Bonjour, J'ai attrapé récemment le virus windows xp recovery et après avoir fouillé quelques forums, j'ai vu qu'on pouvait le supprimer avec rogue killer, ce que j'ai pu faire. Seulement, depuis je n'ai pas retrouvé le contenu de mon bureau, et l'ordi se bloque au bout d'une 20aine de minutes sur un écran bleu qui me force à rebooter... J'ai bien tenté de faire une analyse de mon disque à la recherche d'un trojan mais je ne peux pas réaliser le scan en entier, l'ordi bloque avant. Sauriez-vous si il existe une procédure spécifique pour récupérer mes paramètres d'avant? Et est ce que je risque d'avoir encore des problèmes de sécurité à cause du trojan si j'ai utilisé roguekiller pour le supprimer? Merci d'avance pour vos renseignements

Soucis suite à windows XP recovery [Résolu]

Réponse 1 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
29 mai 2011 à 21:16

Bonjour,

Est-ce que tu peux poster le rapport RogueKiller

Smart

Réponse 2 / 27

VonSirnen
31 mai 2011 à 23:05

Voilà le rapport final après avoir lancé le mode 6 :

RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Lc Z [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 31/05/2011 23:04:13

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 30861 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 9 / Fail 1
Mes documents: Success 0 / Fail 1
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 1
Mes videos: Success 0 / Fail 0
Disques locaux: Success 2528 / Fail 1
Sauvegarde: [FOUND] Success 0 / Fail 153

Termine : << RKreport[1].txt >>
RKreport[1].txt

Mais toujours pas de bureau, et l'écran bleu

Réponse 3 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 1/06/2011 à 00:05

Je ne t'avais pas demandé de relancer RogueKiller mais de poster le rapport
que tu as du faire le 29/05/11.
Je le vois car ton rapport montre que le sacn a été le 31/05/2011 à 23:04:13
Et comme le rapport porte le N°1 je suppose que tu n'as plus les autres rapports.

Tu vas faire ceci:

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

Smart
---
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 4 / 27

VonSirnen
1 juin 2011 à 18:10

Bonjour,

En effet je n'ai pas conservé le premier rapport de rogue killer. En revanche voici le rapport donné par TDSSKiller :

