Win32.seftbov et rootkit zero
Sam31
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour à tous.
Je vous expose mon problème,hier mon antivirus(microsoft essential) a détecté win32.seftbov,je l'ai supprimé puis j'ai lancer une analyse malwarebit et il a repérer deux rootkitzero.acess,après plusieur rédemarrage car les mêmes virus revenait,enfin plus rien.
Mais j'avais quand même quand à la persistance de ces virus,j'ai lancé Gmer pour analyser et bam mon ordi écran bleu et redémarrage.....,de plus mon malwarebit ne cesse de stopper des attaques de rootkit... donc la je sais plus trop quoi faire....
Desolé si j'ai fait un peu long,merci d'avance.........
<config>Windows Vista 1 / Firefox 9.o
Je vous expose mon problème,hier mon antivirus(microsoft essential) a détecté win32.seftbov,je l'ai supprimé puis j'ai lancer une analyse malwarebit et il a repérer deux rootkitzero.acess,après plusieur rédemarrage car les mêmes virus revenait,enfin plus rien.
Mais j'avais quand même quand à la persistance de ces virus,j'ai lancé Gmer pour analyser et bam mon ordi écran bleu et redémarrage.....,de plus mon malwarebit ne cesse de stopper des attaques de rootkit... donc la je sais plus trop quoi faire....
Desolé si j'ai fait un peu long,merci d'avance.........
<config>Windows Vista 1 / Firefox 9.o
A voir également:
- Win32.seftbov et rootkit zero
- Remettre a zero un pc - Guide
- Comment remettre un iphone à zéro - Guide
- Remettre chromecast a zero - Guide
- Remettre un pc a zero sans mot de passe - Guide
- Comment mettre un zero devant un chiffre sur excel - Guide
15 réponses
slt
colles nous le rapport de malwarebyte
puis
sauvegarde tes données
télécharge ceci: http://vil.nai.com/images/562354_2.zip
et colle un rapport avec
puis passe ceci: http://anywhere.webrootcloudav.com/antizeroaccess.exe
et colle un rapport avec
puis mets un rapport avec malwarebyte tout neuf
colles nous le rapport de malwarebyte
puis
sauvegarde tes données
télécharge ceci: http://vil.nai.com/images/562354_2.zip
et colle un rapport avec
puis passe ceci: http://anywhere.webrootcloudav.com/antizeroaccess.exe
et colle un rapport avec
puis mets un rapport avec malwarebyte tout neuf
Pour repérer l'infection:
*Téléchargez aswMBR.exe ici http://public.avast.com/~gmerek/aswMBR.exe sur votre bureau.
*Double cliquez sur le aswMBR.exe pour l'exécuter
*Cliquez sur le bouton «Scan» pour commencer le balayage
*Cliquez sur Save log pour sauvegarder le rapport
*Enregistrez le aswASW.log sur le bureau
*Postez le rapport sur le forum si vous vous faîtes aider.
Pour supprimer l'infection:
*Relancer aswMBR.exe pour l'exécuter
*Cliquez sur le bouton «Scan» pour commencer le balayage
*Cliquez sur "Fix"
*Enregistrez le aswASW.log sur le bureau
*Postez le rapport sur le forum.
puis
colle un rapport avec tdsskiller
*Téléchargez TDSSKiller sur votre bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
*Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Cochez les et cliquez sur "Delete/Repair Selected".
*Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").
Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350
*Téléchargez aswMBR.exe ici http://public.avast.com/~gmerek/aswMBR.exe sur votre bureau.
*Double cliquez sur le aswMBR.exe pour l'exécuter
*Cliquez sur le bouton «Scan» pour commencer le balayage
*Cliquez sur Save log pour sauvegarder le rapport
*Enregistrez le aswASW.log sur le bureau
*Postez le rapport sur le forum si vous vous faîtes aider.
Pour supprimer l'infection:
*Relancer aswMBR.exe pour l'exécuter
*Cliquez sur le bouton «Scan» pour commencer le balayage
*Cliquez sur "Fix"
*Enregistrez le aswASW.log sur le bureau
*Postez le rapport sur le forum.
puis
colle un rapport avec tdsskiller
*Téléchargez TDSSKiller sur votre bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
*Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Cochez les et cliquez sur "Delete/Repair Selected".
*Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").
Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350
Bonjour jlpjlp,merci de ton aide
Voila le rapport malwarebit de ce matin
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.15.04
Windows Vista Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.19088
rachida belmaziz :: PC-DE-RACHIDA [administrateur]
Protection: Désactivé
16/02/2012 08:23:10
mbam-log-2012-02-16 (08-23-10).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 185109
Temps écoulé: 9 minute(s), 59 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Windows\System32\3compxe.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\irenum.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\MXOPSWD.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
(fin)
Voila le rapport malwarebit de ce matin
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.15.04
Windows Vista Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.19088
rachida belmaziz :: PC-DE-RACHIDA [administrateur]
Protection: Désactivé
16/02/2012 08:23:10
mbam-log-2012-02-16 (08-23-10).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 185109
Temps écoulé: 9 minute(s), 59 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Windows\System32\3compxe.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\irenum.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\MXOPSWD.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
(fin)
Re,j'ai lancé rootkitremover,il a reperé un rootkit zero access,je j'ai supprimé et j'ai redémarré la machine,mais je ne sais pas ou est le rapport,et pour le second logiciel,je n'ai pas réussi à le faire fonctionner même en l'exécutant en tant qu'administrateur.J'ai lancé de nouveau Malwarebit comme convenue,je vous poste le rapport des que possible.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila le nouveau rapport malware
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.16.01
Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
rachida belmaziz :: PC-DE-RACHIDA [administrateur]
Protection: Activé
16/02/2012 10:00:50
mbam-log-2012-02-16 (10-00-50).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 187533
Temps écoulé: 17 minute(s), 24 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Windows\System32\s125mdfl.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\eaps2kbd.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.16.01
Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
rachida belmaziz :: PC-DE-RACHIDA [administrateur]
Protection: Activé
16/02/2012 10:00:50
mbam-log-2012-02-16 (10-00-50).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 187533
Temps écoulé: 17 minute(s), 24 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Windows\System32\s125mdfl.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\eaps2kbd.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
(fin)
Voila le rapport asw
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 10:39:24
-----------------------------
10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
10:39:24.715 Number of processors: 2 586 0xF02
10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
10:39:26.690 Initialize success
10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
10:39:45.500 Disk 0 MBR read successfully
10:39:45.503 Disk 0 MBR scan
10:39:45.506 Disk 0 Windows VISTA default MBR code
10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
10:39:45.538 Disk 0 scanning sectors +234439600
10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
10:39:57.563 Service scanning
10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
10:40:00.026 Modules scanning
10:40:10.012 Disk 0 trace - called modules:
10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
10:40:10.067 Scan finished successfully
10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 10:39:24
-----------------------------
10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
10:39:24.715 Number of processors: 2 586 0xF02
10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
10:39:26.690 Initialize success
10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
10:39:45.500 Disk 0 MBR read successfully
10:39:45.503 Disk 0 MBR scan
10:39:45.506 Disk 0 Windows VISTA default MBR code
10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
10:39:45.538 Disk 0 scanning sectors +234439600
10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
10:39:57.563 Service scanning
10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
10:40:00.026 Modules scanning
10:40:10.012 Disk 0 trace - called modules:
10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
10:40:10.067 Scan finished successfully
10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
Voila le rapport tdsrkiller,il n'a rien detecté tandis que aswmbr si,puis je faire fix mbr avec aswrmbr?
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 10:39:24
-----------------------------
10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
10:39:24.715 Number of processors: 2 586 0xF02
10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
10:39:26.690 Initialize success
10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
10:39:45.500 Disk 0 MBR read successfully
10:39:45.503 Disk 0 MBR scan
10:39:45.506 Disk 0 Windows VISTA default MBR code
10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
10:39:45.538 Disk 0 scanning sectors +234439600
10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
10:39:57.563 Service scanning
10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
10:40:00.026 Modules scanning
10:40:10.012 Disk 0 trace - called modules:
10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
10:40:10.067 Scan finished successfully
10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 10:39:24
-----------------------------
10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
10:39:24.715 Number of processors: 2 586 0xF02
10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
10:39:26.690 Initialize success
10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
10:39:45.500 Disk 0 MBR read successfully
10:39:45.503 Disk 0 MBR scan
10:39:45.506 Disk 0 Windows VISTA default MBR code
10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
10:39:45.538 Disk 0 scanning sectors +234439600
10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
10:39:57.563 Service scanning
10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
10:40:00.026 Modules scanning
10:40:10.012 Disk 0 trace - called modules:
10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
10:40:10.067 Scan finished successfully
10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
*Relancer aswMBR.exe pour l'exécuter
*Cliquez sur le bouton «Scan» pour commencer le balayage
*Cliquez sur "Fix"
*Enregistrez le aswASW.log sur le bureau
*Postez le rapport sur le forum.
