PhysicalDrive0 Controlled by rootkit

Question

Bonjour, Configuration: Windows XP / Firefox 4.0.1 J'ai un énorme problème depuis quelques temps, avast bloque des adresses url malveillantes constamment, je trouve et supprime des trojan à chaque fois que je fais un scan Malwarebytes. J'ai essayé de me débrouiller toute seule en regardant le forum, sachant qu'il y a deux semaines je ne savais même pas ce qu'était un trojan, mais la méthode avec bootkit ne donne rien, le rapport dit toujours : "Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \.\C: \.\C: -> \.\PhysicalDrive0 at offset 0x00000000'00007e00 Size Device Name MBR Status -------------------------------------------- 149 GB \.\PhysicalDrive0 Controlled by rootkit! Boot code on some of your physical disks is hidden by a rootkit. To disinfect the master boot sector, use the following command: remover.exe fix To inspect the boot code manually, dump the master boot sector: remover.exe dump [output_file] Done" . . . . . . J'ai créé un fichier "tralala" en faisant start remover.exe dump...ect, et le scan virustotal.com donne : . . . "AhnLab-V3 2011.05.17.00 2011.05.16 - AntiVir 7.11.8.37 2011.05.16 BOO/TDss.M Antiy-AVL 2.0.3.7 2011.05.16 - Avast 4.8.1351.0 2011.05.16 Alureon-G@mbr Avast5 5.0.677.0 2011.05.16 Alureon-G@mbr AVG 10.0.0.1190 2011.05.16 Win32/Alureon.MBR BitDefender 7.2 2011.05.16 Rootkit.MBR.TDSS.B (Boot image) CAT-QuickHeal 11.00 2011.05.16 Bootkit.TDSS.TDL4 ClamAV 0.97.0.0 2011.05.16 - Commtouch 5.3.2.6 2011.05.16 - Comodo 8725 2011.05.16 - DrWeb 5.0.2.03300 2011.05.16 BackDoor.Tdss.4005 eSafe 7.0.17.0 2011.05.15 - eTrust-Vet 36.1.8330 2011.05.16 Dos/Alureon F-Prot 4.6.2.117 2011.05.16 - F-Secure 9.0.16440.0 2011.05.16 Rootkit.MBR.TDSS.B $Boot image$ Fortinet 4.2.257.0 2011.05.14 BOOT/TDSS.A GData 22 2011.05.16 Rootkit.MBR.TDSS.B Ikarus T3.1.1.103.0 2011.05.16 Rootkit.Win32.TDSS Jiangmin 13.0.900 2011.05.16 - K7AntiVirus 9.103.4648 2011.05.14 - Kaspersky 9.0.0.837 2011.05.16 Rootkit.Win32.TDSS.mbr McAfee 5.400.0.1158 2011.05.16 TDSS!mbr McAfee-GW-Edition 2010.1D 2011.05.16 TDSS!mbr Microsoft 1.6802 2011.05.16 Trojan:DOS/Alureon.A NOD32 6127 2011.05.16 - Norman 6.07.07 2011.05.15 TDSSmbr.A nProtect 2011-05-16.01 2011.05.16 - Panda 10.0.3.5 2011.05.16 - PCTools 7.0.3.5 2011.05.13 - Prevx 3.0 2011.05.16 - Rising 23.58.00.06 2011.05.16 - Sophos 4.65.0 2011.05.16 Troj/TdlMbr-B SUPERAntiSpyware 4.40.0.1006 2011.05.16 - Symantec 20101.3.2.89 2011.05.16 - TheHacker 6.7.0.1.198 2011.05.16 - TrendMicro 9.200.0.1012 2011.05.16 - TrendMicro-HouseCall 9.200.0.1012 2011.05.16 - VBA32 3.12.16.0 2011.05.12 - VIPRE 9299 2011.05.16 Trojan.Boot.Alureon.Gen (v) ViRobot 2011.5.16.4461 2011.05.16 - VirusBuster 13.6.357.0 2011.05.16 - " Je vous en supplie presque à genoux, aidez moi ! Merci d'avance pour votre attention.

juju666 · Answer

Hello  

Oh c'tout gentil ça ^^ suffit de trouver le bon outil :p  

allé jawaryinti en piste :p 

 .::. Contributeur Sécurité .::.

Utilisateur anonyme · Answer

Bonsoir
Le MBR est infecté
Télécharge TDSSKiller (de Kaspersky) sur ton bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.exe

Double clique sur TDSSKiller pour le lancer (avec Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur

Clique sur Start scan, et laisse l'outil travailler

Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir

Si TDSS. tdl2 est détecté, l'option delete sera cochée par défaut

Si TDSS.tdl3 est détecté, vérifie que Cure est bien cochée

Si TDSS.tdl4 (\HardDisk0\MBR) est détecté, vérifie que Cure 
est bien cochée

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Clique sur Continue, puis sur Reboot now pour 
redémarrer le PC

Poste le rapport qui est sauvegardé dans C:\TDSSKiller_Quarantine\
JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS 
heure de passage).

Manong · Answer

Voilà le rapport de TDSSKiller :
.
.
.
.