2011/06/01 18:03:04.0937 1180 TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/06/01 18:03:05.0015 1180 ================================================================================
2011/06/01 18:03:05.0015 1180 SystemInfo:
2011/06/01 18:03:05.0015 1180
2011/06/01 18:03:05.0015 1180 OS Version: 5.1.2600 ServicePack: 3.0
2011/06/01 18:03:05.0015 1180 Product type: Workstation
2011/06/01 18:03:05.0015 1180 ComputerName: EEELZ
2011/06/01 18:03:05.0015 1180 UserName: Lc Z
2011/06/01 18:03:05.0015 1180 Windows directory: C:\WINDOWS
2011/06/01 18:03:05.0015 1180 System windows directory: C:\WINDOWS
2011/06/01 18:03:05.0015 1180 Processor architecture: Intel x86
2011/06/01 18:03:05.0015 1180 Number of processors: 2
2011/06/01 18:03:05.0015 1180 Page size: 0x1000
2011/06/01 18:03:05.0015 1180 Boot type: Normal boot
2011/06/01 18:03:05.0031 1180 ================================================================================
2011/06/01 18:03:08.0000 1180 Initialize success
2011/06/01 18:03:16.0640 2540 ================================================================================
2011/06/01 18:03:16.0640 2540 Scan started
2011/06/01 18:03:16.0640 2540 Mode: Manual;
2011/06/01 18:03:16.0640 2540 ================================================================================
2011/06/01 18:03:18.0015 2540 Aavmker4 (467f062f76e07512ecc1f5f60aab2988) C:\WINDOWS\system32\drivers\Aavmker4.sys
2011/06/01 18:03:18.0125 2540 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/06/01 18:03:18.0171 2540 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/06/01 18:03:18.0250 2540 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/06/01 18:03:18.0296 2540 AFD (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
2011/06/01 18:03:18.0546 2540 androidusb (dd8d9c597af7cd2f6b70a3d6a4a1acea) C:\WINDOWS\system32\Drivers\ssadadb.sys
2011/06/01 18:03:18.0656 2540 AR5416 (7d53e5646ba23fd51296f7ef8979a000) C:\WINDOWS\system32\DRIVERS\athw.sys
2011/06/01 18:03:18.0859 2540 AsusACPI (12415a4b61ded200fe9932b47a35fa42) C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys
2011/06/01 18:03:18.0906 2540 aswFsBlk (0c0b08847f2f24baa7bd43d8f2c6c8b0) C:\WINDOWS\system32\drivers\aswFsBlk.sys
2011/06/01 18:03:18.0953 2540 aswMon2 (aa504fa592c9ed79174cb06b8ae340aa) C:\WINDOWS\system32\drivers\aswMon2.sys
2011/06/01 18:03:19.0000 2540 aswRdr (f385ffd39165453fda96736aa3edfd9d) C:\WINDOWS\system32\drivers\aswRdr.sys
2011/06/01 18:03:19.0031 2540 aswSP (45adea26bf613a54fed64ecdd12e58a7) C:\WINDOWS\system32\drivers\aswSP.sys
2011/06/01 18:03:19.0093 2540 aswTdi (c4ee975c87176f1900662d2874233c7f) C:\WINDOWS\system32\drivers\aswTdi.sys
2011/06/01 18:03:19.0171 2540 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/06/01 18:03:19.0234 2540 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/06/01 18:03:19.0281 2540 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/06/01 18:03:19.0343 2540 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/06/01 18:03:19.0468 2540 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/06/01 18:03:19.0593 2540 btaudio (4b43dfe1c1fbb305a1dc5504ef9bb34e) C:\WINDOWS\system32\drivers\btaudio.sys
2011/06/01 18:03:19.0687 2540 BTDriver (2f9f111d31aa3fbbe5781d829a4524e6) C:\WINDOWS\system32\DRIVERS\btport.sys
2011/06/01 18:03:19.0781 2540 BTKRNL (70455baffc078b6152d1e52376296467) C:\WINDOWS\system32\DRIVERS\btkrnl.sys
2011/06/01 18:03:19.0906 2540 BTWDNDIS (485020a1e1fc5c51a800ca69c618d881) C:\WINDOWS\system32\DRIVERS\btwdndis.sys
2011/06/01 18:03:19.0937 2540 btwhid (949eca9c56f657c06d3166d51f3226c7) C:\WINDOWS\system32\DRIVERS\btwhid.sys
2011/06/01 18:03:20.0000 2540 btwmodem (5922bae0cd84924b9cd7e6bb515ee070) C:\WINDOWS\system32\DRIVERS\btwmodem.sys
2011/06/01 18:03:20.0062 2540 BTWUSB (2cfc2bd8785f82a42fcad83de1fa5a36) C:\WINDOWS\system32\Drivers\btwusb.sys
2011/06/01 18:03:20.0125 2540 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/06/01 18:03:20.0234 2540 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/06/01 18:03:20.0312 2540 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/06/01 18:03:20.0343 2540 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/06/01 18:03:20.0406 2540 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/06/01 18:03:20.0562 2540 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/06/01 18:03:20.0609 2540 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/06/01 18:03:20.0734 2540 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/06/01 18:03:20.0812 2540 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/06/01 18:03:20.0937 2540 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/06/01 18:03:21.0000 2540 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/06/01 18:03:21.0046 2540 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/06/01 18:03:21.0140 2540 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/06/01 18:03:21.0265 2540 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/06/01 18:03:21.0312 2540 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/06/01 18:03:21.0343 2540 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/06/01 18:03:21.0390 2540 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/06/01 18:03:21.0437 2540 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/06/01 18:03:21.0562 2540 FsUsbExDisk (cbe5f69a5e5b918225f420ba748f3742) C:\WINDOWS\system32\FsUsbExDisk.SYS
2011/06/01 18:03:21.0625 2540 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/06/01 18:03:21.0687 2540 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/06/01 18:03:21.0750 2540 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/06/01 18:03:21.0812 2540 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/06/01 18:03:21.0875 2540 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/06/01 18:03:21.0984 2540 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/06/01 18:03:22.0109 2540 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/06/01 18:03:22.0390 2540 ialm (0f68e2ec713f132ffb19e45415b09679) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/06/01 18:03:22.0734 2540 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/06/01 18:03:23.0015 2540 IntcAzAudAddService (12a9dafe2266b6fa6ddbce1847347751) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/06/01 18:03:23.0343 2540 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/06/01 18:03:23.0390 2540 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/06/01 18:03:23.0484 2540 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/06/01 18:03:23.0515 2540 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/06/01 18:03:23.0609 2540 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/06/01 18:03:23.0718 2540 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/06/01 18:03:23.0812 2540 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/06/01 18:03:23.0890 2540 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/06/01 18:03:23.0968 2540 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/06/01 18:03:24.0093 2540 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/06/01 18:03:24.0171 2540 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/06/01 18:03:24.0234 2540 Ktp (d1669c3eb818b4264be85fb7705acfc8) C:\WINDOWS\system32\DRIVERS\ETD.sys
2011/06/01 18:03:24.0328 2540 L1e (fa46f5d09edf93e0c71fe6500fe3f4ae) C:\WINDOWS\system32\DRIVERS\l1e51x86.sys
