Infection probable. Analyse rapport Hijack

[Résolu/Fermé]
Signaler
-
 CAt -
Bonjour,
suite à l'infection d'un ordi, je vérifie toutes les machines de la maison. Je pense que celle-ci est vérolée aussi (ralentissement, saut de lignes à l'écriture), mais j'aurais besoin d'aide pour interpréter le rapport ZHP déposé ici :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijGByNCK5.txt


J'ai dû décocher l'option MBR Check O80, faute de quoi ZHP gelait à 80% de l'analyse.


Pour la machine à partir de laquelle l'infection a peut-être été propagée, voir :
http://www.commentcamarche.net/forum/
affich-21411279-attaque-par-rogue-bouillon-de-culture


Merci de votre aide :-)

34 réponses

Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
Pour
suite à l'infection d'un ordi, je vérifie toutes les machines de la maison. Je pense que celle-ci est vérolée aussi (ralentissement, saut de lignes à l'écriture), mais j'aurais besoin d'aide pour interpréter le rapport ZHP déposé ici :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijGByNCK5.txt

Fais ce qui suit.



/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix


Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
Hello nanard4700.
Merci de ta réponse.
Chat échaudé craint l'eau froide, et je me suis gentiment fait taper les doigts la première fois que j'ai posté ici, car je n'avais pas attendu l'avis d'une personne étiquetée "contributeur sécurité".
Alors, sans offense, j'hésite à suivre tes conseils.

PS : ton lien vers le site officiel de combofix est mort...
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
hello CAt

Clic sur mon pseudo et tu auras accès a mon profil ;)

Je viens de tester le lien et il n'est pas brisé.Chez moi il fonctionne.
Je te colle un autre lien mais cette fois ci renommé "titine"
http://sd-1.archive-host.com/membres/up/93804828040693895/titine.exe
Ok, merci.
Je ne parlais cependant pas du lien de téléchargement, mais du lien sur le "Tutoriel officiel de Combofix" : j'arrive sur un vieux "404 ERROR: Page Not Found!".

Combofix a l'air d'une médecine violente, et je précise que je suis totalement newbie. :-)
Trois questions :
1) Une fois combofix installé et l'antivirus désactivé, dois-je me déconnecter avant la suite de la procédure ?
2) comment être sûr que tous les antivir/antispywares sont désactivés (pas d'antispyware sur cette machine à ma connaissance) ?

Merci :)
Ça fait 2 questions, et c'est tout.
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
Je ne parlais cependant pas du lien de téléchargement, mais du lien sur le "Tutoriel officiel de Combofix" : j'arrive sur un vieux "404 ERROR: Page Not Found!".

Merci pour l'info.je vais y remédier dans l'am.

2) comment être sûr que tous les antivir/antispywares sont désactivés (pas d'antispyware sur cette machine à ma connaissance) ?

Pour desactiver avast.
Clique droit sur la boule, Gestion des agents et choisis le temps que tu désires
Si avast n'est pas desactivé combo te feras un signe ;)

1) Une fois combofix installé et l'antivirus désactivé, dois-je me déconnecter avant la suite de la procédure ?

Tu dois resté connecté mais ne touches pas a ton pc et ta souris.

Combofix a l'air d'une médecine violente
Dans ce mode combo est un outil comme les autre.Avec un script c'est différent.
Bien lu.
J'ai lancé combo fix. Le programme m'a indiqué que la console de récupération avait été installée avec succès, puis a lancé la recherche de fichiers infectés. Depuis 12h33, l'horloge du pc est figée (n'ai plus touché au pc scanné depuis, ni pad, ni souris)...
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
Bien

le scan combo dure environ entre 10 et 20 mn.Si plus alors stop le programme et fais ce qui suit.

* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
L'analyse fut looongue...
1) J'ai stoppé Combofix.
2) installé MBAM et lancé un scan complet, demandé à supprimer les éléments infectieux trouvés (Malware.Packer.Gen), redémarré, et je poste le rapport ci-dessous :

Comment l'enlever ?
Note : j'ai aussi une alerte concernant un fichier nommé Program sous C:/

Merci de ton aide ;

------------------------------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6266

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

04/04/2011 17:15:07
mbam-log-2011-04-04 (17-14-58).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 250787
Temps écoulé: 2 heure(s), 54 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099559.dll (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099560.dll (Malware.Packer.Gen) -> No action taken.
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
1/
Note : j'ai aussi une alerte concernant un fichier nommé Program sous C:/

On va le supprimer.

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(...) - LEGACY_SSHNAS
O4 - Global Startup: C:\Documents And Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\PNotes.lnk . (...) -- E:\PortableApps\PNotesPortable\App\PNotes\PNotes.exe (.not file.)
O47 - AAKE:Key Export SP - "G:\Apps\DrupalPortable\ZMWS\ZazouMiniWebServer.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- G:\Apps\DrupalPortable\ZMWS\ZazouMiniWebServer.exe (.not file.)
O47 - AAKE:Key Export SP - "G:\Apps\DrupalPortable\ZMWS\mysql\bin\mysqld.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- G:\Apps\DrupalPortable\ZMWS\mysql\bin\mysqld.exe (.not file.)
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 29/03/2011 - 15:31:48 ---A- . (...) -- C:\Program [0]
EmptyTemp


--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
========================================================
2/

* Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau
ou
* http://www.itxassociates.com/OT-Tools/OTM.exe
* Double-clique sur OTM.exe pour le lancer.
* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.


-----------------------------
:processes
explorer.exe



:files
c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099559.dll
c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099560.dll


:commands
[start explorer]
[reboot]



-----------------------------

* clique sur MoveIt! puis ferme OTM.
* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
* Accepte en cliquant sur YES.
* Poste le rapport situé dans C:\_OTM\MovedFiles.
* Le nom du rapport correspond au moment de sa création : date_heure.log
Voici déjà pour le 1) :
le O64 n'est pas supprimé


Rapport de ZHPFix 1.12.3273 par Nicolas Coolman, Update du 03/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-04-2011-17-42-49.txt
Run by Administrateur at 04/04/2011 17:42:49
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(...) - LEGACY_SSHNAS => Clé non supprimée

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "G:\Apps\DrupalPortable\ZMWS\ZazouMiniWebServer.exe" [Enabled] .(.) -- G:\Apps\DrupalPortable\ZMWS\ZazouMiniWebServer.exe (.not file.) => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "G:\Apps\DrupalPortable\ZMWS\mysql\bin\mysqld.exe" [Enabled] .(.) -- G:\Apps\DrupalPortable\ZMWS\mysql\bin\mysqld.exe (.not file.) => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 194

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 1257


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan
Et voilà pour le 2) :

========== PROCESSES ==========
Process explorer.exe killed successfully!
========== FILES ==========
File/Folder c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099559.dll not found.
File/Folder c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099560.dll not found.
========== COMMANDS ==========

OTM by OldTimer - Version 3.1.17.2 log created on 04042011_175413

La machine est très lente au démarrage, scanne les dossiers, etc.
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
Fichier(s) infecté(s):
c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099559.dll (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099560.dll (Malware.Packer.Gen) -> No action taken.

Tu n'as pas fais supprimé a la fin du scan Malwarebytes.Relances le et cette fois supprimes la totalité des fichiers trouvés.
Ok, je le refais. Suis quasi-certaine d'avoir demandé la suppression avant de rebooter, pourtant.
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
La preuve ici
No action taken. ====>traduction ===>aucune action entreprise :)
Yep, j'avais vu :).
Ai dû m'endormir en sursaut pendant l'analyse de MBAM...
Sérieusement, je l'ai relancé façon scan rapide, mais rien n'a été détecté. C'est parti pour un long scan, donc (~3h la dernière fois, quand même).
Bonsoir,
le scan MBAM vient de terminer. Rien n'a été trouvé. Il y avait des éléments dans la quarantaine, que j'ai supprimés aussi (je n'ai pas gardé les noms ; je pensais en trouver trace dans le log).