2011/05/17 17:35:07.0500 3808	TDSS rootkit removing tool 2.5.1.0 May 13 2011 13:20:29
2011/05/17 17:35:09.0140 3808	================================================================================
2011/05/17 17:35:09.0140 3808	SystemInfo:
2011/05/17 17:35:09.0140 3808	
2011/05/17 17:35:09.0156 3808	OS Version: 5.1.2600 ServicePack: 3.0
2011/05/17 17:35:09.0156 3808	Product type: Workstation
2011/05/17 17:35:09.0156 3808	ComputerName: TOMMY
2011/05/17 17:35:09.0156 3808	UserName: Tommy
2011/05/17 17:35:09.0156 3808	Windows directory: C:\WINDOWS
2011/05/17 17:35:09.0156 3808	System windows directory: C:\WINDOWS
2011/05/17 17:35:09.0156 3808	Processor architecture: Intel x86
2011/05/17 17:35:09.0156 3808	Number of processors: 1
2011/05/17 17:35:09.0156 3808	Page size: 0x1000
2011/05/17 17:35:09.0156 3808	Boot type: Normal boot
2011/05/17 17:35:09.0156 3808	================================================================================
2011/05/17 17:35:09.0718 3808	Initialize success
2011/05/17 17:35:16.0875 3860	================================================================================
2011/05/17 17:35:16.0875 3860	Scan started
2011/05/17 17:35:16.0875 3860	Mode: Manual; 
2011/05/17 17:35:16.0875 3860	================================================================================
2011/05/17 17:35:17.0671 3860	Aavmker4        (479c9835b91147be1a92cb76fad9c6de) C:\WINDOWS\system32\drivers\Aavmker4.sys
2011/05/17 17:35:17.0968 3860	ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/05/17 17:35:18.0125 3860	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/05/17 17:35:18.0375 3860	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/05/17 17:35:18.0515 3860	AFD             (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
2011/05/17 17:35:18.0656 3860	agp440          (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/05/17 17:35:19.0890 3860	aswFsBlk        (cba53c5e29ae0a0ce76f9a2be3a40d9e) C:\WINDOWS\system32\drivers\aswFsBlk.sys
2011/05/17 17:35:20.0062 3860	aswMon2         (a1c52b822b7b8a5c2162d38f579f97b7) C:\WINDOWS\system32\drivers\aswMon2.sys
2011/05/17 17:35:20.0218 3860	aswRdr          (b6e8c5874377a42756c282fac2e20836) C:\WINDOWS\system32\drivers\aswRdr.sys
2011/05/17 17:35:20.0359 3860	aswSP           (b93a553c9b0f14263c8f016a44c3258c) C:\WINDOWS\system32\drivers\aswSP.sys
2011/05/17 17:35:20.0531 3860	aswTdi          (1408421505257846eb336feeef33352d) C:\WINDOWS\system32\drivers\aswTdi.sys
2011/05/17 17:35:20.0687 3860	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/05/17 17:35:20.0828 3860	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/05/17 17:35:21.0109 3860	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/05/17 17:35:21.0250 3860	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/05/17 17:35:21.0406 3860	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/05/17 17:35:21.0609 3860	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/05/17 17:35:21.0765 3860	CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/05/17 17:35:22.0046 3860	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/05/17 17:35:22.0171 3860	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/05/17 17:35:22.0281 3860	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/05/17 17:35:22.0968 3860	ctljystk        (71007bd2e1e26927fe3e4eb00c0beedf) C:\WINDOWS\system32\DRIVERS\ctljystk.sys
2011/05/17 17:35:23.0328 3860	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/05/17 17:35:23.0515 3860	dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/05/17 17:35:23.0687 3860	dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/05/17 17:35:23.0843 3860	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/05/17 17:35:24.0000 3860	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/05/17 17:35:24.0265 3860	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/05/17 17:35:24.0421 3860	E100B           (98ed0bea10477b0f252cca35eb50f838) C:\WINDOWS\system32\DRIVERS\e100b325.sys
2011/05/17 17:35:24.0562 3860	emu10k          (01f83e1b5dce05f5cb7d99113ca9e890) C:\WINDOWS\system32\drivers\emu10k1m.sys
2011/05/17 17:35:24.0703 3860	emu10k1         (7ffa171cce6a8bfc774862a578ba39a2) C:\WINDOWS\system32\drivers\ctlfacem.sys
2011/05/17 17:35:24.0875 3860	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/05/17 17:35:25.0046 3860	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/05/17 17:35:25.0156 3860	Fips            (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/05/17 17:35:25.0296 3860	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/05/17 17:35:25.0406 3860	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/05/17 17:35:25.0578 3860	FsUsbExDisk     (790a4ca68f44be35967b3df61f3e4675) C:\WINDOWS\system32\FsUsbExDisk.SYS
2011/05/17 17:35:25.0718 3860	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/05/17 17:35:25.0828 3860	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/05/17 17:35:25.0984 3860	gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/05/17 17:35:26.0156 3860	GEARAspiWDM     (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\Drivers\GEARAspiWDM.sys
2011/05/17 17:35:26.0281 3860	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/05/17 17:35:26.0453 3860	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/05/17 17:35:26.0703 3860	HPZid412        (d03d10f7ded688fecf50f8fbf1ea9b8a) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
2011/05/17 17:35:26.0843 3860	HPZipr12        (89f41658929393487b6b7d13c8528ce3) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
2011/05/17 17:35:26.0984 3860	HPZius12        (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
2011/05/17 17:35:27.0109 3860	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/05/17 17:35:27.0515 3860	i8042prt        (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/05/17 17:35:27.0656 3860	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/05/17 17:35:27.0953 3860	IntelIde        (4b6da2f0a4095857a9e3f3697399d575) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/05/17 17:35:28.0093 3860	intelppm        (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/05/17 17:35:28.0218 3860	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/05/17 17:35:28.0328 3860	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/05/17 17:35:28.0484 3860	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/05/17 17:35:28.0625 3860	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/05/17 17:35:28.0765 3860	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/05/17 17:35:28.0906 3860	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/05/17 17:35:29.0078 3860	isapnp          (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/05/17 17:35:29.0234 3860	Kbdclass        (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/05/17 17:35:29.0390 3860	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/05/17 17:35:29.0531 3860	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/05/17 17:35:29.0984 3860	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/05/17 17:35:30.0140 3860	Modem           (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/05/17 17:35:30.0328 3860	motmodem        (b0f97021e7b56f0389168f3b5d5fb9bd) C:\WINDOWS\system32\DRIVERS\motmodem.sys
