Soucis suite à windows XP recovery

Résolu
VonSirnen -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

J'ai attrapé récemment le virus windows xp recovery et après avoir fouillé quelques forums, j'ai vu qu'on pouvait le supprimer avec rogue killer, ce que j'ai pu faire.

Seulement, depuis je n'ai pas retrouvé le contenu de mon bureau, et l'ordi se bloque au bout d'une 20aine de minutes sur un écran bleu qui me force à rebooter...
J'ai bien tenté de faire une analyse de mon disque à la recherche d'un trojan mais je ne peux pas réaliser le scan en entier, l'ordi bloque avant.

Sauriez-vous si il existe une procédure spécifique pour récupérer mes paramètres d'avant? Et est ce que je risque d'avoir encore des problèmes de sécurité à cause du trojan si j'ai utilisé roguekiller pour le supprimer?

Merci d'avance pour vos renseignements

27 réponses

  • 1
  • 2
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Est-ce que tu peux poster le rapport RogueKiller

    Smart
    1
  2. VonSirnen
     
    Voilà le rapport final après avoir lancé le mode 6 :

    RogueKiller V5.1.9 [29/05/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Lc Z [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 31/05/2011 23:04:13

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 30861 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 9 / Fail 1
    Mes documents: Success 0 / Fail 1
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 1
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 2528 / Fail 1
    Sauvegarde: [FOUND] Success 0 / Fail 153

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Mais toujours pas de bureau, et l'écran bleu
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Je ne t'avais pas demandé de relancer RogueKiller mais de poster le rapport
    que tu as du faire le 29/05/11.
    Je le vois car ton rapport montre que le sacn a été le 31/05/2011 à 23:04:13
    Et comme le rapport porte le N°1 je suppose que tu n'as plus les autres rapports.

    Tu vas faire ceci:

    * Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
    * Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
    * Clique sur Start Scan pour démarrer l'analyse.
    * Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
    * Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
    * Un rapport s'ouvrira au redémarrage de l'ordinateur.
    * Copie/colle son contenu dans ta prochaine réponse.
    Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

    Smart
    ---
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  4. VonSirnen
     
    Bonjour,

    En effet je n'ai pas conservé le premier rapport de rogue killer. En revanche voici le rapport donné par TDSSKiller :