2011/06/01 18:03:24.0468 2540 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/06/01 18:03:24.0546 2540 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/06/01 18:03:24.0656 2540 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/06/01 18:03:24.0750 2540 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/06/01 18:03:24.0765 2540 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/06/01 18:03:24.0859 2540 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/06/01 18:03:24.0953 2540 MRxSmb (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/06/01 18:03:25.0093 2540 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/06/01 18:03:25.0187 2540 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/06/01 18:03:25.0281 2540 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/06/01 18:03:25.0390 2540 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/06/01 18:03:25.0562 2540 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/06/01 18:03:25.0640 2540 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/06/01 18:03:25.0750 2540 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/06/01 18:03:25.0828 2540 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/06/01 18:03:25.0906 2540 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/06/01 18:03:25.0984 2540 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/06/01 18:03:26.0109 2540 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/06/01 18:03:26.0234 2540 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/06/01 18:03:26.0312 2540 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/06/01 18:03:26.0375 2540 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/06/01 18:03:26.0562 2540 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/06/01 18:03:26.0687 2540 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/06/01 18:03:26.0843 2540 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/06/01 18:03:26.0906 2540 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/06/01 18:03:27.0015 2540 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/06/01 18:03:27.0062 2540 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/06/01 18:03:27.0109 2540 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/06/01 18:03:27.0187 2540 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys
2011/06/01 18:03:27.0265 2540 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/06/01 18:03:27.0343 2540 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/06/01 18:03:27.0421 2540 pccsmcfd (175cc28dcf819f78caa3fbd44ad9e52a) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/06/01 18:03:27.0500 2540 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/06/01 18:03:27.0625 2540 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/06/01 18:03:27.0703 2540 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/06/01 18:03:28.0000 2540 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/06/01 18:03:28.0046 2540 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/06/01 18:03:28.0093 2540 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/06/01 18:03:28.0281 2540 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/06/01 18:03:28.0375 2540 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/06/01 18:03:28.0437 2540 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/06/01 18:03:28.0468 2540 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/06/01 18:03:28.0531 2540 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/06/01 18:03:28.0609 2540 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/06/01 18:03:28.0750 2540 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/06/01 18:03:28.0843 2540 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/06/01 18:03:28.0984 2540 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/06/01 18:03:29.0046 2540 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
2011/06/01 18:03:29.0140 2540 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/06/01 18:03:29.0296 2540 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/06/01 18:03:29.0343 2540 SONYPVU1 (a1eceeaa5c5e74b2499eb51d38185b84) C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS
2011/06/01 18:03:29.0421 2540 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/06/01 18:03:29.0546 2540 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/06/01 18:03:29.0656 2540 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/06/01 18:03:29.0718 2540 ssadbus (6d83ff6722baf7e82a4521dbec363e5a) C:\WINDOWS\system32\DRIVERS\ssadbus.sys
2011/06/01 18:03:29.0750 2540 ssadmdfl (5ae42e90f99749e0e35b9989a2d0275c) C:\WINDOWS\system32\DRIVERS\ssadmdfl.sys
2011/06/01 18:03:29.0796 2540 ssadmdm (9285d8aba50a4d6482b1574448f9eb76) C:\WINDOWS\system32\DRIVERS\ssadmdm.sys
2011/06/01 18:03:29.0875 2540 sscdbus (ffe42941e0326c322f40b0b79a46493c) C:\WINDOWS\system32\DRIVERS\sscdbus.sys
2011/06/01 18:03:29.0921 2540 sscdmdfl (a68e7d87adfbb8c50d88cd58230c6819) C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
2011/06/01 18:03:30.0015 2540 sscdmdm (b534b24151281856ec2f69ed3d6d60dd) C:\WINDOWS\system32\DRIVERS\sscdmdm.sys
2011/06/01 18:03:30.0078 2540 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/06/01 18:03:30.0125 2540 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/06/01 18:03:30.0187 2540 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/06/01 18:03:30.0453 2540 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/06/01 18:03:30.0562 2540 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/06/01 18:03:30.0671 2540 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/06/01 18:03:30.0703 2540 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/06/01 18:03:30.0781 2540 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/06/01 18:03:30.0921 2540 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/06/01 18:03:31.0031 2540 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/06/01 18:03:31.0218 2540 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/06/01 18:03:31.0281 2540 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/06/01 18:03:31.0359 2540 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/06/01 18:03:31.0453 2540 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/06/01 18:03:31.0562 2540 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/06/01 18:03:31.0640 2540 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/06/01 18:03:31.0687 2540 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
2011/06/01 18:03:31.0750 2540 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/06/01 18:03:31.0890 2540 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/06/01 18:03:32.0000 2540 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/06/01 18:03:32.0062 2540 Wdf01000 (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
2011/06/01 18:03:32.0218 2540 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/06/01 18:03:32.0390 2540 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/06/01 18:03:32.0484 2540 WsAudioDevice_383 (85ece26f326c2d07ba77a60343468272) C:\WINDOWS\system32\drivers\WsAudioDevice_383.sys
2011/06/01 18:03:32.0546 2540 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/06/01 18:03:32.0656 2540 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/06/01 18:03:32.0718 2540 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/06/01 18:03:32.0828 2540 MBR (0x1B8) (2839639fa37b8353e792a2a30a12ced3) \Device\Harddisk0\DR0
2011/06/01 18:03:32.0843 2540 \Device\Harddisk0\DR0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/06/01 18:03:32.0843 2540 ================================================================================
2011/06/01 18:03:32.0843 2540 Scan finished
2011/06/01 18:03:32.0843 2540 ================================================================================
2011/06/01 18:03:32.0875 1808 Detected object count: 1
2011/06/01 18:03:32.0875 1808 Actual detected object count: 1
2011/06/01 18:03:57.0000 1808 \Device\Harddisk0\DR0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
2011/06/01 18:03:57.0000 1808 \Device\Harddisk0\DR0 - ok
2011/06/01 18:03:57.0000 1808 Rootkit.Win32.TDSS.tdl4(\Device\Harddisk0\DR0) - User select action: Cure
2011/06/01 18:04:09.0265 1192 Deinitialize success