2011/05/17 17:35:30.0437 3860	Mouclass        (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/05/17 17:35:30.0578 3860	mouhid          (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/05/17 17:35:30.0765 3860	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/05/17 17:35:31.0031 3860	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/05/17 17:35:31.0203 3860	MRxSmb          (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/05/17 17:35:31.0359 3860	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/05/17 17:35:31.0500 3860	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/05/17 17:35:31.0625 3860	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/05/17 17:35:31.0750 3860	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/05/17 17:35:31.0875 3860	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/05/17 17:35:32.0000 3860	MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/05/17 17:35:32.0125 3860	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/05/17 17:35:32.0250 3860	NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/05/17 17:35:32.0375 3860	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/05/17 17:35:32.0546 3860	NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/05/17 17:35:32.0687 3860	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS
distapi.sys
2011/05/17 17:35:32.0828 3860	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS
disuio.sys
2011/05/17 17:35:32.0968 3860	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS
diswan.sys
2011/05/17 17:35:33.0125 3860	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/05/17 17:35:33.0281 3860	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS
etbios.sys
2011/05/17 17:35:33.0500 3860	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS
etbt.sys
2011/05/17 17:35:33.0765 3860	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/05/17 17:35:33.0921 3860	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/05/17 17:35:34.0140 3860	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/05/17 17:35:34.0281 3860	nv              (71dbdc08df86b80511e72953fa1ad6b0) C:\WINDOWS\system32\DRIVERS
v4_mini.sys
2011/05/17 17:35:34.0484 3860	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
2011/05/17 17:35:34.0593 3860	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS
wlnkfwd.sys
2011/05/17 17:35:34.0781 3860	Parport         (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/05/17 17:35:34.0921 3860	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/05/17 17:35:35.0062 3860	ParVdm          (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/17 17:35:35.0203 3860	PCI             (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/17 17:35:35.0453 3860	PCIIde          (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\drivers\PCIIde.sys
2011/05/17 17:35:35.0640 3860	Pcmcia          (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/05/17 17:35:36.0703 3860	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERSaspptp.sys
2011/05/17 17:35:36.0843 3860	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/17 17:35:37.0000 3860	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/17 17:35:37.0796 3860	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERSasacd.sys
2011/05/17 17:35:37.0937 3860	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERSasl2tp.sys
2011/05/17 17:35:38.0093 3860	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERSaspppoe.sys
2011/05/17 17:35:38.0218 3860	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERSaspti.sys
2011/05/17 17:35:38.0359 3860	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERSdbss.sys
2011/05/17 17:35:38.0500 3860	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/17 17:35:38.0687 3860	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERSdpdr.sys
2011/05/17 17:35:38.0828 3860	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/17 17:35:38.0953 3860	redbook         (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERSedbook.sys
2011/05/17 17:35:39.0359 3860	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/17 17:35:39.0562 3860	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/05/17 17:35:39.0890 3860	Serial          (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/05/17 17:35:40.0109 3860	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/05/17 17:35:40.0265 3860	sfman           (0b1a5e9cacb5cdd54a2815107bd7c772) C:\WINDOWS\system32\drivers\sfmanm.sys
2011/05/17 17:35:40.0609 3860	SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/05/17 17:35:40.0890 3860	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/17 17:35:41.0187 3860	sr              (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/17 17:35:41.0390 3860	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/17 17:35:42.0234 3860	StarOpen        (306521935042fc0a6988d528643619b3) C:\WINDOWS\system32\drivers\StarOpen.sys
2011/05/17 17:35:42.0390 3860	streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/05/17 17:35:42.0546 3860	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/17 17:35:42.0703 3860	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/17 17:35:43.0343 3860	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/17 17:35:43.0515 3860	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS	cpip.sys
2011/05/17 17:35:43.0640 3860	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/17 17:35:43.0765 3860	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/17 17:35:43.0921 3860	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS	ermdd.sys
2011/05/17 17:35:44.0218 3860	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/17 17:35:44.0453 3860	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/17 17:35:44.0656 3860	USBAAPL         (d4fb6ecc60a428564ba8768b0e23c0fc) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/05/17 17:35:44.0781 3860	usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/05/17 17:35:44.0937 3860	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/05/17 17:35:45.0078 3860	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/17 17:35:45.0234 3860	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/17 17:35:45.0406 3860	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/05/17 17:35:45.0546 3860	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/05/17 17:35:45.0718 3860	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/17 17:35:45.0859 3860	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/05/17 17:35:46.0046 3860	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/05/17 17:35:46.0328 3860	VolSnap         (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/17 17:35:46.0531 3860	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/17 17:35:46.0671 3860	Wdf01000        (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
2011/05/17 17:35:46.0937 3860	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/17 17:35:47.0234 3860	WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/05/17 17:35:47.0343 3860	WS2IFSL         (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
2011/05/17 17:35:47.0500 3860	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/05/17 17:35:47.0625 3860	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/05/17 17:35:47.0765 3860	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/05/17 17:35:47.0921 3860	\HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/05/17 17:35:47.0984 3860	================================================================================
2011/05/17 17:35:47.0984 3860	Scan finished
2011/05/17 17:35:47.0984 3860	================================================================================
2011/05/17 17:35:48.0046 3852	Detected object count: 1
2011/05/17 17:36:15.0828 3852	\HardDisk0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
2011/05/17 17:36:15.0828 3852	\HardDisk0 - ok
2011/05/17 17:36:15.0828 3852	Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure 
2011/05/17 17:36:24.0703 3756	Deinitialize success