    2011/06/01 18:03:04.0937 1180 TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
    2011/06/01 18:03:05.0015 1180 ================================================================================
    2011/06/01 18:03:05.0015 1180 SystemInfo:
    2011/06/01 18:03:05.0015 1180
    2011/06/01 18:03:05.0015 1180 OS Version: 5.1.2600 ServicePack: 3.0
    2011/06/01 18:03:05.0015 1180 Product type: Workstation
    2011/06/01 18:03:05.0015 1180 ComputerName: EEELZ
    2011/06/01 18:03:05.0015 1180 UserName: Lc Z
    2011/06/01 18:03:05.0015 1180 Windows directory: C:\WINDOWS
    2011/06/01 18:03:05.0015 1180 System windows directory: C:\WINDOWS
    2011/06/01 18:03:05.0015 1180 Processor architecture: Intel x86
    2011/06/01 18:03:05.0015 1180 Number of processors: 2
    2011/06/01 18:03:05.0015 1180 Page size: 0x1000
    2011/06/01 18:03:05.0015 1180 Boot type: Normal boot
    2011/06/01 18:03:05.0031 1180 ================================================================================
    2011/06/01 18:03:08.0000 1180 Initialize success
    2011/06/01 18:03:16.0640 2540 ================================================================================
    2011/06/01 18:03:16.0640 2540 Scan started
    2011/06/01 18:03:16.0640 2540 Mode: Manual;
    2011/06/01 18:03:16.0640 2540 ================================================================================
    2011/06/01 18:03:18.0015 2540 Aavmker4 (467f062f76e07512ecc1f5f60aab2988) C:\WINDOWS\system32\drivers\Aavmker4.sys
    2011/06/01 18:03:18.0125 2540 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    2011/06/01 18:03:18.0171 2540 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
    2011/06/01 18:03:18.0250 2540 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
    2011/06/01 18:03:18.0296 2540 AFD (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
    2011/06/01 18:03:18.0546 2540 androidusb (dd8d9c597af7cd2f6b70a3d6a4a1acea) C:\WINDOWS\system32\Drivers\ssadadb.sys
    2011/06/01 18:03:18.0656 2540 AR5416 (7d53e5646ba23fd51296f7ef8979a000) C:\WINDOWS\system32\DRIVERS\athw.sys
    2011/06/01 18:03:18.0859 2540 AsusACPI (12415a4b61ded200fe9932b47a35fa42) C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys
    2011/06/01 18:03:18.0906 2540 aswFsBlk (0c0b08847f2f24baa7bd43d8f2c6c8b0) C:\WINDOWS\system32\drivers\aswFsBlk.sys
    2011/06/01 18:03:18.0953 2540 aswMon2 (aa504fa592c9ed79174cb06b8ae340aa) C:\WINDOWS\system32\drivers\aswMon2.sys
    2011/06/01 18:03:19.0000 2540 aswRdr (f385ffd39165453fda96736aa3edfd9d) C:\WINDOWS\system32\drivers\aswRdr.sys
    2011/06/01 18:03:19.0031 2540 aswSP (45adea26bf613a54fed64ecdd12e58a7) C:\WINDOWS\system32\drivers\aswSP.sys
    2011/06/01 18:03:19.0093 2540 aswTdi (c4ee975c87176f1900662d2874233c7f) C:\WINDOWS\system32\drivers\aswTdi.sys
    2011/06/01 18:03:19.0171 2540 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    2011/06/01 18:03:19.0234 2540 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
    2011/06/01 18:03:19.0281 2540 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    2011/06/01 18:03:19.0343 2540 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    2011/06/01 18:03:19.0468 2540 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    2011/06/01 18:03:19.0593 2540 btaudio (4b43dfe1c1fbb305a1dc5504ef9bb34e) C:\WINDOWS\system32\drivers\btaudio.sys
    2011/06/01 18:03:19.0687 2540 BTDriver (2f9f111d31aa3fbbe5781d829a4524e6) C:\WINDOWS\system32\DRIVERS\btport.sys
    2011/06/01 18:03:19.0781 2540 BTKRNL (70455baffc078b6152d1e52376296467) C:\WINDOWS\system32\DRIVERS\btkrnl.sys
    2011/06/01 18:03:19.0906 2540 BTWDNDIS (485020a1e1fc5c51a800ca69c618d881) C:\WINDOWS\system32\DRIVERS\btwdndis.sys
    2011/06/01 18:03:19.0937 2540 btwhid (949eca9c56f657c06d3166d51f3226c7) C:\WINDOWS\system32\DRIVERS\btwhid.sys
    2011/06/01 18:03:20.0000 2540 btwmodem (5922bae0cd84924b9cd7e6bb515ee070) C:\WINDOWS\system32\DRIVERS\btwmodem.sys
    2011/06/01 18:03:20.0062 2540 BTWUSB (2cfc2bd8785f82a42fcad83de1fa5a36) C:\WINDOWS\system32\Drivers\btwusb.sys
    2011/06/01 18:03:20.0125 2540 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    2011/06/01 18:03:20.0234 2540 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
    2011/06/01 18:03:20.0312 2540 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
    2011/06/01 18:03:20.0343 2540 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
    2011/06/01 18:03:20.0406 2540 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    2011/06/01 18:03:20.0562 2540 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
    2011/06/01 18:03:20.0609 2540 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
    2011/06/01 18:03:20.0734 2540 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
    2011/06/01 18:03:20.0812 2540 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
    2011/06/01 18:03:20.0937 2540 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
    2011/06/01 18:03:21.0000 2540 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    2011/06/01 18:03:21.0046 2540 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
    2011/06/01 18:03:21.0140 2540 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
    2011/06/01 18:03:21.0265 2540 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
    2011/06/01 18:03:21.0312 2540 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
    2011/06/01 18:03:21.0343 2540 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
    2011/06/01 18:03:21.0390 2540 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
    2011/06/01 18:03:21.0437 2540 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