Merci de ton aide

Réponse 5 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 1/06/2011 à 20:53

Redémarre le PC
Et ensuite relance RogueKiller en option 6 et poste le rapport

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 6 / 27

VonSirnen
1 juin 2011 à 21:26

Voilà) le nouveau rapport Rogue KIller

RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Lc Z [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 01/06/2011 21:04:20

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 15 / Fail 1
Mes documents: Success 0 / Fail 1
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 1
Mes videos: Success 0 / Fail 0
Disques locaux: Success 23 / Fail 1
Sauvegarde: [FOUND] Success 0 / Fail 153

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Encore merci !

Réponse 7 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Jeff le 7/05/2012 à 19:58

Est-ce qu'il y a un mieux. As-tu récupéré ton bureau ?

Ensuite tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart
--
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 8 / 27

VonSirnen
1 juin 2011 à 22:00

Je devrai m'en occuper mercredi prochain, je posterai le rapport dans la foulée.
Merci pour tes conseils

Réponse 9 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
1 juin 2011 à 22:54

OK

Smart

Réponse 10 / 27

VonSirnen
9 juin 2011 à 00:41

Bonjour Smart, Voici le rapport MalwareByte ci dessous. Le bureau est réapparu et je n'ai plus de soucis avec l'écran bleu!! Est ce que la menace est définitivement morte ou il peut rester quelquechose?

Encore merci pour votre aide !