Utilisateur anonyme · Answer

Bonsoir
On va vérifier s'il reste des infections
* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

Utilisateur anonyme · Answer

ton PC abrite un élevage de cochonneries, dont une grosse infection USB

Télécharge USBFix (de El Desaparecido, C_XX)  sur ton bureau
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html (miroir)

# Double clic sur UsbFix présent sur ton bureau, et clique sur 
exécuter pour lancer l'installation qui se fera automatiquement 

# Clique sur Suppression 

# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK

# La suppression est lancée. Le bureau va disparaitre, c'est normal

# Ensuite poste le rapport UsbFix.txt qui est apparu avec le bureau .

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Manong · Answer

Voici le rapport !
.
.
.



############################## | UsbFix 7.045 | [Suppression]

Utilisateur: Tommy (Administrateur) # TOMMY [ ]
Mis à jour le 15/05/2011 par TeamXscript
Lancé à 23:36:56 | 17/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php

CPU:  Intel(R) Pentium(R) 4 CPU 2.53GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83952505 [(!) Disabled | Updated]
RAM -> 767 Mo 
C:\ (%systemdrive%) -> Disque fixe # 49 Go (5 Go libre(s) - 10%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
G:\ -> Disque fixe # 149 Go (51 Go libre(s) - 34%) [Disque Local] # NTFS
H:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [] # FAT32
I:\ -> Disque amovible # 984 Mo (82 Mo libre(s) - 8%) [UDISK 2.0] # FAT

################## | Éléments infectieux |


Supprimé! C:\Documents and Settings\Tommy\RavMonLog
Supprimé! C:\Recycler\S-1-5-21-1343024091-1078145449-839522115-1003
Supprimé! C:\Recycler\S-1-5-21-1343024091-1078145449-839522115-1004
Supprimé! C:\Recycler\S-1-5-21-1343024091-1078145449-839522115-1006
Supprimé! G:\Recycler\S-1-5-21-1229272821-813497703-682003330-36630
Supprimé! G:\Recycler\S-1-5-21-1292428093-838170752-725345543-1003
Supprimé! G:\Recycler\S-1-5-21-1292428093-838170752-725345543-1004
Supprimé! G:\Recycler\S-1-5-21-1292428093-838170752-725345543-1005
Supprimé! G:\Recycler\S-1-5-21-1292428093-838170752-725345543-1006
Supprimé! G:\Recycler\S-1-5-21-1343024091-1078145449-839522115-1003
Supprimé! G:\Recycler\S-1-5-21-1343024091-1078145449-839522115-1004
Supprimé! G:\Recycler\S-1-5-21-1343024091-1078145449-839522115-1006
Supprimé! G:\Recycler\S-1-5-21-1715567821-583907252-725345543-1003
Supprimé! G:\Recycler\S-1-5-21-2052111302-1958367476-725345543-1004
Supprimé! G:\Recycler\S-1-5-21-583907252-73586283-682003330-1004
Supprimé! G:\Recycler\S-1-5-21-861567501-115176313-839522115-500
Supprimé! C:emover.exe

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0c615aa9-8090-11dc-9f4c-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3ce93c2a-b18d-11dd-a497-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4f942556-cf88-11dd-a52c-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{86c1f934-6d79-11dd-a33d-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{90a966b0-87df-11dc-9f71-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{aa8703c6-8c48-11dc-9f87-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c0b33df0-c287-11df-aab9-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c289a662-5b29-11de-a755-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d2e03eb2-89ad-11dc-9f7f-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d33b4e70-775f-11dc-9f13-0007e984ef91}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ee494abb-6ddf-11dc-9edd-0007e984ef91}