    2011/06/01 18:03:21.0562 2540 FsUsbExDisk (cbe5f69a5e5b918225f420ba748f3742) C:\WINDOWS\system32\FsUsbExDisk.SYS
    2011/06/01 18:03:21.0625 2540 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    2011/06/01 18:03:21.0687 2540 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    2011/06/01 18:03:21.0750 2540 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    2011/06/01 18:03:21.0812 2540 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
    2011/06/01 18:03:21.0875 2540 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
    2011/06/01 18:03:21.0984 2540 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
    2011/06/01 18:03:22.0109 2540 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    2011/06/01 18:03:22.0390 2540 ialm (0f68e2ec713f132ffb19e45415b09679) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
    2011/06/01 18:03:22.0734 2540 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
    2011/06/01 18:03:23.0015 2540 IntcAzAudAddService (12a9dafe2266b6fa6ddbce1847347751) C:\WINDOWS\system32\drivers\RtkHDAud.sys
    2011/06/01 18:03:23.0343 2540 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
    2011/06/01 18:03:23.0390 2540 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
    2011/06/01 18:03:23.0484 2540 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    2011/06/01 18:03:23.0515 2540 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    2011/06/01 18:03:23.0609 2540 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    2011/06/01 18:03:23.0718 2540 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    2011/06/01 18:03:23.0812 2540 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
    2011/06/01 18:03:23.0890 2540 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    2011/06/01 18:03:23.0968 2540 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    2011/06/01 18:03:24.0093 2540 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
    2011/06/01 18:03:24.0171 2540 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
    2011/06/01 18:03:24.0234 2540 Ktp (d1669c3eb818b4264be85fb7705acfc8) C:\WINDOWS\system32\DRIVERS\ETD.sys
    2011/06/01 18:03:24.0328 2540 L1e (fa46f5d09edf93e0c71fe6500fe3f4ae) C:\WINDOWS\system32\DRIVERS\l1e51x86.sys
    2011/06/01 18:03:24.0468 2540 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
    2011/06/01 18:03:24.0546 2540 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
    2011/06/01 18:03:24.0656 2540 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    2011/06/01 18:03:24.0750 2540 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
    2011/06/01 18:03:24.0765 2540 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
    2011/06/01 18:03:24.0859 2540 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
    2011/06/01 18:03:24.0953 2540 MRxSmb (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    2011/06/01 18:03:25.0093 2540 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
    2011/06/01 18:03:25.0187 2540 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    2011/06/01 18:03:25.0281 2540 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    2011/06/01 18:03:25.0390 2540 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
    2011/06/01 18:03:25.0562 2540 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    2011/06/01 18:03:25.0640 2540 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
    2011/06/01 18:03:25.0750 2540 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
    2011/06/01 18:03:25.0828 2540 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
    2011/06/01 18:03:25.0906 2540 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
    2011/06/01 18:03:25.0984 2540 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
    2011/06/01 18:03:26.0109 2540 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
    2011/06/01 18:03:26.0234 2540 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    2011/06/01 18:03:26.0312 2540 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
    2011/06/01 18:03:26.0375 2540 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
    2011/06/01 18:03:26.0562 2540 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
    2011/06/01 18:03:26.0687 2540 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
    2011/06/01 18:03:26.0843 2540 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
    2011/06/01 18:03:26.0906 2540 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
    2011/06/01 18:03:27.0015 2540 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    2011/06/01 18:03:27.0062 2540 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
    2011/06/01 18:03:27.0109 2540 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
    2011/06/01 18:03:27.0187 2540 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys
    2011/06/01 18:03:27.0265 2540 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
    2011/06/01 18:03:27.0343 2540 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
    2011/06/01 18:03:27.0421 2540 pccsmcfd (175cc28dcf819f78caa3fbd44ad9e52a) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
    2011/06/01 18:03:27.0500 2540 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
    2011/06/01 18:03:27.0625 2540 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
    2011/06/01 18:03:27.0703 2540 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
    2011/06/01 18:03:28.0000 2540 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    2011/06/01 18:03:28.0046 2540 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