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6811

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

09/06/2011 00:29:26
mbam-log-2011-06-09 (00-29-26).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 241746
Temps écoulé: 1 heure(s), 19 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\xhfmowvgsoobyf.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\documents and settings\lc z\application data\adobe\plugs\mmc16005093.txt (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\lc z\local settings\temporary internet files\content.ie5\7io703lg\windows-update-sp4-kb67952-setup[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\documents and settings\lc z\local settings\temporary internet files\content.ie5\dldyta55\windows-update-sp4-kb71629-setup[1].exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\documents and settings\lc z\local settings\temporary internet files\content.ie5\eme7bbf2\windows-update-sp3-kb62150-setup[1].exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{51c7ac77-acc6-4c39-bd94-2d3c16f0b1ae}\rp367\a0113296.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
d:\downloads\guitar pro_5.2.0&add-ons\guitar pro_5.2.0\Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\documents and settings\lc z\application data\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\lc z\application data\Adobe\plugs\mmc125.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\lc z\application data\Adobe\plugs\mmc24.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Réponse 11 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
9 juin 2011 à 00:45

Relance MBAM et vide la quarantaine.
Ensuite on va faire quand m^me un diagnostic du PC pour voir s'il n'y a pas d'autres infections:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart

Réponse 12 / 27

VonSirnen
11 juin 2011 à 14:36

Bonjour Smart,

J'ai lancé le programme comme tu me l'as conseillé. Voici le lien vers le rapport.
http://www.cijoint.fr/cjlink.php?file=cj201106/cijRrSe4By.txt

Encore merci!

Réponse 13 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
11 juin 2011 à 15:26

OK. Il reste encore des traces et une infection USB.

Tu vas faire ceci:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O42 - Logiciel: Loaris Trojan Remover 1.2 - (.Loaris, Inc..) [HKLM] -- {29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1
[HKCU\Software\Grand Virtual]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]
[HKCU\Software\Grand Virtual]
C:\Documents and Settings\Loïc ZIRN\Application Data\Adobe\plugs
C:\Documents and Settings\Loïc ZIRN\Application Data\Adobe\shed
O4 - HKLM\..\Run: [NPSStartup] Clé orpheline
[HKCU\Software\Loaris]
O43 - CFD: 26/05/2011 - 23:39:42 - [27313022] ----D- C:\Program Files\Loaris
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rundll32.exe" [Enabled] Clé orpheline
O51 - MPSK:{8ee80af4-4dee-11df-8dbb-00248c70a93e}\AutoRun\command - Clé orpheline
O64 - Services: CurCS - (.not file.) - 1b987980 (1b987980) .(...) - LEGACY_1B987980
O64 - Services: CurCS - (.not file.) - 29311698 (29311698) .(...) - LEGACY_29311698
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Classes\toolband.easyhidebtn]
[HKLM\Software\Classes\toolband.easyhidebtn.1]
[HKLM\Software\Classes\toolband.skypeiehelper]
[HKLM\Software\Classes\toolband.skypeiehelper.1]
[HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Tu redémarre le PC et tu fais ceci:

- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Cela fait deux rapports à poster

Smart

Réponse 14 / 27

VonSirnen
11 juin 2011 à 16:27

Smart,

voici le premier rapport ZHPFix

Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-06-2011-16-06-35.txt
Run by Loïc ZIRN at 11/06/2011 16:06:35
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
SUPPRIME O42 - Logiciel: Loaris Trojan Remover 1.2 - (.Loaris, Inc..) [HKLM] -- {29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1

========== Clé(s) du Registre ==========
SUPPRIME HKCU\Software\Grand Virtual
SUPPRIME HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}
ABSENT HKCU\Software\Grand Virtual
SUPPRIME HKCU\Software\Loaris
SUPPRIME CLSID MPSK: {8ee80af4-4dee-11df-8dbb-00248c70a93e}
SUPPRIME Service Legacy: LEGACY_1B987980
SUPPRIME Service Legacy: LEGACY_29311698
SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME HKLM\Software\Classes\toolband.easyhidebtn
SUPPRIME HKLM\Software\Classes\toolband.easyhidebtn.1
SUPPRIME HKLM\Software\Classes\toolband.skypeiehelper
SUPPRIME HKLM\Software\Classes\toolband.skypeiehelper.1
SUPPRIME HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}
SUPPRIME HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}

========== Valeur(s) du Registre ==========
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
SUPPRIME RunValue: NPSStartup
SUPPRIME O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rundll32.exe" [Enabled] Clé orpheline

========== Dossier(s) ==========
SUPPRIME c:\documents and settings\loïc zirn\application data\adobe\plugs
SUPPRIME c:\documents and settings\loïc zirn\application data\adobe\shed
SUPPRIME C:\Program Files\Loaris

========== Récapitulatif ==========
14 : Clé(s) du Registre
4 : Valeur(s) du Registre
3 : Dossier(s)
1 : Logiciel(s)

End of the scan

Réponse 15 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
11 juin 2011 à 16:29

Et maintenat le rapport USBFix

Smart

Réponse 16 / 27

VonSirnen
11 juin 2011 à 16:34

| UsbFix 7.048 | [Suppression]

Utilisateur: Loïc ZIRN (Administrateur) # EEELZ [ ]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 16:14:46 | 11/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.