puis remets un rapport avec malwarebyte
*Cliquez sur le bouton «Scan» pour commencer le balayage
*Cliquez sur "Fix"
*Enregistrez le aswASW.log sur le bureau
*Postez le rapport sur le forum.
puis remets un rapport avec malwarebyte
Voila le nouveau rapport apres avoir "fix"encore merci jlpjlp
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 10:39:24
-----------------------------
10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
10:39:24.715 Number of processors: 2 586 0xF02
10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
10:39:26.690 Initialize success
10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
10:39:45.500 Disk 0 MBR read successfully
10:39:45.503 Disk 0 MBR scan
10:39:45.506 Disk 0 Windows VISTA default MBR code
10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
10:39:45.538 Disk 0 scanning sectors +234439600
10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
10:39:57.563 Service scanning
10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
10:40:00.026 Modules scanning
10:40:10.012 Disk 0 trace - called modules:
10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
10:40:10.067 Scan finished successfully
10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 10:39:24
-----------------------------
10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
10:39:24.715 Number of processors: 2 586 0xF02
10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
10:39:26.690 Initialize success
10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
10:39:45.500 Disk 0 MBR read successfully
10:39:45.503 Disk 0 MBR scan
10:39:45.506 Disk 0 Windows VISTA default MBR code
10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
10:39:45.538 Disk 0 scanning sectors +234439600
10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
10:39:57.563 Service scanning
10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
10:40:00.026 Modules scanning
10:40:10.012 Disk 0 trace - called modules:
10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
10:40:10.067 Scan finished successfully
10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
11:03:08.515 Verifying
11:03:18.533 Disk 0 Windows 600 MBR fixed successfully
11:03:28.691 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
11:03:48.926 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
11:03:48.934 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 10:39:24
-----------------------------
10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
10:39:24.715 Number of processors: 2 586 0xF02
10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
10:39:26.690 Initialize success
10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
10:39:45.500 Disk 0 MBR read successfully
10:39:45.503 Disk 0 MBR scan
10:39:45.506 Disk 0 Windows VISTA default MBR code
10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
10:39:45.538 Disk 0 scanning sectors +234439600
10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
10:39:57.563 Service scanning
10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
10:40:00.026 Modules scanning
10:40:10.012 Disk 0 trace - called modules:
10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
10:40:10.067 Scan finished successfully
10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 10:39:24
-----------------------------
10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
10:39:24.715 Number of processors: 2 586 0xF02
10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
10:39:26.690 Initialize success
10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
10:39:45.500 Disk 0 MBR read successfully
10:39:45.503 Disk 0 MBR scan
10:39:45.506 Disk 0 Windows VISTA default MBR code
10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
10:39:45.538 Disk 0 scanning sectors +234439600
10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
10:39:57.563 Service scanning
10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
10:40:00.026 Modules scanning
10:40:10.012 Disk 0 trace - called modules:
10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
10:40:10.067 Scan finished successfully
10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
11:03:08.515 Verifying
11:03:18.533 Disk 0 Windows 600 MBR fixed successfully
11:03:28.691 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
11:03:48.926 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
11:03:48.934 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
Voila le nouveau rapport malwarebit,rien à signaler.
alwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.16.01
Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
rachida belmaziz :: PC-DE-RACHIDA [administrateur]
Protection: Activé
16/02/2012 11:05:35
mbam-log-2012-02-16 (11-05-35).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 187583
Temps écoulé: 14 minute(s), 39 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
alwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.16.01
Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
rachida belmaziz :: PC-DE-RACHIDA [administrateur]
Protection: Activé
16/02/2012 11:05:35
mbam-log-2012-02-16 (11-05-35).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 187583
Temps écoulé: 14 minute(s), 39 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Rien a signaler pour microsoft security essential,merci merci beaucoup de votre aide jlpjlp,cette ordinateur est l'outil de travail de ma mère et il était dépourvu d'antivirus avant que je m'en occupe.Afin d'éviter infection,il serait judicieux de passer en utilisateur limité plutot qu'administrateur?Mais comment faire?
slt
tu lui crées un compte personnel
pour vérifier:
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.com/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
tu lui crées un compte personnel
pour vérifier:
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.com/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Salut Jlpjlp,desolé du retard voila le lien pour le rapport zphdiag
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120220_i8c13s5v12e6
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120220_i8c13s5v12e6
