Virus "Alureon-K"
Résolu
whitewasteland
Messages postés
96
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Hello,
Je me prends la tête depuis plusieurs jours avec une menace détectée par Avast : "Alureon-K" avec un entête qui ressemble à : MBR:\\.\PHYSICALDRIVE0\Partition3
Avast n'arrive pas à le supprimer, ni le mettre en quarantaine, ni le réparer.
Je sais pas si ça a un rapport (mais je suppose que si), ma connexion internet est assez fortement ralentie, et il arrive régulièrement que des liens sur lesquels je clique dans Google soient redirigés vers d'autres liens qui n'ont rien à voir.
Bref, ça sent le sapin :)
Après avoir consulté un peu des sujets ressemblant à mon cas, j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.
Que puis-je faire ? Merci d'avance !!!
Je me prends la tête depuis plusieurs jours avec une menace détectée par Avast : "Alureon-K" avec un entête qui ressemble à : MBR:\\.\PHYSICALDRIVE0\Partition3
Avast n'arrive pas à le supprimer, ni le mettre en quarantaine, ni le réparer.
Je sais pas si ça a un rapport (mais je suppose que si), ma connexion internet est assez fortement ralentie, et il arrive régulièrement que des liens sur lesquels je clique dans Google soient redirigés vers d'autres liens qui n'ont rien à voir.
Bref, ça sent le sapin :)
Après avoir consulté un peu des sujets ressemblant à mon cas, j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.
Que puis-je faire ? Merci d'avance !!!
A voir également:
- Virus "Alureon-K"
- Virus mcafee - Accueil - Piratage
- 1000 k€ en euros - Forum Logiciels
- K-3d - Télécharger - 3D
- 1,9 k vues - Forum YouTube
- Postmaster outlook virus - Forum Virus
170 réponses
salut
alors là trop fort !
je cite :
j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.
et l'autre il répond :
http://forum.malekal.com/tdsskiller-kaspersky-t28637.html
bonne chance ^^
mouhahahahahah!!!!
=================
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
alors là trop fort !
je cite :
j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.
et l'autre il répond :
http://forum.malekal.com/tdsskiller-kaspersky-t28637.html
bonne chance ^^
mouhahahahahah!!!!
=================
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
faudrait voir en lancant un live cd je pense qu il se cache comme il le faut sous windows ....
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
super-super on l'a trouvé c'est la troisieme ligne qui commence par 17 sur ta deuxieme capture et par hid* sur le premiere ^^
mouahahhaha
redemarre sous windows
lance part look
clique sur delete puis ecris 2 et clique sur ok
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
mouahahhaha
redemarre sous windows
lance part look
clique sur delete puis ecris 2 et clique sur ok
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
tu risques juste de detruire le rootkit ^^
non part_look c'est le truc rond orange et vert que tu as utilisé ici :
https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#7
tes deux vrais partitions on ne les touche pas
tu doit avoir peur parce que j'ai dit deux au lieu de trois ^^
je t'explique :
Avast voit :
partition 1 => active ( Windows)
partition 2 => Données
parttion 3 => créée par le rootkit TDSS/Alureon
donc trois partitions
mais suivant les outils ton disque dur commence à la partition 0
d'ailleur ici on voit bien que ton windows est installé dans la partiton 0 :
https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#8
de plus c'est la partition active dite "de boot"
alors qu'ici on voit qu'il est installé dans la partition 1 donc suivant l'outil utilisé on supprimera la partition 2 ou 3...c'est bien pour ce la qu'il ne faut pas jouer avec les partitions et leurs tables ^^
regarde essaie un truc :
lance Part_look , puis clique sur delete et rentre le chiffre 3 comme te l'indique avast , ensuite , redemarre le pc sur le live , relance PTEDIT32 et tu verras qu'en troisieme ligne tu auras toujours ta partition avec le rootkit : 17 (partiton NTFS/Cachée) en premiere colonne
en plus il est nul :
4128 secteur ca doit faire à peu près 2Mo
t'as deja vu une partition de 2Mo ?? mdr ! cachée de surcrôit
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
non part_look c'est le truc rond orange et vert que tu as utilisé ici :
https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#7
tes deux vrais partitions on ne les touche pas
tu doit avoir peur parce que j'ai dit deux au lieu de trois ^^
je t'explique :
Avast voit :
partition 1 => active ( Windows)
partition 2 => Données
parttion 3 => créée par le rootkit TDSS/Alureon
donc trois partitions
mais suivant les outils ton disque dur commence à la partition 0
d'ailleur ici on voit bien que ton windows est installé dans la partiton 0 :
https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#8
de plus c'est la partition active dite "de boot"
alors qu'ici on voit qu'il est installé dans la partition 1 donc suivant l'outil utilisé on supprimera la partition 2 ou 3...c'est bien pour ce la qu'il ne faut pas jouer avec les partitions et leurs tables ^^
regarde essaie un truc :
lance Part_look , puis clique sur delete et rentre le chiffre 3 comme te l'indique avast , ensuite , redemarre le pc sur le live , relance PTEDIT32 et tu verras qu'en troisieme ligne tu auras toujours ta partition avec le rootkit : 17 (partiton NTFS/Cachée) en premiere colonne
en plus il est nul :
4128 secteur ca doit faire à peu près 2Mo
t'as deja vu une partition de 2Mo ?? mdr ! cachée de surcrôit
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok mets toi sur write puis fais entrée
(je suis en train de faire des tests en meme temps sur live cd , je vais peut etre pouvoir concocter quelque chose qui s'y intègre et qui soit fonctionnel.....commence à bien faire cet alureon là !!! il m'a cherché , il va me trouver !
(je suis en train de faire des tests en meme temps sur live cd , je vais peut etre pouvoir concocter quelque chose qui s'y intègre et qui soit fonctionnel.....commence à bien faire cet alureon là !!! il m'a cherché , il va me trouver !
re
retenete en mode sans echec , j'ai rien de particulier à cette ligne c'est l'infection qui doit bloquer (prends la version .pif)
retenete en mode sans echec , j'ai rien de particulier à cette ligne c'est l'infection qui doit bloquer (prends la version .pif)
Bon, j'ai tenté le winlogon.exe en mode sans échec et j'ai eu les mêmes messages d'erreur...
J'ai téléchargé la version .pif, qui me lance directement le menu sur fond rouge, je clique sur "Kill" et j'obtiens encore une fois les mêmes messages.
Le dernier varie un peu :
Line 12093 (File "C:\Users\White Wasteland\Desktop\Pre_Scan.pif"):
Error: Variable must be of type "Object".
:/
J'ai téléchargé la version .pif, qui me lance directement le menu sur fond rouge, je clique sur "Kill" et j'obtiens encore une fois les mêmes messages.
Le dernier varie un peu :
Line 12093 (File "C:\Users\White Wasteland\Desktop\Pre_Scan.pif"):
Error: Variable must be of type "Object".
:/
alors on va galerer....
on va le faire comme ca
liens de telechargement :
http://forums-fec.be/gen-hackman/Part_Look.exe
lance-le , clique sur listing , puis colle le contenu du rapport ici entre les balises code qui apparaitront quand tu auras cliqué sur le bouton a coté du "S" souligné juste dans l'entête de ta reponse
code>ICI</code
on va le faire comme ca
liens de telechargement :
http://forums-fec.be/gen-hackman/Part_Look.exe
lance-le , clique sur listing , puis colle le contenu du rapport ici entre les balises code qui apparaitront quand tu auras cliqué sur le bouton a coté du "S" souligné juste dans l'entête de ta reponse
code>ICI</code
Il n'y avait pas de "Listing", j'ai cliqué sur Look, j'imagine que c'est ce que tu voulais dire !
Voilà ce que ça donne :
Voilà ce que ça donne :
¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ Disk: 0 Size=477G Pos MBRndx Type/Name Size Active Hide Start Sector Sectors --- ------ ---------- ---- ------ ---- ------------ ------------ 0 0 07-NTFS 67G Yes No 2,048 137,912,320 1 1 07-NTFS 410G No No 137,914,368 838,854,656
bizarre t'as que deux partitions....
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Ben, Pre_Scan me redonne les mêmes messages d'erreur mais on n'a rien changé non ?
Qu'est ce qui te semble bizarre dans le fait que j'ai 2 partitions ?
Qu'est ce qui te semble bizarre dans le fait que j'ai 2 partitions ?
j'y ai fait une modif entre temps c'est pour ca :)
ben en fait tu dis :
\\.\PHYSICALDRIVE0\Partition3
edit::
Ah ouais mais j'ai pas touché cette partie en plus...
le code du programme :
pas besoin d'etre programmeur pour comprendre que c'est la surveillance pour savoir si le parefeu windows est actif ou pas....