CPU: Intel(R) Atom(TM) CPU N280 @ 1.66GHz
CPU 2: Intel(R) Atom(TM) CPU N280 @ 1.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886757 [(!) Disabled | Updated]
RAM -> 1015 Mo
C:\ (%systemdrive%) -> Disque fixe # 82 Go (13 Go libre(s) - 16%) [] # NTFS
D:\ -> Disque fixe # 62 Go (54 Go libre(s) - 86%) [] # NTFS
E:\ -> Disque amovible # 249 Mo (249 Mo libre(s) - 100%) [] # FAT
G:\ -> Disque fixe # 298 Go (45 Go libre(s) - 15%) [My Passport] # FAT32

################## | Éléments infectieux |

Supprimé! C:\DOCUME~1\LOCZIR~1\LOCALS~1\Temp\8BD54F3E-DD19-4a69-93D8-5C6A5BBBE20E.exe
Supprimé! C:\Recycler\S-1-5-21-1610529188-2281505048-4078151428-1003
Supprimé! C:\Recycler\S-1-5-21-4250164483-3570019246-3487078442-1006
Supprimé! C:\Recycler\S-1-5-21-861567501-162531612-527237240-1003
Supprimé! D:\Recycler\S-1-5-21-1610529188-2281505048-4078151428-1003
Supprimé! D:\Recycler\S-1-5-21-4250164483-3570019246-3487078442-1006

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDesktop

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{199c0a16-2aa5-11df-8d8b-002243851a2b}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1cd8e712-b485-11df-8e65-002243851a2b}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{75177b14-5ab3-11de-8c04-002243851a2b}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b0670f24-0ffb-11df-8d5d-002243851a2b}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b50a6ac3-73fa-11df-8df0-002243851a2b}

################## | Listing |

[15/10/2009 - 19:56:00 | N | 847570] C:\00.bmp
[31/03/2010 - 20:21:47 | D ] C:\AHCache
[29/12/2010 - 02:43:55 | N | 2898] C:\aqua_bitmap.cpp
[13/01/2010 - 17:22:29 | N | 0] C:\AUTOEXEC.BAT
[16/06/2009 - 15:51:29 | N | 216] C:\boot.ini
[14/04/2008 - 14:00:00 | N | 4952] C:\Bootfont.bin
[13/01/2010 - 17:22:29 | N | 0] C:\CONFIG.SYS
[09/01/2011 - 15:13:59 | D ] C:\Documents and Settings
[13/01/2009 - 19:00:07 | D ] C:\Intel
[13/01/2010 - 17:22:29 | N | 0] C:\IO.SYS
[19/08/2009 - 07:52:52 | D ] C:\Mp3 Output
[13/01/2010 - 17:22:29 | N | 0] C:\MSDOS.SYS
[16/03/2010 - 10:21:48 | RD ] C:\MSOCache
[29/12/2010 - 03:49:18 | N | 73] C:\NPS_LIMOBU.log
[14/04/2008 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | N | 252240] C:\ntldr
[11/06/2011 - 16:10:11 | ASH | 1598029824] C:\pagefile.sys
[11/06/2011 - 14:30:40 | N | 512] C:\PhysicalDisk0_MBR.bin
[11/06/2011 - 16:06:28 | D ] C:\Program Files
[11/06/2011 - 16:17:14 | SHD ] C:\RECYCLER
[13/01/2009 - 19:00:05 | N | 675] C:\RHDSetup.log
[16/06/2009 - 15:51:35 | SHD ] C:\System Volume Information
[01/06/2011 - 18:04:09 | N | 41830] C:\TDSSKiller.2.5.3.0_01.06.2011_18.03.04_log.txt
[11/06/2011 - 16:17:14 | D ] C:\UsbFix
[11/06/2011 - 16:18:10 | A | 1529] C:\UsbFix.txt
[11/06/2011 - 16:13:51 | D ] C:\WINDOWS
[15/10/2009 - 19:59:34 | D ] C:\WMP3E_PRO
[11/06/2011 - 16:06:35 | N | 22536] C:\ZHPExportRegistry-11-06-2011-16-06-35.txt
[31/03/2010 - 20:22:06 | D ] D:\0c34e963030aeb41f38128851a
[31/03/2010 - 20:37:18 | D ] D:\17f6966201c50c6d95943b0e3be82350
[21/05/2011 - 22:57:02 | D ] D:\Downloads
[25/08/2008 - 13:12:10 | N | 0] D:\first.t_t
[19/11/2010 - 19:59:52 | N | 374] D:\Raccourci vers Downloads.lnk
[11/06/2011 - 16:17:14 | SHD ] D:\RECYCLER
[11/06/2009 - 11:18:32 | SHD ] D:\System Volume Information
[11/06/2011 - 16:12:37 | D ] D:\Téléchargements