    2011/06/01 18:03:28.0093 2540 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    2011/06/01 18:03:28.0281 2540 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    2011/06/01 18:03:28.0375 2540 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    2011/06/01 18:03:28.0437 2540 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    2011/06/01 18:03:28.0468 2540 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    2011/06/01 18:03:28.0531 2540 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    2011/06/01 18:03:28.0609 2540 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    2011/06/01 18:03:28.0750 2540 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
    2011/06/01 18:03:28.0843 2540 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
    2011/06/01 18:03:28.0984 2540 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    2011/06/01 18:03:29.0046 2540 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
    2011/06/01 18:03:29.0140 2540 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
    2011/06/01 18:03:29.0296 2540 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
    2011/06/01 18:03:29.0343 2540 SONYPVU1 (a1eceeaa5c5e74b2499eb51d38185b84) C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS
    2011/06/01 18:03:29.0421 2540 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
    2011/06/01 18:03:29.0546 2540 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
    2011/06/01 18:03:29.0656 2540 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
    2011/06/01 18:03:29.0718 2540 ssadbus (6d83ff6722baf7e82a4521dbec363e5a) C:\WINDOWS\system32\DRIVERS\ssadbus.sys
    2011/06/01 18:03:29.0750 2540 ssadmdfl (5ae42e90f99749e0e35b9989a2d0275c) C:\WINDOWS\system32\DRIVERS\ssadmdfl.sys
    2011/06/01 18:03:29.0796 2540 ssadmdm (9285d8aba50a4d6482b1574448f9eb76) C:\WINDOWS\system32\DRIVERS\ssadmdm.sys
    2011/06/01 18:03:29.0875 2540 sscdbus (ffe42941e0326c322f40b0b79a46493c) C:\WINDOWS\system32\DRIVERS\sscdbus.sys
    2011/06/01 18:03:29.0921 2540 sscdmdfl (a68e7d87adfbb8c50d88cd58230c6819) C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
    2011/06/01 18:03:30.0015 2540 sscdmdm (b534b24151281856ec2f69ed3d6d60dd) C:\WINDOWS\system32\DRIVERS\sscdmdm.sys
    2011/06/01 18:03:30.0078 2540 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
    2011/06/01 18:03:30.0125 2540 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
    2011/06/01 18:03:30.0187 2540 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
    2011/06/01 18:03:30.0453 2540 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
    2011/06/01 18:03:30.0562 2540 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    2011/06/01 18:03:30.0671 2540 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
    2011/06/01 18:03:30.0703 2540 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
    2011/06/01 18:03:30.0781 2540 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
    2011/06/01 18:03:30.0921 2540 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
    2011/06/01 18:03:31.0031 2540 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
    2011/06/01 18:03:31.0218 2540 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
    2011/06/01 18:03:31.0281 2540 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    2011/06/01 18:03:31.0359 2540 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    2011/06/01 18:03:31.0453 2540 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
    2011/06/01 18:03:31.0562 2540 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    2011/06/01 18:03:31.0640 2540 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
    2011/06/01 18:03:31.0687 2540 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
    2011/06/01 18:03:31.0750 2540 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
    2011/06/01 18:03:31.0890 2540 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
    2011/06/01 18:03:32.0000 2540 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    2011/06/01 18:03:32.0062 2540 Wdf01000 (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
    2011/06/01 18:03:32.0218 2540 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
    2011/06/01 18:03:32.0390 2540 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
    2011/06/01 18:03:32.0484 2540 WsAudioDevice_383 (85ece26f326c2d07ba77a60343468272) C:\WINDOWS\system32\drivers\WsAudioDevice_383.sys
    2011/06/01 18:03:32.0546 2540 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
    2011/06/01 18:03:32.0656 2540 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
    2011/06/01 18:03:32.0718 2540 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
    2011/06/01 18:03:32.0828 2540 MBR (0x1B8) (2839639fa37b8353e792a2a30a12ced3) \Device\Harddisk0\DR0
    2011/06/01 18:03:32.0843 2540 \Device\Harddisk0\DR0 - detected Rootkit.Win32.TDSS.tdl4 (0)
    2011/06/01 18:03:32.0843 2540 ================================================================================
    2011/06/01 18:03:32.0843 2540 Scan finished
    2011/06/01 18:03:32.0843 2540 ================================================================================
    2011/06/01 18:03:32.0875 1808 Detected object count: 1
    2011/06/01 18:03:32.0875 1808 Actual detected object count: 1
    2011/06/01 18:03:57.0000 1808 \Device\Harddisk0\DR0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
    2011/06/01 18:03:57.0000 1808 \Device\Harddisk0\DR0 - ok
    2011/06/01 18:03:57.0000 1808 Rootkit.Win32.TDSS.tdl4(\Device\Harddisk0\DR0) - User select action: Cure
    2011/06/01 18:04:09.0265 1192 Deinitialize success