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
ben en fait tu dis :
\\.\PHYSICALDRIVE0\Partition3
edit::
Ah ouais mais j'ai pas touché cette partie en plus...
le code du programme :
12122 $OSHELL = ObjCreate("shell.application")
12123 If $OSHELL.IsServiceRunning("MpsSvc") Then
12124 FileWriteLine($TXT, "Pare-feu windows : Actif")
12125 Else
12126 FileWriteLine($TXT, "Pare-feu windows : Inactif")
12127 EndIf
pas besoin d'etre programmeur pour comprendre que c'est la surveillance pour savoir si le parefeu windows est actif ou pas....
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Il était question de la ligne 12093 aussi...
Qu'est ce que je peux essayer du coup ?
Je vais refaire un scan d'Avast pour vérifier que je me suis pas trompé entre Partition3 et Partition2 (qui serait plus logique, je suis d'accord) mais il me semble que c'était bien 3...
Qu'est ce que je peux essayer du coup ?
Je vais refaire un scan d'Avast pour vérifier que je me suis pas trompé entre Partition3 et Partition2 (qui serait plus logique, je suis d'accord) mais il me semble que c'était bien 3...
▶ Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Voilà le scan Gmer :
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-07-12 18:46:29
Windows 6.0.6002 Service Pack 2
Running: hb3yoetf.exe
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@MSIgnoreLSPDefault
Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0015832b78f6
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters@DefaultFilterSettings 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid 0x37 0xA2 0x36 0x72 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x54 0x22 0x1F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEA 0x62 0xDB 0x7B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x6D 0x47 0xBB ...
Reg HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@MSIgnoreLSPDefault
Reg HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
Reg HKLM\SYSTEM\ControlSet011\Services\BTHPORT\Parameters\Keys\0015832b78f6 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters@DefaultFilterSettings 1
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid 0x37 0xA2 0x36 0x72 ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x54 0x22 0x1F ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEA 0x62 0xDB 0x7B ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x6D 0x47 0xBB ...
---- EOF - GMER 1.0.15 ----
Par contre, aucune ligne n'est apparu en rouge... Je comprends plus rien moi ^^
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-07-12 18:46:29
Windows 6.0.6002 Service Pack 2
Running: hb3yoetf.exe
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@MSIgnoreLSPDefault
Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0015832b78f6
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters@DefaultFilterSettings 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid 0x37 0xA2 0x36 0x72 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x54 0x22 0x1F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEA 0x62 0xDB 0x7B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x6D 0x47 0xBB ...
Reg HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@MSIgnoreLSPDefault
Reg HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
Reg HKLM\SYSTEM\ControlSet011\Services\BTHPORT\Parameters\Keys\0015832b78f6 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters@DefaultFilterSettings 1
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid 0x37 0xA2 0x36 0x72 ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x54 0x22 0x1F ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEA 0x62 0xDB 0x7B ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x6D 0x47 0xBB ...
---- EOF - GMER 1.0.15 ----
Par contre, aucune ligne n'est apparu en rouge... Je comprends plus rien moi ^^
ok fais en sorte que toutes les cases de droite soient cochées et clique sur scan à droite (si tu dois le relancer , attends la fin du scan primaire)
ensuite heberge le rapport car il sera vraiment plus long
ensuite heberge le rapport car il sera vraiment plus long
Les 8 premières cases sont grisées, on ne peut pas cliquer dessus (System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries).
Le seul truc que je puisse faire en plus, c'est cocher D:\ en plus de C:\ dans les "Files". Mais Windows et tous les fichiers système sont sur C. La partition D:\ ne me sert que pour du data.
Ca t'intéresse quand même ?
Le seul truc que je puisse faire en plus, c'est cocher D:\ en plus de C:\ dans les "Files". Mais Windows et tous les fichiers système sont sur C. La partition D:\ ne me sert que pour du data.
Ca t'intéresse quand même ?
J'ai téléchargé Pre_Scan (qui a été renommé winlogon.exe apparemment) et en le lançant j'obtiens les messages suivants :
- La corbeille sur C:\ est endommagée. Voulez vous vider la corbeille pour ce lecteur ?
OK,
- La corbeille sur D:\ est endommagée. Voulez vous vider la corbeille pour ce lecteur ?
OK,
- AutoIt Error
Line 12123 (File "C:\Users\White Wasteland\Desktop\winlogon.exe"):
Error : Variable must be of type "Object".
Ça te parle ? :)