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_EEELZ.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Réponse 17 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
11 juin 2011 à 16:40

Relance ZHPDiag, clique sur la flèche verte pour faire la mise à jour, refais un sacn ZHPDiag et poste le rapport via cijoint.
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Réponse 18 / 27

VonSirnen
12 juin 2011 à 16:17

Bonjour Smart,
Voici le dernier rapport ZHPDiag.
http://www.cijoint.fr/cjlink.php?file=cj201106/cijcdc04WE.txt

Penses tu que je risque d'avoir des ennuis plus tard à cause de ces trojans? Si oui faut-il que je change mes mdp?

Encore merci pour ton aide.

Réponse 19 / 27

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 12/06/2011 à 19:23

Tu as attrapé ces infections sutout en installant des crack et KeyGen
Pour les mots de passe, tu peux les changer si cela te rassure surout que tu avais ceci: Spyware.Passwords.XGen

Fais les mises à jour suivantes:

Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
Ou alors tu passes par windows update ==>
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

Mise à jour Avast 5 vers Avast 6:
Ouvre Avast Antivirus, va dans Maintenance puis dans Mise à jour et clique sur Mise à jour du programme

Mise à jour Java 6 update 26 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 26

Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1
Décoche la case "Inclure dans botre téléchargement la barre Google"

Mise à jour flashplayer vers la version 10.3.185.22
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe
OPT:O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\WINDOWS\ALCMTR.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-4250164483-3570019246-3487078442-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
[HKLM\Software\BrowserChoice]
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
CTFDisabled
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

Installe l'extension de sécurité adblock plus pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

- Les logiciels gratuits à éviter

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 20 / 27

VonSirnen
13 juin 2011 à 16:01

Bonjour Smart, voici les derniers rapports ZHPFix et DELFix.
J'ai suivi tous tes conseils et j'ai créé le point de restauration. Je vais lire attentivement les pages sur le peer to peer, mais que penses des sites envoyant vers des megaupload-like? Est-ce plus safe?

En tous cas mille mercis pour ton aide, j'aurais été un peu déçu de devoir tout formater...

Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-06-2011-01-49-21.txt
Run by Loïc ZIRN at 13/06/2011 01:49:21
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME HKLM\Software\BrowserChoice
SUPPRIME StartupReg: Adobe Reader Speed Launcher

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: SunJavaUpdateSched
SUPPRIME RunValue: RTHDCPL
SUPPRIME RunValue: Alcmtr
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: CTFMON.EXE
ABSENT RunValue: CTFMON.EXE

========== Elément(s) de donnée du Registre ==========
SUPPRIME CTFDisabled

========== Récapitulatif ==========
2 : Clé(s) du Registre
7 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre

End of the scan

et delfix :

# DelFix v8.0 - Rapport créé le 13/06/2011 à 15:48
# Mis à jour le 01/06/11 à 13h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Loïc ZIRN - EEELZ (Administrateur)
# Exécuté depuis : D:\Téléchargements\delfix.exe
# Option [Suppression]

~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.5.3.0_01.06.2011_18.03.04_log.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_EEELZ.zip
Supprimé : C:\ZHPExportRegistry-11-06-2011-16-06-35.txt
Supprimé : C:\ZHPExportRegistry-13-06-2011-01-49-21.txt
Supprimé : C:\Documents and Settings\Loïc ZIRN\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\Loïc ZIRN\Bureau\UsbFix.txt
Supprimé : C:\Documents and Settings\Loïc ZIRN\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Loïc ZIRN\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> BitDefender Online Scanner ... Désinstallé avec succès
-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1651 octets] ##########

Soucis suite à windows XP recovery

27 réponses

Newsletters