    Merci de ton aide
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Redémarre le PC
    Et ensuite relance RogueKiller en option 6 et poste le rapport

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  7. VonSirnen
     
    Voilà) le nouveau rapport Rogue KIller

    RogueKiller V5.1.9 [29/05/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Lc Z [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 01/06/2011 21:04:20

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 0 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 15 / Fail 1
    Mes documents: Success 0 / Fail 1
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 1
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 23 / Fail 1
    Sauvegarde: [FOUND] Success 0 / Fail 153

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    Encore merci !
    0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Est-ce qu'il y a un mieux. As-tu récupéré ton bureau ?

    Ensuite tu vas faire ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Smart
    --
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  9. VonSirnen
     
    Je devrai m'en occuper mercredi prochain, je posterai le rapport dans la foulée.
    Merci pour tes conseils
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK

    Smart
    0
  11. VonSirnen
     
    Bonjour Smart, Voici le rapport MalwareByte ci dessous. Le bureau est réapparu et je n'ai plus de soucis avec l'écran bleu!! Est ce que la menace est définitivement morte ou il peut rester quelquechose?

    Encore merci pour votre aide !

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6811

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    09/06/2011 00:29:26
    mbam-log-2011-06-09 (00-29-26).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 241746
    Temps écoulé: 1 heure(s), 19 minute(s), 26 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 10

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\xhfmowvgsoobyf.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
    c:\documents and settings\lc z\application data\adobe\plugs\mmc16005093.txt (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
    c:\documents and settings\lc z\local settings\temporary internet files\content.ie5\7io703lg\windows-update-sp4-kb67952-setup[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
    c:\documents and settings\lc z\local settings\temporary internet files\content.ie5\dldyta55\windows-update-sp4-kb71629-setup[1].exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
    c:\documents and settings\lc z\local settings\temporary internet files\content.ie5\eme7bbf2\windows-update-sp3-kb62150-setup[1].exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{51c7ac77-acc6-4c39-bd94-2d3c16f0b1ae}\rp367\a0113296.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
    d:\downloads\guitar pro_5.2.0&add-ons\guitar pro_5.2.0\Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
    c:\documents and settings\lc z\application data\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
    c:\documents and settings\lc z\application data\Adobe\plugs\mmc125.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    c:\documents and settings\lc z\application data\Adobe\plugs\mmc24.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance MBAM et vide la quarantaine.
    Ensuite on va faire quand m^me un diagnostic du PC pour voir s'il n'y a pas d'autres infections:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou depuis ce lien si le premier a des soucis:
    http://www.moncompteur.com/compteurclick.php?idLink=18026

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  13. VonSirnen
     
    Bonjour Smart,

    J'ai lancé le programme comme tu me l'as conseillé. Voici le lien vers le rapport.
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijRrSe4By.txt

    Encore merci!
    0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Il reste encore des traces et une infection USB.

    Tu vas faire ceci:

    - Ferme toutes tes applications en cours
    - Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    O42 - Logiciel: Loaris Trojan Remover 1.2 - (.Loaris, Inc..) [HKLM] -- {29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1
    [HKCU\Software\Grand Virtual]
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    [HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]
    [HKCU\Software\Grand Virtual]
    C:\Documents and Settings\Loïc ZIRN\Application Data\Adobe\plugs
    C:\Documents and Settings\Loïc ZIRN\Application Data\Adobe\shed
    O4 - HKLM\..\Run: [NPSStartup] Clé orpheline
    [HKCU\Software\Loaris]
    O43 - CFD: 26/05/2011 - 23:39:42 - [27313022] ----D- C:\Program Files\Loaris
    O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rundll32.exe" [Enabled] Clé orpheline
    O51 - MPSK:{8ee80af4-4dee-11df-8dbb-00248c70a93e}\AutoRun\command - Clé orpheline
    O64 - Services: CurCS - (.not file.) - 1b987980 (1b987980) .(...) - LEGACY_1B987980
    O64 - Services: CurCS - (.not file.) - 29311698 (29311698) .(...) - LEGACY_29311698
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
    [HKLM\Software\Classes\toolband.easyhidebtn]
    [HKLM\Software\Classes\toolband.easyhidebtn.1]
    [HKLM\Software\Classes\toolband.skypeiehelper]
    [HKLM\Software\Classes\toolband.skypeiehelper.1]
    [HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}]
    [HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Tu redémarre le PC et tu fais ceci:

    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Cela fait deux rapports à poster

    Smart
    0
  15. VonSirnen
     
    Smart,

    voici le premier rapport ZHPFix

    Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-11-06-2011-16-06-35.txt
    Run by Loïc ZIRN at 11/06/2011 16:06:35
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Logiciel(s) ==========
    SUPPRIME O42 - Logiciel: Loaris Trojan Remover 1.2 - (.Loaris, Inc..) [HKLM] -- {29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1

    ========== Clé(s) du Registre ==========
    SUPPRIME HKCU\Software\Grand Virtual
    SUPPRIME HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}
    ABSENT HKCU\Software\Grand Virtual
    SUPPRIME HKCU\Software\Loaris
    SUPPRIME CLSID MPSK: {8ee80af4-4dee-11df-8dbb-00248c70a93e}
    SUPPRIME Service Legacy: LEGACY_1B987980
    SUPPRIME Service Legacy: LEGACY_29311698
    SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
    SUPPRIME HKLM\Software\Classes\toolband.easyhidebtn
    SUPPRIME HKLM\Software\Classes\toolband.easyhidebtn.1
    SUPPRIME HKLM\Software\Classes\toolband.skypeiehelper
    SUPPRIME HKLM\Software\Classes\toolband.skypeiehelper.1
    SUPPRIME HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}
    SUPPRIME HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}

    ========== Valeur(s) du Registre ==========
    SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
    ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
    SUPPRIME RunValue: NPSStartup
    SUPPRIME O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rundll32.exe" [Enabled] Clé orpheline

    ========== Dossier(s) ==========
    SUPPRIME c:\documents and settings\loïc zirn\application data\adobe\plugs
    SUPPRIME c:\documents and settings\loïc zirn\application data\adobe\shed
    SUPPRIME C:\Program Files\Loaris

    ========== Récapitulatif ==========
    14 : Clé(s) du Registre
    4 : Valeur(s) du Registre
    3 : Dossier(s)
    1 : Logiciel(s)

    End of the scan
    0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Et maintenat le rapport USBFix

    Smart
    0
  17. VonSirnen
     
    | UsbFix 7.048 | [Suppression]

    Utilisateur: Loïc ZIRN (Administrateur) # EEELZ [ ]
    Mis à jour le 11/06/2011 par TeamXscript
    Lancé à 16:14:46 | 11/06/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.

    CPU: Intel(R) Atom(TM) CPU N280 @ 1.66GHz
    CPU 2: Intel(R) Atom(TM) CPU N280 @ 1.66GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 7.0.5730.13

    Pare-feu Windows: Activé
    Antivirus: avast! Antivirus 5.0.83886757 [(!) Disabled | Updated]
    RAM -> 1015 Mo
    C:\ (%systemdrive%) -> Disque fixe # 82 Go (13 Go libre(s) - 16%) [] # NTFS
    D:\ -> Disque fixe # 62 Go (54 Go libre(s) - 86%) [] # NTFS
    E:\ -> Disque amovible # 249 Mo (249 Mo libre(s) - 100%) [] # FAT
    G:\ -> Disque fixe # 298 Go (45 Go libre(s) - 15%) [My Passport] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\DOCUME~1\LOCZIR~1\LOCALS~1\Temp\8BD54F3E-DD19-4a69-93D8-5C6A5BBBE20E.exe
    Supprimé! C:\Recycler\S-1-5-21-1610529188-2281505048-4078151428-1003
    Supprimé! C:\Recycler\S-1-5-21-4250164483-3570019246-3487078442-1006
    Supprimé! C:\Recycler\S-1-5-21-861567501-162531612-527237240-1003
    Supprimé! D:\Recycler\S-1-5-21-1610529188-2281505048-4078151428-1003
    Supprimé! D:\Recycler\S-1-5-21-4250164483-3570019246-3487078442-1006

    ################## | Registre |

    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDesktop

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{199c0a16-2aa5-11df-8d8b-002243851a2b}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1cd8e712-b485-11df-8e65-002243851a2b}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{75177b14-5ab3-11de-8c04-002243851a2b}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b0670f24-0ffb-11df-8d5d-002243851a2b}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b50a6ac3-73fa-11df-8df0-002243851a2b}