################## | Listing |

[19/09/2007 - 17:27:50 | N | 0] 	C:\AUTOEXEC.BAT
[19/09/2007 - 17:23:18 | SH | 212] 	C:\boot.ini
[28/08/2001 - 14:00:00 | N | 4952] 	C:\Bootfont.bin
[16/05/2011 - 23:41:21 | N | 39657] 	C:\bootkit_remover_debug_log.txt
[27/03/2010 - 22:49:55 | N | 74] 	C:\CMLoader.log
[15/05/2011 - 18:02:27 | HD ] 	C:\Config.Msi
[19/09/2007 - 17:27:50 | N | 0] 	C:\CONFIG.SYS
[07/06/2008 - 19:28:47 | D ] 	C:\ConvertTemp
[16/05/2011 - 23:41:08 | N | 74] 	C:\copymbr.bat
[16/05/2011 - 23:40:41 | N | 74] 	C:\COPYMBR;BAT.txt
[27/02/2008 - 18:46:26 | N | 133] 	C:\DealioAu.log
[19/09/2007 - 17:58:57 | D ] 	C:\dell
[25/04/2011 - 21:20:46 | D ] 	C:\Documents and Settings
[19/09/2007 - 17:27:50 | N | 0] 	C:\IO.SYS
[20/09/2007 - 17:40:46 | N | 183] 	C:\LogiSetup.log
[19/09/2007 - 17:27:50 | N | 0] 	C:\MSDOS.SYS
[13/05/2008 - 20:51:13 | D ] 	C:\MSOCache
[03/08/2004 - 22:38:34 | N | 47564] 	C:\NTDETECT.COM
[21/03/2010 - 14:33:18 | N | 252240] 	C:
tldr
[17/05/2011 - 17:37:34 | ASH | 805306368] 	C:\pagefile.sys
[17/05/2011 - 23:13:24 | N | 512] 	C:\PhysicalDisk0_MBR.bin
[17/05/2011 - 23:04:11 | D ] 	C:\Program Files
[17/05/2011 - 23:42:49 | SHD ] 	C:\RECYCLER
[29/12/2007 - 20:35:29 | N | 268] 	C:\sqmdata00.sqm
[14/03/2008 - 18:51:34 | N | 268] 	C:\sqmdata01.sqm
[29/03/2008 - 10:41:54 | N | 268] 	C:\sqmdata02.sqm
[07/04/2008 - 13:50:17 | N | 232] 	C:\sqmdata03.sqm
[07/04/2008 - 20:29:09 | N | 268] 	C:\sqmdata04.sqm
[10/06/2008 - 21:19:05 | N | 268] 	C:\sqmdata05.sqm
[06/09/2008 - 22:46:23 | N | 268] 	C:\sqmdata06.sqm
[13/09/2008 - 22:37:47 | N | 268] 	C:\sqmdata07.sqm
[29/09/2008 - 21:14:50 | N | 268] 	C:\sqmdata08.sqm
[29/09/2008 - 22:06:31 | N | 268] 	C:\sqmdata09.sqm
[25/10/2008 - 16:36:38 | N | 268] 	C:\sqmdata10.sqm
[29/10/2008 - 19:35:55 | N | 268] 	C:\sqmdata11.sqm
[12/01/2009 - 22:26:19 | N | 268] 	C:\sqmdata12.sqm
[06/02/2009 - 04:52:01 | N | 232] 	C:\sqmdata13.sqm
[06/02/2009 - 23:22:53 | N | 268] 	C:\sqmdata14.sqm
[13/03/2009 - 19:16:13 | N | 268] 	C:\sqmdata15.sqm
[13/03/2009 - 23:25:58 | N | 268] 	C:\sqmdata16.sqm
[13/04/2009 - 02:07:05 | N | 268] 	C:\sqmdata17.sqm
[29/12/2007 - 20:35:29 | N | 244] 	C:\sqmnoopt00.sqm
[14/03/2008 - 18:51:34 | N | 244] 	C:\sqmnoopt01.sqm
[29/03/2008 - 10:41:54 | N | 244] 	C:\sqmnoopt02.sqm
[07/04/2008 - 13:50:17 | N | 244] 	C:\sqmnoopt03.sqm
[07/04/2008 - 20:29:09 | N | 172] 	C:\sqmnoopt04.sqm
[10/06/2008 - 21:19:05 | N | 244] 	C:\sqmnoopt05.sqm
[06/09/2008 - 22:46:23 | N | 244] 	C:\sqmnoopt06.sqm
[13/09/2008 - 22:37:47 | N | 244] 	C:\sqmnoopt07.sqm
[29/09/2008 - 21:14:50 | N | 244] 	C:\sqmnoopt08.sqm
[29/09/2008 - 22:06:31 | N | 244] 	C:\sqmnoopt09.sqm
[25/10/2008 - 16:36:38 | N | 244] 	C:\sqmnoopt10.sqm
[29/10/2008 - 19:35:55 | N | 244] 	C:\sqmnoopt11.sqm
[12/01/2009 - 22:26:19 | N | 244] 	C:\sqmnoopt12.sqm
[06/02/2009 - 04:52:01 | N | 244] 	C:\sqmnoopt13.sqm
[06/02/2009 - 23:22:53 | N | 244] 	C:\sqmnoopt14.sqm
[13/03/2009 - 19:16:13 | N | 244] 	C:\sqmnoopt15.sqm
[13/03/2009 - 23:25:58 | N | 244] 	C:\sqmnoopt16.sqm
[13/04/2009 - 02:07:05 | N | 244] 	C:\sqmnoopt17.sqm
[30/04/2011 - 10:58:15 | SHD ] 	C:\System Volume Information
[17/05/2011 - 17:36:24 | N | 39930] 	C:\TDSSKiller.2.5.1.0_17.05.2011_17.35.07_log.txt
[16/05/2011 - 23:41:21 | N | 512] 	C:	ralala
[17/05/2011 - 23:42:49 | D ] 	C:\UsbFix
[17/05/2011 - 23:44:04 | A | 2176] 	C:\UsbFix.txt
[17/05/2011 - 22:41:34 | D ] 	C:\WINDOWS
[26/04/2007 - 18:07:12 | D ] 	G:\&Save
[20/09/2009 - 20:47:37 | D ] 	G:\Appareil
[23/03/2011 - 23:52:13 | D ] 	G:\APPAREIL PHOTO
[15/08/2009 - 02:01:03 | D ] 	G:\cac9445248e2f8a43fff6f
[06/09/2005 - 10:08:26 | D ] 	G:\f0d15ac85da7ca4e1a
[19/03/2011 - 13:23:55 | D ] 	G:\Laurence
[15/05/2011 - 17:01:30 | D ] 	G:\Lena
[25/04/2011 - 16:20:59 | D ] 	G:\Manon
[16/05/2011 - 23:20:13 | N | 361326] 	G:\manonsauvegarde.reg
[16/05/2011 - 23:21:22 | N | 5110] 	G:\manonsauvergarde2.reg
[16/05/2011 - 23:21:50 | N | 454] 	G:\manonsauvergarde3.reg
[27/03/2011 - 17:30:36 | D ] 	G:\Mes fichiers reçus
[06/09/2005 - 09:15:56 | D ] 	G:\MSOCache
[08/09/2010 - 21:36:21 | D ] 	G:\Office 2007 Portable by Servius
[14/11/2010 - 17:21:52 | D ] 	G:\Photos + docu
[17/05/2011 - 23:42:49 | SHD ] 	G:\RECYCLER
[24/04/2011 - 22:20:02 | D ] 	G:\Saved
[30/04/2011 - 13:32:51 | SHD ] 	G:\System Volume Information
[30/10/2006 - 22:43:48 | ASH | 48640] 	G:\Thumbs.db
[11/03/2011 - 23:48:36 | D ] 	G:\Tommy
[04/04/2011 - 21:14:12 | D ] 	G:\_ISTMP1.DIR

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

Utilisateur anonyme · Answer

on continuera demain, car il est tard y'en encore à faire

Utilisateur anonyme · Answer

Bonjour
On va continuer
Les toolbars ne servent à rien. Certaines sont néfastes et espionnent ta navigation
Certaines sont inutiles, elles ne font qu'alourdir la navigation
Soit vigilent lorsque tu installes ou met à jour un logiciel gratuit
Lit bien les instructions, et décoche la case sur les suppléments qu'on te propose
telle que les barres d'outil comme Ask, Kiwee, Search Setting, Crawler, Daemon
(à ne pas confondre avec le logiciel Daemon), Dealio qui sont les plus fréquentes
et néfastes
Les toolbars, c'est pas obligatoire
Je vais te donner ceci en passant, c'est à lire
https://forum.malekal.com/viewtopic.php?f=45&t=6173 

Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html    ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )
[b]Désactive l'anti-virus/b

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur [b]Scanner/b.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans [b]C:\Ad-Remover-SCAN[1].txt/b

Utilisateur anonyme · Answer

Il va falloir passer le mot qu'il y a des cochonneries de plus en plus coriaces qui
trainent sur le net, moi, j'interdirais l'accès au PC
Si tu les laisses faire n'importe quoi, tu risques de revenir pour désinfecter le PC

Double clique sur AD Remover, et clique sur Nettoyer.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-CLEAN[1].txt

Utilisateur anonyme · Answer

Pourrais tu me refaire ZHPDiag, héberge le rapport, et donne le lien

Utilisateur anonyme · Answer

Attention, cet outil n'est pas à utiliser à la légère, et doit 
être recommandé que par une personne formée à cet outil 
Imprime la procédure 

 Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

tutoriel pour bien utiliser l'outil 
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix 

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 
---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
Surtout, accepte d'installer la console de récupération 
---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt 


Attention, il te reste que 2 GO d'espace disque il va falloir libérer de l'espace


O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

manong · Answer

Désolée pour le temps que ça m'a mis à répondre, j'ai eu un empèchement.

ComboFix 11-05-17.01 - Tommy 18/05/2011  14:48:39.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.767.482 [GMT 2:00]
Lancé depuis: c:\documents and settings\Tommy\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Tommy\Application Data\Adobe\plugs
c:\documents and settings\Tommy\Application Data\Adobe\shed
.
c:\windows\system32\imm32.dll . . . est infecté!!
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-18 au 2011-05-18  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-18 11:48 . 2011-05-18 11:48	--------	d-----w-	c:\program files\Ad-Remover
2011-05-17 21:34 . 2011-05-17 21:42	--------	d-----w-	C:\UsbFix
2011-05-17 21:13 . 2011-05-18 12:21	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-05-17 21:04 . 2011-05-18 12:21	--------	d-----w-	c:\program files\ZHPDiag
2011-05-16 21:41 . 2011-05-16 21:41	74	------w-	C:\copymbr.bat
2011-05-15 16:02 . 2011-05-15 16:02	--------	d-----w-	c:\documents and settings\Tommy\Application Data\MSNInstaller
2011-05-13 23:28 . 2011-05-13 23:28	--------	d-----w-	c:\program files\iPod
2011-05-13 23:27 . 2011-05-13 23:29	--------	d-----w-	c:\program files\iTunes
2011-05-13 23:19 . 2011-05-13 23:19	--------	d-----w-	c:\program files\Bonjour
2011-05-04 12:45 . 2011-05-04 12:45	--------	d-----w-	c:\documents and settings\NetworkService\Mes documents
2011-05-03 17:28 . 2011-05-17 21:20	1324	----a-w-	c:\windows\system32\d3d9caps.tmp
2011-05-01 08:58 . 2011-05-01 08:58	--------	d-----w-	c:\documents and settings\All Users\Application Data
View_Profiles
2011-04-30 12:46 . 2011-05-16 20:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\gA31000FmEoK31000
2011-04-30 12:45 . 2011-05-04 12:45	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-04-27 21:04 . 2011-04-27 21:04	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2011-04-27 19:56 . 2011-04-27 20:27	--------	d-----w-	c:\documents and settings\Tommy\Application Data\WindSolutions
2011-04-27 19:56 . 2011-04-27 20:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\WindSolutions
2011-04-27 18:27 . 2011-04-27 18:27	--------	d-----w-	c:\program files\CCleaner
2011-04-26 17:12 . 2011-04-26 17:12	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2011-04-26 15:41 . 2011-04-26 15:41	--------	d-sh--w-	c:\documents and settings\NetworkService\PrivacIE
2011-04-26 15:38 . 2011-04-26 15:38	--------	d-sh--w-	c:\documents and settings\NetworkService\IECompatCache
2011-04-26 15:37 . 2011-04-26 15:39	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2011-04-25 20:16 . 2011-04-25 20:16	--------	d-----w-	c:\documents and settings\Tommy\Application Data\Malwarebytes
2011-04-25 19:27 . 2011-04-25 19:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-25 19:27 . 2010-12-20 16:09	38224	----a-r-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-25 19:27 . 2011-04-25 19:27	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-04-25 19:27 . 2010-12-20 16:08	20952	----a-r-	c:\windows\system32\drivers\mbam.sys
2011-04-25 19:20 . 2011-04-25 19:20	--------	d-----w-	c:\documents and settings\Administrateur
2011-04-25 19:01 . 2011-04-25 19:01	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-06 14:20 . 2011-04-06 14:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20	75040	----a-w-	c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20	197920	----a-w-	c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2007-09-19 15:25	692736	----a-r-	c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-19 14:09	420864	----a-r-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-19 14:00	1858048	----a-r-	c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-08-19 14:09	916480	----a-r-	c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-08-19 14:10	1469440	----a-r-	c:\windows\system32\inetcpl.cpl
2011-02-22 23:05 . 2004-08-19 14:09	43520	----a-r-	c:\windows\system32\licmgr10.dll
2011-02-22 11:42 . 2004-08-19 13:56	385024	----a-r-	c:\windows\system32\html.iec
2011-02-18 14:36 . 2009-04-19 18:14	4184352	----a-r-	c:\windows\system32\usbaaplrc.dll
2011-02-18 14:36 . 2007-12-09 10:57	41984	----a-r-	c:\windows\system32\drivers\usbaapl.sys
2011-02-17 13:18 . 2004-08-03 21:15	455936	----a-r-	c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-03 21:14	357888	----a-r-	c:\windows\system32\drivers\srv.sys
2008-11-18 21:30 . 2008-11-18 21:30	20724432	-c--a-w-	c:\program files\DivXInstaller.exe
2008-11-18 20:28 . 2008-11-18 20:28	352461	-c--a-w-	c:\program files\divx player.exe
2007-11-16 00:45 . 2007-11-16 00:45	17837056	-c--a-w-	c:\program files\VeohSetup-3.7.0.1020.exe
2007-10-19 18:30 . 2007-10-19 18:30	11811416	-c--a-w-	c:\program filesp505fra.exe
2011-04-14 16:47 . 2011-04-30 12:16	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-02 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-26 421160]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Documents and Settings^Tommy^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=c:\documents and settings\Tommy\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-04-26 23:22	421160	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13541:TCP"= 13541:TCP:NortonAV
"12733:TCP"= 12733:TCP:NortonAV
"14913:TCP"= 14913:TCP:NortonAV
.
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [08/05/2009 21:16 294608]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [08/05/2009 21:16 17744]
S0 rehjfqp;rehjfqp;c:\windows\system32\drivers\agai.sys --> c:\windows\system32\drivers\agai.sys [?]
S2 kydftmhp;Print Class  for IEEE-1284.4 HPZipr12Helper;c:\windows\System32\svchost.exe -k netsvcs [19/08/2004 16:10 14336]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [14/05/2009 23:58 36608]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
kydftmhp
.
Contenu du dossier 'Tâches planifiées'
.
2011-02-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = localhost;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Tommy\Application Data\Mozilla\Firefox\Profiles\d0r6l0pr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-18 14:58
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2011-05-18  15:04:31
ComboFix-quarantined-files.txt  2011-05-18 13:04
.
Avant-CF: 1 598 947 328 octets libres
Après-CF: 1 750 417 408 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 0FD7B11B09000F45D545B3503491C116