Voici le rapport :

------------------------------------
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6267

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

04/04/2011 21:28:58
mbam-log-2011-04-04 (21-28-58).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 250313
Temps écoulé: 3 heure(s), 3 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
conclusion tu avais bien vidé la quarantaine ;)

* Redémarrer le PC.
* Au démarrage du PC, après la première image (celle du BIOS), tapoter la touche F8 jusqu'à l'apparition du menu des options avancées.
* Ensuite à l'aide des flèches du clavier, sélectionner "Mode sans échec" et valider par Entrer
* Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.

relances combofix et laisse le programme scanner ton pc .
Post le rapport
Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum



Salut bonjour,
je coince.

En mode normal, j'ai arrêté avast (choix possibles : 10mn, 1h, jusqu'au redémarrage, définitivement). Je choisis la dernière option. Puis, ouverture en mode sans échec. Je vérifie qu'Avast est bien signalé arrêté et je lance combofix... qui me prévient qu'avast n'est pas arrêté.

La première fois que j'ai lancé combix, l'ordi a figé (post du 04/04, 13h14). Est-ce que avast a pu tenter de se remettre en route automatiquement et entrer en conflit avec combofix ?
À présent, l'antivirus a un comportement nominal (pour moi) en mode normal, mais signalé comme instable ou désactivé en mode sans échec. Je ne peux pas dire si c'était aussi le cas lors du post du 04/04, 13h14. Je n'ai plus tenté de lancer combofix.

Par ailleurs, je ne parviens pas à voir ces messages comme étant pris en compte sur le forum de ccm.
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
Normalement les antivirus sont désactivé d'office en mode sans échec.
Conclusion impossible pour avast d'entrer en conflit avec combo.
Ok, merci, mais :-) cela ne me débloque pas, car je ne sais/comprends pas où cela bloque (càd pourquoi combofix gèle. Juré, je ne touche à rien après le double-clic sur combofix).
Disons -ce qui est très proche de la réalité-, que je ne sais rien.
Supposons que je retente combofix en mode sans échec : avec, ou sans prise en charge réseau ?
EDIT : dois-je lui donner un autre nom ? Lequel, par exemple ? - fin edit.

Pour info si utile, j'ai fait une maj windows sur cet ordi (ordi mis au placard quelques mois puis utilisé en dépannage suite à l'infection de l'ordi de mon cop'.)

Merci de ton aide.
Désolée pour cette question si elle fait noob (et ignore-la, stp, si elle est à même d'entraver tes interventions sur ce forum), mais quels sont tes horaires de dispo, que je puisse m'y accorder dans la mesure du possible ?
Merci :-)
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
Désolée pour cette question si elle fait noob (et ignore-la, stp, si elle est à même d'entraver tes interventions sur ce forum), mais quels sont tes horaires de dispo, que je puisse m'y accorder dans la mesure du possible ?

je vais te répondre directement et avec beaucoup de simplicité.
Le temps accordé sur ccm dépend de mon travail personnel et professionnel et évidemment du temps consacré a ma clientèle.

Dans l'immédiat oublions combofix et passons a la suite.


* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)


Eh bien doublement merci pour le temps que tu consacres à ce post et à l'aide en général.
Voici pour la suite (navrée du délai, je n'avais plus l'ordi en main).
Load_tdsskiller (de Loup Blanc) n'a pas détecté d'éléments. Voici le rapport :