    ################## | Listing |

    [15/10/2009 - 19:56:00 | N | 847570] C:\00.bmp
    [31/03/2010 - 20:21:47 | D ] C:\AHCache
    [29/12/2010 - 02:43:55 | N | 2898] C:\aqua_bitmap.cpp
    [13/01/2010 - 17:22:29 | N | 0] C:\AUTOEXEC.BAT
    [16/06/2009 - 15:51:29 | N | 216] C:\boot.ini
    [14/04/2008 - 14:00:00 | N | 4952] C:\Bootfont.bin
    [13/01/2010 - 17:22:29 | N | 0] C:\CONFIG.SYS
    [09/01/2011 - 15:13:59 | D ] C:\Documents and Settings
    [13/01/2009 - 19:00:07 | D ] C:\Intel
    [13/01/2010 - 17:22:29 | N | 0] C:\IO.SYS
    [19/08/2009 - 07:52:52 | D ] C:\Mp3 Output
    [13/01/2010 - 17:22:29 | N | 0] C:\MSDOS.SYS
    [16/03/2010 - 10:21:48 | RD ] C:\MSOCache
    [29/12/2010 - 03:49:18 | N | 73] C:\NPS_LIMOBU.log
    [14/04/2008 - 14:00:00 | N | 47564] C:\NTDETECT.COM
    [14/04/2008 - 14:00:00 | N | 252240] C:\ntldr
    [11/06/2011 - 16:10:11 | ASH | 1598029824] C:\pagefile.sys
    [11/06/2011 - 14:30:40 | N | 512] C:\PhysicalDisk0_MBR.bin
    [11/06/2011 - 16:06:28 | D ] C:\Program Files
    [11/06/2011 - 16:17:14 | SHD ] C:\RECYCLER
    [13/01/2009 - 19:00:05 | N | 675] C:\RHDSetup.log
    [16/06/2009 - 15:51:35 | SHD ] C:\System Volume Information
    [01/06/2011 - 18:04:09 | N | 41830] C:\TDSSKiller.2.5.3.0_01.06.2011_18.03.04_log.txt
    [11/06/2011 - 16:17:14 | D ] C:\UsbFix
    [11/06/2011 - 16:18:10 | A | 1529] C:\UsbFix.txt
    [11/06/2011 - 16:13:51 | D ] C:\WINDOWS
    [15/10/2009 - 19:59:34 | D ] C:\WMP3E_PRO
    [11/06/2011 - 16:06:35 | N | 22536] C:\ZHPExportRegistry-11-06-2011-16-06-35.txt
    [31/03/2010 - 20:22:06 | D ] D:\0c34e963030aeb41f38128851a
    [31/03/2010 - 20:37:18 | D ] D:\17f6966201c50c6d95943b0e3be82350
    [21/05/2011 - 22:57:02 | D ] D:\Downloads
    [25/08/2008 - 13:12:10 | N | 0] D:\first.t_t
    [19/11/2010 - 19:59:52 | N | 374] D:\Raccourci vers Downloads.lnk
    [11/06/2011 - 16:17:14 | SHD ] D:\RECYCLER
    [11/06/2009 - 11:18:32 | SHD ] D:\System Volume Information
    [11/06/2011 - 16:12:37 | D ] D:\Téléchargements

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_EEELZ.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance ZHPDiag, clique sur la flèche verte pour faire la mise à jour, refais un sacn ZHPDiag et poste le rapport via cijoint.
    Ensuite on va passer à la phase finale. il nous reste à faire:
    - les mises à jour prioritaires
    - l'optimisation du PC
    - la désinstallation des outils de désinfection
    - les conseils de prévention quand on surfe sur Internet

    Smart
    0
  19. VonSirnen
     
    Bonjour Smart,
    Voici le dernier rapport ZHPDiag.
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijcdc04WE.txt

    Penses tu que je risque d'avoir des ennuis plus tard à cause de ces trojans? Si oui faut-il que je change mes mdp?