juju666 · Answer

Hello pour avancer Jawaryinti

&#9654 Rentre dans ton panneau de configuration....       
&#9654 Apparence et personnalisation...       
&#9654 Option des dossiers...(double cliquer dessus)       
&#9654 Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option    
&#9654 Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.    

&#9654 &#9654 ensuite rends toi sur ce lien:    
https://www.virustotal.com/gui/    

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr   


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"    
recherche les entrées suivante dans ton disque :    


c:\windows\system32\drivers\agai.sys 


&#9654 Clique sur Envoyer
&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant    

&#9654 Copie et colle le lien de ta barre d''adresse ici, après que l''analyse soit terminée

juju666 · Answer

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

&#9654 &#9654 SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!! 

&#9654 Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

File::
C:\copymbr.bat      
c:\program files\rp505fra.exe      
c:\program files\VeohSetup-3.7.0.1020.exe      
c:\program files\divx player.exe    
  
Rootkit::
c:\windows\system32\drivers\agai.sys 

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"iTunesHelper"=-
"QuickTime Task"=-

Netsvc::
kydftmhp      

Driver::
rehjfqp

FireFox::
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=    
 



&#9654 Enregistre ce fichier sous le nom  CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal! 
Ne touche à rien tant que le scan n''est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt

manong · Answer

Voili voilou :