------------------------------------------------------

2011/04/06 00:30:25.0921 3796 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/06 00:30:26.0203 3796 ================================================================================
2011/04/06 00:30:26.0218 3796 SystemInfo:
2011/04/06 00:30:26.0218 3796
2011/04/06 00:30:26.0218 3796 OS Version: 5.1.2600 ServicePack: 3.0
2011/04/06 00:30:26.0218 3796 Product type: Workstation
2011/04/06 00:30:26.0218 3796 ComputerName: titi
2011/04/06 00:30:26.0218 3796 UserName: Administrateur
2011/04/06 00:30:26.0218 3796 Windows directory: C:\WINDOWS
2011/04/06 00:30:26.0218 3796 System windows directory: C:\WINDOWS
2011/04/06 00:30:26.0218 3796 Processor architecture: Intel x86
2011/04/06 00:30:26.0218 3796 Number of processors: 1
2011/04/06 00:30:26.0218 3796 Page size: 0x1000
2011/04/06 00:30:26.0218 3796 Boot type: Normal boot
2011/04/06 00:30:26.0218 3796 ================================================================================
2011/04/06 00:30:26.0906 3796 Initialize success
2011/04/06 00:30:29.0500 3068 ================================================================================
2011/04/06 00:30:29.0500 3068 Scan started
2011/04/06 00:30:29.0500 3068 Mode: Manual;
2011/04/06 00:30:29.0500 3068 ================================================================================
2011/04/06 00:30:30.0484 3068 Aavmker4 (83631291adf2887cffc786d034d3fa15) C:\WINDOWS\system32\drivers\Aavmker4.sys
2011/04/06 00:30:30.0875 3068 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/04/06 00:30:31.0031 3068 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/04/06 00:30:31.0546 3068 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/04/06 00:30:31.0687 3068 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/04/06 00:30:32.0484 3068 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/04/06 00:30:33.0062 3068 aswFsBlk (1c2e6bb4fe8621b1b863855b02bc33eb) C:\WINDOWS\system32\drivers\aswFsBlk.sys
2011/04/06 00:30:33.0390 3068 aswMon2 (452d0ecd14fa02f9b061f42c8a30dd49) C:\WINDOWS\system32\drivers\aswMon2.sys
2011/04/06 00:30:33.0734 3068 aswRdr (b6a9373619d851be80fb5f1b5eed0d4e) C:\WINDOWS\system32\drivers\aswRdr.sys
2011/04/06 00:30:34.0140 3068 aswSnx (9be41c1ae8bc481eb662d85c98d979c2) C:\WINDOWS\system32\drivers\aswSnx.sys
2011/04/06 00:30:34.0546 3068 aswSP (4b1a54ba2bc5873a774df6b70ab8b0b3) C:\WINDOWS\system32\drivers\aswSP.sys
2011/04/06 00:30:34.0921 3068 aswTdi (c7f1cea32766184911293f4e1ee653f5) C:\WINDOWS\system32\drivers\aswTdi.sys
2011/04/06 00:30:35.0265 3068 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/04/06 00:30:35.0640 3068 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/04/06 00:30:36.0250 3068 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/04/06 00:30:36.0781 3068 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/04/06 00:30:37.0437 3068 b57w2k (c0acd392ece55784884cc208aafa06ce) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
2011/04/06 00:30:37.0828 3068 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/04/06 00:30:38.0250 3068 BthEnum (b279426e3c0c344893ed78a613a73bde) C:\WINDOWS\system32\DRIVERS\BthEnum.sys
2011/04/06 00:30:38.0453 3068 BthPan (80602b8746d3738f5886ce3d67ef06b6) C:\WINDOWS\system32\DRIVERS\bthpan.sys
2011/04/06 00:30:38.0640 3068 BTHPORT (ef26202fee56f7607c6b794059df347a) C:\WINDOWS\system32\Drivers\BTHport.sys
2011/04/06 00:30:38.0828 3068 BTHUSB (61364cd71ef63b0f038b7e9df00f1efa) C:\WINDOWS\system32\Drivers\BTHUSB.sys
2011/04/06 00:30:38.0984 3068 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/04/06 00:30:39.0296 3068 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/04/06 00:30:39.0468 3068 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/04/06 00:30:39.0640 3068 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/04/06 00:30:40.0078 3068 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/04/06 00:30:40.0375 3068 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/04/06 00:30:40.0968 3068 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/04/06 00:30:41.0203 3068 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/04/06 00:30:41.0468 3068 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/04/06 00:30:41.0640 3068 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/04/06 00:30:41.0812 3068 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/04/06 00:30:42.0093 3068 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/04/06 00:30:42.0296 3068 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/04/06 00:30:42.0484 3068 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/04/06 00:30:42.0656 3068 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/04/06 00:30:42.0828 3068 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/04/06 00:30:42.0984 3068 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/04/06 00:30:43.0140 3068 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/04/06 00:30:43.0328 3068 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/04/06 00:30:43.0500 3068 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/04/06 00:30:43.0671 3068 guardian2 (c0bdab85f3e8b2138c513255e2bcc4d8) C:\WINDOWS\system32\Drivers\oz776.sys