    Encore merci pour ton aide.
    0
  20. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu as attrapé ces infections sutout en installant des crack et KeyGen
    Pour les mots de passe, tu peux les changer si cela te rassure surout que tu avais ceci: Spyware.Passwords.XGen

    Fais les mises à jour suivantes:

    Mise à jour IE8
    https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
    Ou alors tu passes par windows update ==>
    http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

    Mise à jour Avast 5 vers Avast 6:
    Ouvre Avast Antivirus, va dans Maintenance puis dans Mise à jour et clique sur Mise à jour du programme

    Mise à jour Java 6 update 26 ==> https://www.java.com/fr/download/
    Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
    Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 26

    Mise à jour Adobe Reader 10.0.1
    Désinstalle Adobe
    Installer Adobe 10.0.1
    Décoche la case "Inclure dans botre téléchargement la barre Google"

    Mise à jour flashplayer vers la version 10.3.185.22
    * Ferme tous tes navigateurs
    * A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
    * Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
    et lis ceci: Pourquoi tenir ses programmes a jour

    Optimisation:

    - Ferme toutes tes applications en cours
    - Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe
    OPT:O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\WINDOWS\ALCMTR.exe
    OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
    OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-21-4250164483-3570019246-3487078442-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    [HKLM\Software\BrowserChoice]
    OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    CTFDisabled

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    1. Désinstallation des outils

    - Télécharge DelFix (d'Xplode) sur ton bureau.
    - Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
    - Sélectionne Suppression
    - Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

    Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
    Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

    2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
    Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
    - Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    - Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    - Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

    3. Désactiver la restauration système et céer un point de restauration
    Dans la barre des tâches de Windows, clique sur Démarrer.
    Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
    Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
    Clique sur Appliquer.
    Ensuite décoche "Désactiver la restauration du systeme"
    Clique sur appliquer puis ok
    Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

    Quelques conseils de Prévention

    - Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

    Installe l'extension de sécurité adblock plus pour bloquer les publicités
    ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

    WOT - Extension pour ton navigateur internet :
    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
    Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
    Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

    Ci-dessous un tutoriel pour t'aider à installer WOT:
    ==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

    - Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

    - Les logiciels gratuits à éviter

    - Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
    Prévention et Protection

    Sois plus vigilant(e) sur Internet à l'avenir

    Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  21. VonSirnen
     
    Bonjour Smart, voici les derniers rapports ZHPFix et DELFix.
    J'ai suivi tous tes conseils et j'ai créé le point de restauration. Je vais lire attentivement les pages sur le peer to peer, mais que penses des sites envoyant vers des megaupload-like? Est-ce plus safe?

    En tous cas mille mercis pour ton aide, j'aurais été un peu déçu de devoir tout formater...

    Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-13-06-2011-01-49-21.txt
    Run by Loïc ZIRN at 13/06/2011 01:49:21
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    SUPPRIME HKLM\Software\BrowserChoice
    SUPPRIME StartupReg: Adobe Reader Speed Launcher

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: SunJavaUpdateSched
    SUPPRIME RunValue: RTHDCPL
    SUPPRIME RunValue: Alcmtr
    SUPPRIME RunValue: Adobe Reader Speed Launcher
    SUPPRIME RunValue: QuickTime Task
    SUPPRIME RunValue: CTFMON.EXE
    ABSENT RunValue: CTFMON.EXE

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME CTFDisabled

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    7 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre

    End of the scan

    et delfix :

    # DelFix v8.0 - Rapport créé le 13/06/2011 à 15:48
    # Mis à jour le 01/06/11 à 13h par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    # Nom d'utilisateur : Loïc ZIRN - EEELZ (Administrateur)
    # Exécuté depuis : D:\Téléchargements\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\USBFix
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\TDSSKiller.2.5.3.0_01.06.2011_18.03.04_log.txt
    Supprimé : C:\UsbFix.txt
    Supprimé : C:\UsbFix_Upload_Me_EEELZ.zip
    Supprimé : C:\ZHPExportRegistry-11-06-2011-16-06-35.txt
    Supprimé : C:\ZHPExportRegistry-13-06-2011-01-49-21.txt
    Supprimé : C:\Documents and Settings\Loïc ZIRN\Bureau\UsbFix.exe
    Supprimé : C:\Documents and Settings\Loïc ZIRN\Bureau\UsbFix.txt
    Supprimé : C:\Documents and Settings\Loïc ZIRN\Bureau\ZHPDiag.txt
    Supprimé : C:\Documents and Settings\Loïc ZIRN\Bureau\ZHPFixReport.txt
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\USBFix
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autre ~~~~~~

    -> BitDefender Online Scanner ... Désinstallé avec succès
    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [1651 octets] ##########
    0
  • 1
  • 2