalware actuel (Spybot search & destroy) et que si je veux garder MBAM je dois désinstaller Spybot ?
0
Utilisateur anonyme
2 févr. 2011 à 22:53
ta tout compris.
SPYBOT est devenu obsolète, est lourd et plus performant de plus, la vaccination de spybot revient en fait à ajouter des sites considérés comme nuisibles dans le fichier HOSTS.. le résultat est là, la navigation a tendance à être plus lente et ça ne limite pas vraiment les infections.
0
Réponse 32 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
3 févr. 2011 à 07:37
rapport MBAM :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5662

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

03/02/2011 07:36:02
mbam-log-2011-02-03 (07-36-02).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 446484
Temps écoulé: 48 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7B6A2552-E65B-4a9e-ADD4-C45577FFD8FD} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{84C3C236-F588-4c93-84F4-147B2ABBE67B} (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adgj.agHlp (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adgj.agHlp.1 (Adware.EZLife) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Adobe\plugs\kb5369796.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Adobe\plugs\kb5382250.exe (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\Download\logiciels\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\all users\application data\elsshqiyvvg.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\WINDOWS\kbdmdv.dll.vir (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{ec28810a-afe8-4810-b9e5-18ba7cd1bb7b}\RP1\A0001478.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{ec28810a-afe8-4810-b9e5-18ba7cd1bb7b}\RP1\A0001479.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\zrpt.xml (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 33 / 47
Utilisateur anonyme
3 févr. 2011 à 13:02
tu me refais ceci voir si tout est clean stp: https://forums.commentcamarche.net/forum/affich-20716938-probleme-cheval-de-troie-indecrottable?page=2#37

++
0
Réponse 34 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
3 févr. 2011 à 18:12
Bonsoir,

Le dernier (et j'espère l'ultime :) ) rapport :

http://seb.petit77.free.fr/ZHPDiag3.Txt
0
Réponse 35 / 47
Utilisateur anonyme
3 févr. 2011 à 18:17
bonsoir,

Tu peux me dire pourquoi le scan a été fait en Sans échec avec prise en charge du réseau ??

ensuite:

Ce script va cibler certains éléments à supprimer :


* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).

* Copie les lignes suivantes :
-------------------------------------------------------------------------------------------------------

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe

OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe

OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe

OPT:O4 - HKUS\S-1-5-21-1417001333-651377827-725345543-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe


------------------------------------------------------------------------------------------------------


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
0
Utilisateur anonyme
3 févr. 2011 à 18:19
va y avoir de la valeur absente ^^
0
Utilisateur anonyme
3 févr. 2011 à 18:29
pour quelle raison? (explication en MP) ;) merci ;)
0
Réponse 36 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
3 févr. 2011 à 18:25
Mode sans echec : un reflexe, je n'ai plus d'antivirus depuis que je l'ai désinstallé pour combofix. JE me vois pas surfer (comme poster ces réponses) comme ca en mode normal sans antivirus.

LA remarque sur les valeurs absentes c'est pour le mode SE ou pour les lignes zhpfix? J'exécute comme tel ?
0
Utilisateur anonyme
3 févr. 2011 à 18:29
exécute, je vais voir les valeurs absentes comme ca, pas grave ;)
0
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
3 févr. 2011 à 18:34
j'aurais bien aimé en profiter aussi :)
0
Réponse 37 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
3 févr. 2011 à 18:32
Voilou :

Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-03-02-2011-18-31-22.txt
Run by Seb at 03/02/2011 18:31:22
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1417001333-651377827-725345543-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente


========== Récapitulatif ==========
5 : Valeur(s) du Registre


End of the scan
0
Réponse 38 / 47
Utilisateur anonyme
3 févr. 2011 à 18:50
ok, comment va le PC?
plus de soucie?
0
Réponse 39 / 47
Ossecour2 Messages postés 13 Date d'inscription mercredi 2 février 2011 Statut Membre Dernière intervention 3 février 2011
3 févr. 2011 à 18:58
pas retesté en Mode normal avec connexion internet. Je réinstalle un antivirus, choisis entre MBAM et spybot, je teste ce soir et je reposte demain pour faire mon rapport :).

Sinon j'aurais 2, 3 questions à poser et conseils à demander.

1) MBAM en version gratuite n'a pas de résident. Même si il est moins efficace, je ferais peut-etre mieux de garder spybot de ce point de vue.

2) J4ai vu dans les rapports que spybot était résident pour IE seulement (si j'ai bien compris) comment l'appliquer aussi à Mozilla.

3) Existe-t-il des sources sur le net pour apprendre à analyser les rapports ZHPDiag ou seules l'expérience et la connaissance des processus normaux est de mise ?
0
Réponse 40 / 47
Utilisateur anonyme
3 févr. 2011 à 19:02
re,

Je réinstalle un antivirus, choisis entre MBAM et spybot, je teste ce soir et je reposte demain pour faire mon rapport :).

Sinon j'aurais 2, 3 questions à poser et conseils à demander.

1) MBAM en version gratuite n'a pas de résident. Même si il est moins efficace, je ferais peut-etre mieux de garder spybot de ce point de vue.

inutile de garder spybot et en antivirus, choisis entre AVAST AVIRA et AVG

2) J4ai vu dans les rapports que spybot était résident pour IE seulement (si j'ai bien compris) comment l'appliquer aussi à Mozilla.

vu qu'il faut le désinstaller, peut importe... :D

3) Existe-t-il des sources sur le net pour apprendre à analyser les rapports ZHPDiag ou seules l'expérience et la connaissance des processus normaux est de mise ?

on en reparle a la fin fin ok? je te donnerais le lien pour une formation si tu veux, on vois ca a la toute fin.


installe ton antivirus et, dis moi quand c'est fait que je passes a l'optimisation et la sécurisation du pc. après ca, nous aurons fini.
0

Discussions similaires

Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
J'ai recu un message cheval de troie
am -
DeNisCoOl -

1 réponse
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses