MBR\\.\PhysicalDrive0 ... besoin d'aide !
net01
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour !
Voilà mon problème : Il a quelques jours mon PC ne voulait plus démarrer : il m'envoyait directement vers une réparation du démarrage (qui ne fonctionnait pas) dès que je l'allumais. J'ai tout essayé mais ce n'était pas récupérable, j'ai donc procédé à une restauration complète de mon ordinateur. Normalement neuf, vous imaginez mon incompréhension face à la première analyse de mon nouveau logiciel avast lorsqu'il prétend avoir trouvé sur mon ordinateur un rootkit MBR:\\\PHYSICALDRIVE0.
Voici la fin du rapport de MBRcheck (si ça peut intéresser) :
J'ai laissé de côté tout le blabla qu'il y avait au milieu, si vous en avez besoin, dites le moi ! Je précise juste que je ne suis pas un as en informatique, disons que je sais juste me débrouiller en suivant les démarches précises qu'on m'indique :)
Je remercie d'avance celui ou celle qui pourra m'aider !
Voilà mon problème : Il a quelques jours mon PC ne voulait plus démarrer : il m'envoyait directement vers une réparation du démarrage (qui ne fonctionnait pas) dès que je l'allumais. J'ai tout essayé mais ce n'était pas récupérable, j'ai donc procédé à une restauration complète de mon ordinateur. Normalement neuf, vous imaginez mon incompréhension face à la première analyse de mon nouveau logiciel avast lorsqu'il prétend avoir trouvé sur mon ordinateur un rootkit MBR:\\\PHYSICALDRIVE0.
Voici la fin du rapport de MBRcheck (si ça peut intéresser) :
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002'f7e00000 (NTFS)
PhysicalDrive0 Model Number: ST9320325AS, Rev: 0004SDM2
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 43D883454798828D348BD54C7A5CBDE0A9733364
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
J'ai laissé de côté tout le blabla qu'il y avait au milieu, si vous en avez besoin, dites le moi ! Je précise juste que je ne suis pas un as en informatique, disons que je sais juste me débrouiller en suivant les démarches précises qu'on m'indique :)
Je remercie d'avance celui ou celle qui pourra m'aider !
A voir également:
- MBR\\.\PhysicalDrive0 ... besoin d'aide !
- Convertir gpt en mbr ✓ - Forum Debian
- Convertir mbr en gpt ✓ - Forum BIOS
- Reconstruire mbr clé usb ✓ - Forum Windows
- Initialiser disque dur mbr ou gpt - Forum Disque dur / SSD
- Jonglerie mbr -gpt - mbr ✓ - Forum Linux / Unix
21 réponses
Hello
▶ Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau
▶ Lance le et clique sur : télécharger la dernière version
▶ Relance le et cliquer sur : lancer le nettoyage
▶ Clique sur Start Scan Clique ici pour l'aide en image
▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip
▶ A la fin clique sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s''ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)
▶ Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau
▶ Lance le et clique sur : télécharger la dernière version
▶ Relance le et cliquer sur : lancer le nettoyage
▶ Clique sur Start Scan Clique ici pour l'aide en image
▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip
▶ A la fin clique sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s''ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)
Merci pour ton aide !
J'ai fais tout comme tu m'as indiqué jusqu'à Start Scan, mais ensuite je n'ai aucun des quatre messages... Ils m'indiquent : "Infection : Not found"
Et donc il n'y a aucun "Reboot Now" sur lequel cliquer :/
J'ai fais tout comme tu m'as indiqué jusqu'à Start Scan, mais ensuite je n'ai aucun des quatre messages... Ils m'indiquent : "Infection : Not found"
Et donc il n'y a aucun "Reboot Now" sur lequel cliquer :/
Re,
Donc tu n'es pas infecté par tdl
Relance MBRCheck
▶ ▶ S''il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
▶ ▶ S''il te demande de taper sur la touche "entrée" seulement, fais le
▶ ▶ S''il te demande 1, 2 ou 3, Appuie sur 2
▶ Un rapport s''ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt
Donc tu n'es pas infecté par tdl
Relance MBRCheck
▶ ▶ S''il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
▶ ▶ S''il te demande de taper sur la touche "entrée" seulement, fais le
▶ ▶ S''il te demande 1, 2 ou 3, Appuie sur 2
▶ Un rapport s''ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt
Il me demande de taper "Y or N" donc j'ai tapé Y, puis de taper 1, 2 ou 3 donc j'ai tapé 2 et il me dit :
Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes: [ 0] Default (Windows 7) [ 1] Windows XP [ 2] Windows Server 2003 [ 3] Windows Vista [ 4] Windows 2008 [ 5] Windows 7 [-1] Cancel Please select the MBR code to write to this drive:
edit : j'imagine que c'est 5 (je suis sous windows 7) donc je fais
Please select the MBR code to write to this drive: 5 Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES Successfully wrote new MBR code! Please reboot your computer to complete the fix. Done!
Un rapport a été enrengistré sur mon bureau mais impossible de l'ouvrir
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
suite :
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
mouais ^^
tu viens de réinstaller ton windows, pense à installer le sp1 de windows 7.
de plus, ta console java n'est pas à jour (on y reviendra)
-> avast t'indique-t-il encore un rootkit mbr ?
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre .
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)
▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport
tu viens de réinstaller ton windows, pense à installer le sp1 de windows 7.
de plus, ta console java n'est pas à jour (on y reviendra)
-> avast t'indique-t-il encore un rootkit mbr ?
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\Software\Classes\kt_bho.kettlebho]
[HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho]
[HKLM\Software\Classes\kt_bho.kettlebho.1]
[HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]
[HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]
EMPTYTEMP
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre .
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)
▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport
Avast m'indique en effet toujours le rootkit mbr\\.\PhysicalDrive0 ainsi que deux autres menaces qui n'étaient pas là hier : Win64 qui se trouve à C:\\windows\memory.dmp ainsi que Alureon-G@mbr [rtk] qui se trouve ici : C:\\...\MBRcheck_MBR_Backup_06-16....bak ...
Voici le premier rapport :
J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo...
Voici le premier rapport :
Rapport de ZHPFix 1.12.3316 par Nicolas Coolman, Update du 16/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-17-06-2011-15-22-51.txt
Run by Brune at 17/06/2011 15:22:51
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\kt_bho.kettlebho
ABSENT Key: HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho
SUPPRIME Key: HKLM\Software\Classes\kt_bho.kettlebho.1
ABSENT Key: HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}
========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 89
========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 45
========== Récapitulatif ==========
10 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt
End of the scan
J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo...
Concernant les menaces détectées par Avast, l'une se trouve dans le backup créé par MBRCheck (un rootkit tdss.tdl4) -> mon impression de départ quand je t'ai fais passer Reload_TDSSKiller (qui n'a rien trouvé? ..)
-> je pense que le 64 bits (ou la sandbox avast) empêche les outils de travailler correctement !
======================
J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo... => tu es sur d'avoir lancé ZHPDiag ? car la loupe se trouve à l'extrême gauche de l'outil
======================
On va tenter autre chose, ce que suggérais g3n-h@ckm@n au début.
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
-> je pense que le 64 bits (ou la sandbox avast) empêche les outils de travailler correctement !
======================
J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo... => tu es sur d'avoir lancé ZHPDiag ? car la loupe se trouve à l'extrême gauche de l'outil
======================
On va tenter autre chose, ce que suggérais g3n-h@ckm@n au début.
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
ComboFix 11-06-16.02 - Brune 17/06/2011 18:37:19.1.2 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.4063.2790 [GMT 2:00]
Lancé depuis: c:\users\Brune\Desktop\net01.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
AV: McAfee VirusScan *Disabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637}
FW: McAfee Personal Firewall *Enabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: McAfee VirusScan *Disabled/Updated* {3D54B793-665E-3129-9103-206115370C8A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\tdsskiller\TDSSKiller.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-17 au 2011-06-17 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-17 16:42 . 2011-06-17 16:42 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-06-17 09:18 . 2011-05-24 17:12 8718160 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{2C0557EA-383A-42C1-BD59-B1743213E88E}\mpengine.dll
2011-06-17 02:33 . 2011-06-17 02:33 -------- d-----w- c:\program files (x86)\MSXML 4.0
2011-06-16 21:20 . 2011-06-17 13:21 -------- d-----w- c:\program files (x86)\ZHPDiag
2011-06-16 19:54 . 2011-06-17 16:41 -------- d-----w- C:\TDSSKiller
2011-06-16 14:42 . 2011-05-10 12:04 287576 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-06-16 14:42 . 2011-05-10 11:59 22360 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-06-16 14:42 . 2011-05-10 11:59 31064 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-06-16 14:42 . 2011-05-10 12:02 53592 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-06-16 14:42 . 2011-05-10 12:04 600920 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-06-16 14:42 . 2011-05-10 12:10 253888 ----a-w- c:\windows\system32\aswBoot.exe
2011-06-16 14:42 . 2011-05-10 11:59 64344 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-06-16 14:41 . 2011-05-10 12:10 40112 ----a-w- c:\windows\avastSS.scr
2011-06-16 14:41 . 2011-05-10 12:10 199304 ----a-w- c:\windows\SysWow64\aswBoot.exe
2011-06-16 14:40 . 2011-06-16 14:40 -------- d-----w- c:\programdata\AVAST Software
2011-06-16 14:40 . 2011-06-16 14:40 -------- d-----w- c:\program files\AVAST Software
2011-06-16 13:59 . 2011-05-24 17:14 270720 ------w- c:\windows\system32\MpSigStub.exe
2011-06-15 01:10 . 2011-06-15 01:10 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2011-06-13 22:36 . 2011-06-16 11:59 -------- d-----w- c:\program files\Sony
2011-06-13 22:34 . 2011-06-16 11:59 -------- d-----w- c:\program files (x86)\Download Express
2011-06-13 22:18 . 2011-06-13 22:18 -------- d--h--w- c:\windows\msdownld.tmp
2011-06-13 22:09 . 2011-06-13 22:09 -------- d-----w- C:\_FS_SWRINFO
2011-06-13 22:09 . 2011-06-13 22:09 -------- d-----w- C:\Documentation
2011-06-13 22:08 . 2011-06-13 22:08 -------- d-----w- c:\program files (x86)\Microsoft
2011-06-13 22:08 . 2011-06-13 22:08 -------- d-----w- c:\program files (x86)\Windows Live SkyDrive
2011-06-13 22:08 . 2011-06-13 22:08 -------- d-----w- c:\program files (x86)\Windows Live
2011-06-13 22:07 . 2011-06-13 22:07 -------- d-----w- c:\program files (x86)\Common Files\Windows Live
2011-06-13 22:07 . 2011-06-13 22:07 -------- d-----w- c:\program files (x86)\Sony Corporation
2011-06-13 21:59 . 2007-07-19 16:14 3727720 ----a-w- c:\windows\SysWow64\d3dx9_35.dll
2011-06-13 21:58 . 2009-07-01 09:49 98304 ----a-w- c:\windows\SysWow64\VESWinlogon.dll
2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\program files (x86)\Common Files\Skype
2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----r- c:\program files (x86)\Skype
2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\programdata\Skype
2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\program files\Roxio
2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\programdata\Uninstall
2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\programdata\Sonic
2011-06-13 21:55 . 2011-06-13 21:55 -------- d-----w- c:\program files (x86)\Roxio
2011-06-13 21:55 . 2011-06-13 21:56 -------- d-----w- c:\program files (x86)\Common Files\Roxio Shared
2011-06-13 21:55 . 2009-05-15 10:00 10224 ------w- c:\windows\system32\drivers\cdralw2k.sys
2011-06-13 21:55 . 2009-05-15 10:00 10224 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2011-06-13 21:55 . 2009-05-11 18:42 133616 ------w- c:\windows\SysWow64\pxafs.dll
2011-06-13 21:55 . 2011-06-16 11:59 -------- d-----w- c:\programdata\Symantec
2011-06-13 21:55 . 2011-06-13 21:55 -------- d-----w- c:\program files (x86)\Symantec
2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files (x86)\MusicStation
2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\programdata\MusicStation
2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files\Microsoft Synchronization Services
2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files (x86)\Microsoft Synchronization Services
2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files (x86)\Microsoft SQL Server Compact Edition
2011-06-13 21:53 . 2011-06-13 21:53 -------- d-----w- c:\program files (x86)\Microsoft Office Suite Activation Assistant
2011-06-13 21:51 . 2011-06-17 03:13 -------- d-----w- c:\program files (x86)\Microsoft Works
2011-06-13 21:51 . 2011-06-13 21:51 -------- d-----w- c:\windows\PCHEALTH
2011-06-13 21:49 . 2011-06-17 03:13 -------- d-----w- c:\programdata\Microsoft Help
2011-06-13 21:49 . 2011-06-13 21:49 -------- d-----r- C:\MSOCache
2011-06-13 21:48 . 2009-03-09 13:27 5425496 ----a-w- c:\windows\system32\D3DX9_41.dll
2011-06-13 21:48 . 2009-03-09 13:27 520544 ----a-w- c:\windows\system32\d3dx10_41.dll
2011-06-13 21:48 . 2009-03-09 13:27 453456 ----a-w- c:\windows\SysWow64\d3dx10_41.dll
2011-06-13 21:48 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\SysWow64\D3DX9_41.dll
2011-06-13 21:48 . 2009-03-09 13:27 2430312 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2011-06-13 21:48 . 2009-03-09 13:27 1846632 ----a-w- c:\windows\SysWow64\D3DCompiler_41.dll
2011-06-13 21:47 . 2011-06-13 21:47 -------- d-----w- c:\programdata\SiteAdvisor
2011-06-13 21:45 . 2009-05-13 21:18 40904 ----a-w- c:\windows\system32\drivers\mferkdk.sys
2011-06-13 21:45 . 2009-05-13 21:25 49480 ----a-w- c:\windows\system32\drivers\mfesmfk.sys
2011-06-13 21:45 . 2009-05-13 21:25 307400 ----a-w- c:\windows\system32\drivers\mfehidk.sys
2011-06-13 21:45 . 2009-05-13 21:25 102600 ----a-w- c:\windows\system32\drivers\mfeavfk.sys
2011-06-13 21:45 . 2009-04-09 12:23 176144 ----a-w- c:\windows\system32\drivers\Mpfp.sys
2011-06-13 21:45 . 2011-06-16 11:59 -------- d-----w- c:\program files (x86)\Common Files\McAfee
2011-06-13 21:45 . 2011-06-16 11:57 -------- d-----w- c:\program files\McAfee
2011-06-13 21:45 . 2011-06-16 11:59 -------- d-----w- c:\program files\Common Files\McAfee
2011-06-13 21:45 . 2011-06-16 11:59 -------- d-----w- c:\program files (x86)\McAfee
2011-06-13 21:45 . 2011-06-16 11:11 -------- d-----w- c:\programdata\McAfee
2011-06-13 21:43 . 2011-06-13 21:43 -------- d-----w- C:\SPLASH.SYS
2011-06-13 21:43 . 2011-06-13 21:43 -------- d-----w- c:\program files (x86)\Downloaded Installations
2011-06-13 21:41 . 2011-06-13 21:56 -------- d-----w- c:\program files (x86)\Common Files\PX Storage Engine
2011-06-13 21:41 . 2011-06-13 21:55 -------- d-----w- c:\program files (x86)\Common Files\Sonic Shared
2011-06-13 21:41 . 2009-05-20 10:00 55280 ------w- c:\windows\system32\drivers\PxHlpa64.sys
2011-06-13 21:40 . 2011-06-13 21:40 -------- d-----w- c:\program files (x86)\Common Files\Adobe
2011-06-13 21:40 . 2011-06-13 21:40 -------- d-----w- c:\windows\Sonysys
2011-06-13 21:40 . 2011-06-13 22:06 -------- d-----w- c:\program files (x86)\Sony
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2011-06-13 21:44 433648 ----a-w- c:\programdata\Partner\Partner.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files (x86)\Java\jre6\bin\jusched.exe" [2009-08-20 148888]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ISBMgr.exe"="c:\program files (x86)\Sony\ISB Utility\ISBMgr.exe" [2009-05-26 317288]
"McENUI"="c:\progra~2\McAfee\MHN\McENUI.exe" [2009-04-09 1176808]
"NortonOnlineBackupReminder"="c:\program files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-06-17 538472]
"MarketingTools"="c:\program files (x86)\Sony\Marketing Tools\MarketingTools.exe" [2011-06-13 26624]
"mcagent_exe"="c:\program files (x86)\McAfee.com\Agent\mcagent.exe" [2009-05-01 645328]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 1079584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-07-01 09:49 98304 ----a-w- c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
R2 0251911308327795mcinstcleanup;McAfee Application Installer Cleanup (0251911308327795);c:\windows\TEMP\025191~1.EXE [x]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 136176]
R2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe [2009-06-26 362992]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
R3 Partner Service;Partner Service;c:\programdata\Partner\Partner.exe [2011-06-13 332272]
R3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2009-06-26 313840]
R3 SOHCImp;VAIO Media plus Content Importer;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-07-27 120104]
R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-07-27 70952]
R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-07-27 427304]
R3 SOHDs;VAIO Media plus Device Searcher;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-07-27 75048]
R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-07-27 91432]
R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-06-26 468264]
R3 VcmINSMgr;VAIO Content Metadata Intelligent Network Service Manager;c:\program files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe [2009-06-26 357672]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe [2009-06-17 110888]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files (x86)\McAfee\SiteAdvisor\McSACore.exe [2009-01-23 203280]
S2 rimspci;rimspci;c:\windows\system32\DRIVERS\rimssne64.sys [x]
S2 risdsnpe;risdsnpe;c:\windows\system32\DRIVERS\risdsne64.sys [x]
S2 uCamMonitor;CamMonitor;c:\program files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2009-07-16 411496]
S2 VCFw;VAIO Content Folder Watcher;c:\program files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-07-22 642920]
S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [2009-08-12 522240]
S2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe [2009-07-14 27136]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [x]
S3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 14:42]
.
2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 14:42]
.
2011-06-13 c:\windows\Tasks\McDefragTask.job
- c:\progra~2\mcafee\mqc\QcConsol.exe [2011-06-13 06:57]
.
2011-06-13 c:\windows\Tasks\McQcTask.job
- c:\progra~2\mcafee\mqc\QcConsol.exe [2011-06-13 06:57]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2011-06-13 21:44 750064 ----a-w- c:\programdata\Partner\Partner64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 134384 ----a-w- c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-24 7938080]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-07-24 1833504]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-27 16335392]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-20 171520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SVEA&bmod=EU01
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
FF - ProfilePath - c:\users\Brune\AppData\Roaming\Mozilla\Firefox\Profiles\m859jnr6.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10a.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10a.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
@Denied: (A 2) (Everyone)
@="IFlashBroker2"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-06-17 18:45:05
ComboFix-quarantined-files.txt 2011-06-17 16:45
.
Avant-CF: 266 017 980 416 octets libres
Après-CF: 266 053 775 360 octets libres
.
- - End Of File - - A6730A7D830A8AED1646290A2D5EA031
Hello :)
Me revoilà ;)
Merci Gen-Hackman !
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
Me revoilà ;)
Merci Gen-Hackman !
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll::
SecCenter::
{3D54B793-665E-3129-9103-206115370C8A}
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
File::
c:\windows\TEMP\025191~1.EXE
Driver::
0251911308327795mcinstcleanup
yksvc
RegLockDel::
[HKEY_LOCAL_MACHINE\software\McAfee]
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
Voilà pour le rapport : http://www.cijoint.fr/cjlink.php?file=cj201106/cijm0Q0m5D.txt
Et Avast détecte toujours le rootkit
Et Avast détecte toujours le rootkit
Juste : un document texte est apparu sur mon bureau du nom de "catchme" et dedans il y a écrit :
Rien d'anormal ?
File "C:\net0126120n\MT_userinit.exe.tmp" added successfully driver loading error
Rien d'anormal ?
J'ai eu en deux jours encore deux problèmes au démarrage (il lance directement une réparation du démarrage qui prend environ un quart d'heure puis redémarre normalement) et avast m'informe au moins toutes les heures de la présence d'une menace (toujours le rootkit physicaldrive0). J'ai ré-essayé plusieurs fois de le supprimer via avast mais il n'y parvient pas.
Sinon, pas d'autres problèmes à signaler !
Sinon, pas d'autres problèmes à signaler !