2011/04/06 00:30:43.0828 3068 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/04/06 00:30:44.0031 3068 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/04/06 00:30:44.0390 3068 HSF_DPV (e8ec1767ea315a39a0dd8989952ca0e9) C:\WINDOWS\system32\DRIVERS\HSX_DPV.sys
2011/04/06 00:30:44.0578 3068 HSXHWAZL (61478fa42ee04562e7f11f4dca87e9c8) C:\WINDOWS\system32\DRIVERS\HSXHWAZL.sys
2011/04/06 00:30:44.0765 3068 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/04/06 00:30:45.0218 3068 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/04/06 00:30:45.0750 3068 ialm (e8c7cc369c2fb657e0792af70df529e6) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/04/06 00:30:46.0281 3068 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/04/06 00:30:46.0703 3068 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/04/06 00:30:46.0875 3068 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/04/06 00:30:47.0046 3068 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/04/06 00:30:47.0234 3068 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/04/06 00:30:47.0453 3068 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/04/06 00:30:47.0640 3068 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/04/06 00:30:47.0796 3068 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/04/06 00:30:48.0000 3068 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/04/06 00:30:48.0171 3068 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/04/06 00:30:48.0343 3068 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/04/06 00:30:48.0515 3068 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/04/06 00:30:48.0843 3068 mdmxsdk (e246a32c445056996074a397da56e815) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/04/06 00:30:49.0015 3068 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/04/06 00:30:49.0203 3068 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/04/06 00:30:49.0390 3068 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/04/06 00:30:49.0546 3068 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/04/06 00:30:49.0718 3068 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/04/06 00:30:50.0015 3068 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/04/06 00:30:50.0234 3068 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/04/06 00:30:50.0421 3068 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/04/06 00:30:50.0578 3068 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/04/06 00:30:50.0750 3068 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/04/06 00:30:50.0890 3068 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/04/06 00:30:51.0078 3068 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/04/06 00:30:51.0265 3068 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/04/06 00:30:51.0484 3068 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/04/06 00:30:51.0640 3068 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/04/06 00:30:51.0796 3068 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/04/06 00:30:51.0968 3068 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/04/06 00:30:52.0140 3068 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/04/06 00:30:52.0296 3068 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/04/06 00:30:52.0468 3068 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/04/06 00:30:52.0890 3068 NETw5x32 (aa88346ab7849a1cb34bd3424febfece) C:\WINDOWS\system32\DRIVERS\NETw5x32.sys
2011/04/06 00:30:53.0265 3068 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/04/06 00:30:53.0437 3068 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/04/06 00:30:53.0640 3068 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/04/06 00:30:53.0828 3068 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/04/06 00:30:54.0015 3068 NWADI (9edf6fd48a9eb4afdf225eb9c5111df6) C:\WINDOWS\system32\DRIVERS\NWADIenum.sys
2011/04/06 00:30:54.0156 3068 NWDellModem (1a859f70728cad712f90f9953667ad7f) C:\WINDOWS\system32\DRIVERS\nwdelmdm.sys
2011/04/06 00:30:54.0312 3068 NWDellPort (1a859f70728cad712f90f9953667ad7f) C:\WINDOWS\system32\DRIVERS\nwdelser.sys
2011/04/06 00:30:54.0484 3068 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/04/06 00:30:54.0640 3068 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/04/06 00:30:54.0781 3068 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/04/06 00:30:54.0953 3068 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys
2011/04/06 00:30:55.0109 3068 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/04/06 00:30:55.0265 3068 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/04/06 00:30:55.0421 3068 PBADRV (6ef25fb20cd269e3e51d8ca54935fff2) C:\WINDOWS\system32\drivers\pbadrv.sys