ComboFix 11-05-17.01 - Tommy 18/05/2011  21:25:55.2.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.767.403 [GMT 2:00]
Lancé depuis: c:\documents and settings\Tommy\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Tommy\Bureau\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
 * Un nouveau point de restauration a été créé
.
FILE ::
"C:\copymbr.bat"
"c:\program files\divx player.exe"
"c:\program filesp505fra.exe"
"c:\program files\VeohSetup-3.7.0.1020.exe"
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\copymbr.bat
c:\program files\divx player.exe
c:\program filesp505fra.exe
c:\program files\VeohSetup-3.7.0.1020.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_rehjfqp
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-18 au 2011-05-18  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-18 11:48 . 2011-05-18 11:48	--------	d-----w-	c:\program files\Ad-Remover
2011-05-17 21:34 . 2011-05-17 21:42	--------	d-----w-	C:\UsbFix
2011-05-17 21:13 . 2011-05-18 12:21	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-05-17 21:04 . 2011-05-18 12:21	--------	d-----w-	c:\program files\ZHPDiag
2011-05-15 16:02 . 2011-05-15 16:02	--------	d-----w-	c:\documents and settings\Tommy\Application Data\MSNInstaller
2011-05-13 23:28 . 2011-05-13 23:28	--------	d-----w-	c:\program files\iPod
2011-05-13 23:27 . 2011-05-13 23:29	--------	d-----w-	c:\program files\iTunes
2011-05-13 23:19 . 2011-05-13 23:19	--------	d-----w-	c:\program files\Bonjour
2011-05-04 12:45 . 2011-05-04 12:45	--------	d-----w-	c:\documents and settings\NetworkService\Mes documents
2011-05-03 17:28 . 2011-05-18 18:52	1324	----a-w-	c:\windows\system32\d3d9caps.tmp
2011-05-01 08:58 . 2011-05-01 08:58	--------	d-----w-	c:\documents and settings\All Users\Application Data
View_Profiles
2011-04-30 12:46 . 2011-05-16 20:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\gA31000FmEoK31000
2011-04-30 12:45 . 2011-05-04 12:45	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-04-27 21:04 . 2011-04-27 21:04	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2011-04-27 19:56 . 2011-04-27 20:27	--------	d-----w-	c:\documents and settings\Tommy\Application Data\WindSolutions
2011-04-27 19:56 . 2011-04-27 20:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\WindSolutions
2011-04-27 18:27 . 2011-04-27 18:27	--------	d-----w-	c:\program files\CCleaner
2011-04-26 17:12 . 2011-04-26 17:12	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2011-04-26 15:41 . 2011-04-26 15:41	--------	d-sh--w-	c:\documents and settings\NetworkService\PrivacIE
2011-04-26 15:38 . 2011-04-26 15:38	--------	d-sh--w-	c:\documents and settings\NetworkService\IECompatCache
2011-04-26 15:37 . 2011-04-26 15:39	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2011-04-25 20:16 . 2011-04-25 20:16	--------	d-----w-	c:\documents and settings\Tommy\Application Data\Malwarebytes
2011-04-25 19:27 . 2011-04-25 19:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-25 19:27 . 2010-12-20 16:09	38224	----a-r-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-25 19:27 . 2011-04-25 19:27	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-04-25 19:27 . 2010-12-20 16:08	20952	----a-r-	c:\windows\system32\drivers\mbam.sys
2011-04-25 19:20 . 2011-04-25 19:20	--------	d-----w-	c:\documents and settings\Administrateur
2011-04-25 19:01 . 2011-04-25 19:01	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-06 14:20 . 2011-04-06 14:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20	75040	----a-w-	c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20	197920	----a-w-	c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2007-09-19 15:25	692736	----a-r-	c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-19 14:09	420864	----a-r-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-19 14:00	1858048	----a-r-	c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-08-19 14:09	916480	----a-r-	c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-08-19 14:10	1469440	----a-r-	c:\windows\system32\inetcpl.cpl
2011-02-22 23:05 . 2004-08-19 14:09	43520	----a-r-	c:\windows\system32\licmgr10.dll
2011-02-22 11:42 . 2004-08-19 13:56	385024	----a-r-	c:\windows\system32\html.iec
2011-02-18 14:36 . 2009-04-19 18:14	4184352	----a-r-	c:\windows\system32\usbaaplrc.dll
2011-02-18 14:36 . 2007-12-09 10:57	41984	----a-r-	c:\windows\system32\drivers\usbaapl.sys
2008-11-18 21:30 . 2008-11-18 21:30	20724432	-c--a-w-	c:\program files\DivXInstaller.exe
2011-04-14 16:47 . 2011-04-30 12:16	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-02 148888]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Documents and Settings^Tommy^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=c:\documents and settings\Tommy\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-04-26 23:22	421160	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13541:TCP"= 13541:TCP:NortonAV
"12733:TCP"= 12733:TCP:NortonAV
"14913:TCP"= 14913:TCP:NortonAV
.
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [08/05/2009 21:16 294608]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [08/05/2009 21:16 17744]
S2 kydftmhp;Print Class  for IEEE-1284.4 HPZipr12Helper;c:\windows\System32\svchost.exe -k netsvcs [19/08/2004 16:10 14336]
S3 CFcatchme;CFcatchme;\??\c:\docume~1\Tommy\LOCALS~1\Temp\CFcatchme.sys --> c:\docume~1\Tommy\LOCALS~1\Temp\CFcatchme.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [14/05/2009 23:58 36608]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
.
2011-02-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = localhost;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Tommy\Application Data\Mozilla\Firefox\Profiles\d0r6l0pr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-18 21:37
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1016)
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\devldr32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-05-18  21:43:46 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-05-18 19:43
ComboFix2.txt  2011-05-18 13:04
.
Avant-CF: 1 898 110 976 octets libres
Après-CF: 1 729 069 056 octets libres
.
- - End Of File - - 617271F1118BC3BB614AE4AF36BCBA35

juju666 · Answer

parfait

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur » 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

manong · Answer

Bonjour !
Désolée de vous relancer, j'aimerais savoir si je pouvais être tranquille ou s'il restait des menaces sur mon pc ?
Merci !

Utilisateur anonyme · Answer

Bonjour
On va faire une dernière vérification
Lance ZHPDiag, clique sur l'icône représentant la flèche verte, télécharge
et installe la nouvelle version
Ensuite, clique sur la loupe pour lancer le scan et héberge le rapport, puis
donne moi le lien

Utilisateur anonyme · Answer

On va désinstaller Java et Adobe qui ne sont pas à jour avec ZHPFix, et on va 
nettoyer encore des restants d'infections

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

O42 - Logiciel: Adobe Reader 8.1.3 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A81300000003}
O42 - Logiciel: Java(TM) 6 Update 13 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216013FF}
O42 - Logiciel: Java(TM) 6 Update 2 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160020}
O42 - Logiciel: Java(TM) 6 Update 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160060}
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe]   =>PUP.Eorezo
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]   =>Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}]   =>Toolbar.Ask
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]   =>Adware.AskTBar
[HKCR\Interface\{3EDDA953-1C3B-4823-8F25-D075FBB2D2B5}]   =>PUP.Dealio
[HKCR\TypeLib\{4C1E5902-FE99-4591-8582-2A2605462857}]   =>PUP.Dealio
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082}]   =>PUP.Dealio
[HKCR\Interface\{B67A4CBA-520A-43DB-B03F-414E539F90EC}]   =>PUP.Dealio
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}]   =>PUP.Dealio
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}]   =>PUP.Dealio
[HKCU\Software\PT25DHYRAW]   =>Trojan.FakeAlert
C:\Documents and Settings\Tommy\Application Data\BabylonToolbar   =>Toolbar.Babylon


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Installe la nouvelle version d'Adobe en cliquant sur ce lien
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose
Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien


Télécharge et installe la nouvelle version de Java
https://java.com/fr/
Attention, prend le temps de lire les informations,
décoche la case Yahoo toolbar


Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

Utilisateur anonyme · Answer

Bonsoir
Il me faudrait le rapport de ZHPFix, et héberge le rapport de ZHPDiag, car il 
n'est pas entier

Utilisateur anonyme · Answer

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

O44 - LFC:[MD5.2A253D605FB6AE64134FFACD90E03A9E] - 24/05/2011 - 20:06:04 ---A- . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\jxpiinstall.exe   [886560]    => Infection USB (Trojan.USB)
O69 - SBI: prefs.js [Tommy - d0r6l0pr.default] user_pref("extensions.snipit.askTbInstalled", true);    => Infection BT (Adware.AskSBAR)
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
CTFDisabled
EmptyTemp
EmptyFlash

* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

PhysicalDrive0 Controlled by rootkit - Page 2

Discussions similaires

Newsletters