2011/04/06 00:30:55.0593 3068 PCASp50 (1961590aa191b6b7dcf18a6a693af7b8) C:\WINDOWS\system32\Drivers\PCASp50.sys
2011/04/06 00:30:55.0765 3068 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/04/06 00:30:56.0046 3068 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/04/06 00:30:56.0234 3068 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
2011/04/06 00:30:57.0171 3068 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/04/06 00:30:57.0343 3068 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/04/06 00:30:57.0500 3068 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/04/06 00:30:58.0265 3068 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/04/06 00:30:58.0421 3068 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/04/06 00:30:58.0593 3068 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/04/06 00:30:58.0750 3068 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/04/06 00:30:58.0937 3068 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/04/06 00:30:59.0093 3068 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/04/06 00:30:59.0281 3068 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/04/06 00:30:59.0468 3068 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/04/06 00:30:59.0640 3068 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/04/06 00:30:59.0859 3068 RFCOMM (851c30df2807fcfa21e4c681a7d6440e) C:\WINDOWS\system32\DRIVERS\rfcomm.sys
2011/04/06 00:31:00.0031 3068 s24trans (87940243ea2ad3ebe274f5409c5e9072) C:\WINDOWS\system32\DRIVERS\s24trans.sys
2011/04/06 00:31:00.0218 3068 sdbus (8d04819a3ce51b9eb47e5689b44d43c4) C:\WINDOWS\system32\DRIVERS\sdbus.sys
2011/04/06 00:31:00.0609 3068 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/04/06 00:31:00.0828 3068 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
2011/04/06 00:31:00.0984 3068 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/04/06 00:31:01.0406 3068 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/04/06 00:31:01.0578 3068 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/04/06 00:31:01.0781 3068 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/04/06 00:31:02.0031 3068 STHDA (951801dfb54d86f611f0af47825476f9) C:\WINDOWS\system32\drivers\sthda.sys
2011/04/06 00:31:02.0218 3068 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/04/06 00:31:02.0375 3068 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/04/06 00:31:03.0046 3068 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/04/06 00:31:03.0250 3068 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/04/06 00:31:03.0437 3068 TcUsb (5ca437a08509fb7ecf843480fc1232e2) C:\WINDOWS\system32\Drivers\tcusb.sys
2011/04/06 00:31:03.0578 3068 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/04/06 00:31:03.0718 3068 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/04/06 00:31:03.0953 3068 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/04/06 00:31:04.0265 3068 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/04/06 00:31:04.0718 3068 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/04/06 00:31:04.0937 3068 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/04/06 00:31:05.0125 3068 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/04/06 00:31:05.0296 3068 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/04/06 00:31:05.0437 3068 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/04/06 00:31:05.0609 3068 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/04/06 00:31:05.0765 3068 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/04/06 00:31:05.0953 3068 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/04/06 00:31:06.0218 3068 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/04/06 00:31:06.0406 3068 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/04/06 00:31:06.0593 3068 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/04/06 00:31:06.0781 3068 winachsf (ba6b6fb242a6ba4068c8b763063beb63) C:\WINDOWS\system32\DRIVERS\HSX_CNXT.sys
2011/04/06 00:31:07.0000 3068 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
2011/04/06 00:31:07.0359 3068 ================================================================================
2011/04/06 00:31:07.0359 3068 Scan finished
2011/04/06 00:31:07.0359 3068 ================================================================================
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
* Clic sur Démarrer -> Exécuter -> tapez regedit puis cliquez sur [OK]
* Dans la fenêtre de l'éditeur du Registre ouvrez l'arborescence des ruches
« HKEY_LOCAL_MACHINE » « SYSTEM », « ControlSet00x », « Enum », « Root ».
puis sélectionnez la clé à supprimer sans vous tromper.Pour toi ce sera:
Legacy _SSHNAS
Faites alors un « clic droit » et, dans la fenêtre qui s'ouvre, choisissez [Autorisations].
* Dans la fenêtre qui s'ouvre, sélectionnez [Tout le monde], cochez la case Autoriser [X] Contrôle total et confirmez [OK]
* Il ne reste plus qu'à faire un nouveau « clic droit » sur la clé « Legacy » et sélectionner [Supprimer].

====================================================


Post un nouveau rapport zhpdiag.
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
Bonjour,
je ne parviens pas à le faire (notification d'accès refusé lorsque je fais la première étape de modification des autorisations).
- Est-ce que je dois me mettre dans un mode particulier ?
- Il y a deux dossiers ControlSet00x. Je suppose que je dois faire la manip' pour les deux ?

Merci.
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
Fais le en mode sans échec et supprimes les deux clés
En mode sans échec, j'ai tenté la manip pour chacun des deux dossiers. Le droit m'est toujours refusé. Elle correspond à quoi, cette clef, au fait ?

Par ailleurs, en mode normal, une fenêtre indiquant "ETS Secure Update : ce programme ne répond pas" et une autre indiquant "nSAppShell: Event window" se sont ouvertes.
Énfin, l'antivirus m'a signalé que combofix tentait de se lancer (je n'y avais pas touché) et m'a proposé d'accepter ou non le lancement. J'ai refusé par peur d'un conflit et ai désactivé l'antivirus pour le moment. Qu'est-ce que je fais à ce sujet ?

Merci
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
Elle correspond à quoi, cette clef, au fait ?


Il appartient à une famille de chevaux de Troie (Trojan).
Grâce à l'ouverture d'un port internet, il peut accéder et contrôler à distance un ordinateur à l'insu de son utilisateur.

PS: Tu peux reactiver ton antivirus.

1. Télécharge http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ par Swandog46 sur ton Bureau.

* Décompresse le fichier
* avenger.exe sur le bureau

2. Copie le contenu en gras ci-dessous (CTRL+C),




Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS




Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

* Faites un clic droit sur la fenêtre sous "Input Script There":, Et choisissez Coller.A présent du dois avoir le script dans la fenétre blanche d' Avenger.
* Clique sur Exécuter
* Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

* Il va Redémarrer le système.
* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
* Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html

Merci. Il s'accroche.
Voilà le rapport. La clef n'a pas été supprimée ; mais je remarque un espace dans le chemin Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS

C'est voulu ?


----------------------------------------------
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

------------------------------------------------------



J'ai réactivé l'antivirus comme demandé ; au redémarrage, il m'a de nouveau signalé que combofix tentait de se mettre en route et proposé d'annuler son lancement, ce que j'ai fait.
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
je remarque un espace dans le chemin Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS


C'est voulu ?

oui

Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

http://www.teamxscript.org/usbfixTelechargement.html

\ !/Désactive provisoirement la protection en temps réel de ton Antivirus et de tes Antispywares.\ !/
* Double-clique sur l'icône Usbfix située sur ton Bureau.
* Clique sur le bouton.
* Recherche / Suppression /Vacciner / Désinstaller
* Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Cliques sur OK
* Laisses Usbfix scanner ton système
* Postes le rapport qui se trouve ici ===========?C:\ UsbFix.txt

\ !/Apres l'option suppression il est recommander de redémarrer votre pc .Pensez a réactiver vos protections . (Antivirus et Antispywares.)\ !/

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.