Windows XP gros problèmes suite à virus (Rootkit)

Résolu/Fermé
Don - Modifié par Don le 21/04/2014 à 01:34
 Utilisateur anonyme - 25 avril 2014 à 20:58
Bonjour,

J'ai essayé de nettoyer mon pc du mieux possible, Ccleaner, Mbam, roguekiller et adwcleaner.

Cependant de gros problèmes persistes. Firefox m'annonce que la connexion a échoué, explorer m'annonce de même lorsque je vais sur google.fr ou yahoo.fr (entre autre) et je n'arrive pas à installer Avira.
Je vous écrit d'un autre pc car je ne peux pas poster sur ccm.net via le pc contaminé.

Je ne sais pas si il existe une solution à mon problème, je poste donc un rapport Zhpdiag.
Est ce réparable?

http://pjjoint.malekal.com/files.php?read=ZHPDiag_20140421_w7u15f10d9o11


A voir également:

26 réponses

Utilisateur anonyme
21 avril 2014 à 10:24
bonjour,

tu as un Rootkit sur ton pc,

est ce que tu peux me copier et coller le rapport de Roguekiller sur ton prochain message ?


2
Soir'

Merci d'avoir répondu, il y a du nouveau.

J'ai réussi à trouver le fichier source de norton antivirus et internet security 2005 et j'ai tout supprimer manuellement. J'espère ne pas avoir trop fait de dégat.
J'ai laisser tourner le pc toute la journée et quand je suis rentré il y avait 111 mises à jour (windows update).
J'ai lancé et redémarré. 22 mises à jours n'ont pas pu être faites (rapport d'erreur).
Dorénavant firefox fonctionne correctement :)

Pour une ancienne sauvegarde le pc a pas tourner depuis trop longtemps et j'ai supprimer beaucoup de menaces depuis.

Je vais essayer de réinstaller avira et voici le rapport roguekiller :

RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : utilisateur [Droits d'admin]
Mode : Recherche -- Date : 04/22/2014 00:00:46
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] ***@*** (FREEBL_GetVector) : nssckbi.dll -> HOOKED (C:\Program Files\Mozilla Firefox\freebl3.dll @ 0x0A931000)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) FUJITSU MHV2100AT +++++
--- User ---
[MBR] c563e53d38e390ef70d36e7d2461ca35
[BSP] a673e9b32ac32229e79c3e2b4fd57f0f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 63 | Size: 7993 MB
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16370235 | Size: 87392 MB
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_04222014_000046.txt >>
0
Utilisateur anonyme
22 avril 2014 à 07:20
bonjour,

je ne pense pas que le rootkit se laisse faire aussi facilement que ça !


passe ceci ,

* Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

* Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

* Clique sur [Start Scan] pour démarrer l'analyse.

* Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

* Un rapport s'ouvrira au redémarrage du PC.

* Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note :
Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D


0
TDSS n'a rien trouvé et je n'ai pas de rapport à montrer.

Pour avira, je n'ai pas réussi à l'installer, de même que la mise à jour adobe acrobat.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
22 avril 2014 à 20:05
ok,

passe ceci :

* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!




► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

► ferme les fenêtres de tous les programmes en cours.

► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.


- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0
Re,

combofix fait, des fichiers et dossiers ont été supprimés:

ComboFix 14-04-20.01 - utilisateur 22/04/2014 21:21:13.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.494 [GMT 2:00]
Lancé depuis: c:\documents and settings\utilisateur\Bureau\ComboFix.exe
AV: Norton Internet Security *Disabled/Outdated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *Enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\utilisateur\WINDOWS
c:\windows\system32\SET14E.tmp
c:\windows\system32\SET150.tmp
c:\windows\system32\SET15C.tmp
c:\windows\system32\SET169.tmp
c:\windows\system32\TZLog.log
c:\windows\system32\UACdsjnievq.dat
c:\windows\system32\UACfmpabhvi.db
c:\windows\system32\UACjubilkqw.log
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_UACD.SYS
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2014-03-22 au 2014-04-22 ))))))))))))))))))))))))))))))))))))
.
.
2014-04-21 22:21 . 2014-04-21 22:21 -------- d-----w- c:\documents and settings\utilisateur\Application Data\ElevatedDiagnostics
2014-04-21 22:18 . 2014-04-21 22:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2014-04-21 22:09 . 2014-04-21 22:09 -------- d-----w- c:\program files\Microsoft.NET
2014-04-21 22:09 . 2014-04-21 22:09 70832 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-04-21 22:09 . 2014-04-21 22:09 692400 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-04-21 21:47 . 2014-04-21 21:47 -------- d-----w- c:\documents and settings\utilisateur\Local Settings\Application Data\PCHealth
2014-04-21 20:47 . 2014-04-21 20:50 -------- d-----w- c:\windows\system32\MRT
2014-04-21 08:50 . 2014-02-26 23:28 13312 ------w- c:\windows\system32\xp_eos.exe
2014-04-21 08:50 . 2014-02-26 23:28 13312 ------w- c:\windows\system32\dllcache\xp_eos.exe
2014-04-21 08:47 . 2014-03-06 17:58 522240 ------w- c:\windows\system32\dllcache\jsdbgui.dll
2014-04-21 08:43 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2014-04-21 08:43 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\dllcache\iacenc.dll
2014-04-21 08:41 . 2014-04-21 20:58 -------- d--h--w- c:\windows\$hf_mig$
2014-04-21 00:17 . 2014-04-22 19:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Package Cache
2014-04-20 22:49 . 2014-04-20 23:00 -------- d-----w- C:\AdwCleaner
2014-04-20 22:24 . 2014-04-20 23:23 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2014-04-20 22:19 . 2014-04-20 23:23 -------- d-----w- c:\program files\ZHPDiag
2014-04-20 22:19 . 2014-04-20 22:24 -------- d-----w- c:\documents and settings\utilisateur\Application Data\ZHP
2014-04-20 22:13 . 2014-04-20 22:13 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2014-04-20 21:44 . 2014-04-20 21:46 -------- dc-h--w- c:\windows\ie8
2014-04-20 11:01 . 2014-04-20 11:01 -------- d-----w- c:\documents and settings\utilisateur\Local Settings\Application Data\Mozilla
2014-04-20 10:59 . 2014-04-20 10:59 -------- d-----w- c:\program files\Mozilla Maintenance Service
2014-04-20 10:12 . 2012-06-02 13:19 16408 ----a-w- c:\windows\system32\wuapi.dll.mui
2014-04-20 00:37 . 2008-04-14 02:33 116736 ----a-w- c:\windows\system32\dllcache\xrxwiadr.dll
2014-04-20 00:37 . 2001-08-23 15:47 23040 ----a-w- c:\windows\system32\dllcache\xrxwbtmp.dll
2014-04-20 00:37 . 2008-04-14 02:33 18944 ----a-w- c:\windows\system32\dllcache\xrxscnui.dll
2014-04-20 00:37 . 2001-08-23 15:47 27648 ----a-w- c:\windows\system32\dllcache\xrxftplt.exe
2014-04-20 00:36 . 2001-08-23 15:47 4608 ----a-w- c:\windows\system32\dllcache\xrxflnch.exe
2014-04-20 00:36 . 2001-08-23 15:47 99865 ----a-w- c:\windows\system32\dllcache\xlog.exe
2014-04-20 00:36 . 2001-08-17 18:11 16970 ----a-w- c:\windows\system32\dllcache\xem336n5.sys
2014-04-20 00:36 . 2004-08-03 20:29 19455 ----a-w- c:\windows\system32\dllcache\wvchntxx.sys
2014-04-20 00:36 . 2004-08-03 20:29 12063 ----a-w- c:\windows\system32\dllcache\wsiintxx.sys
2014-04-20 00:36 . 2008-04-14 02:33 8192 ----a-w- c:\windows\system32\dllcache\wshirda.dll
2014-04-20 00:36 . 2008-04-13 18:36 8832 ----a-w- c:\windows\system32\dllcache\wmiacpi.sys
2014-04-20 00:36 . 2004-08-03 20:31 154624 ----a-w- c:\windows\system32\dllcache\wlluc48.sys
2014-04-20 00:36 . 2001-08-23 15:05 35402 ----a-w- c:\windows\system32\dllcache\wlandrv2.sys
2014-04-20 00:36 . 2001-08-17 19:28 771581 ----a-w- c:\windows\system32\dllcache\winacisa.sys
2014-04-20 00:36 . 2001-08-23 15:47 54272 ----a-w- c:\windows\system32\dllcache\wiamsmud.dll
2014-04-20 00:34 . 2001-08-17 19:28 765884 ----a-w- c:\windows\system32\dllcache\usrti.sys
2014-04-20 00:33 . 2001-08-23 15:47 47616 ----a-w- c:\windows\system32\dllcache\umaxcam.dll
2014-04-20 00:32 . 2001-08-17 18:10 28232 ----a-w- c:\windows\system32\dllcache\tos4mo.sys
2014-04-20 00:31 . 2001-08-23 15:47 10240 ----a-w- c:\windows\system32\dllcache\swpdflt2.dll
2014-04-20 00:30 . 2008-04-13 18:40 7552 ----a-w- c:\windows\system32\dllcache\sonyait.sys
2014-04-20 00:29 . 2001-08-17 18:50 50432 ----a-w- c:\windows\system32\dllcache\sisv.sys
2014-04-20 00:28 . 2008-04-13 18:45 11520 ----a-w- c:\windows\system32\dllcache\scsiscan.sys
2014-04-20 00:27 . 2001-08-17 18:50 166720 ----a-w- c:\windows\system32\dllcache\s3m.sys
2014-04-20 00:26 . 2004-08-05 12:00 16896 ----a-w- c:\windows\system32\dllcache\quser.exe
2014-04-20 00:25 . 2008-04-14 02:32 259328 ----a-w- c:\windows\system32\dllcache\perm3dd.dll
2014-04-20 00:24 . 2001-08-17 20:05 48000 ----a-w- c:\windows\system32\dllcache\ovcam2.sys
2014-04-20 00:23 . 2001-08-23 15:10 66302 ----a-w- c:\windows\system32\dllcache\netflx3.sys
2014-04-20 00:22 . 2008-04-13 18:46 49024 ----a-w- c:\windows\system32\dllcache\mstape.sys
2014-04-20 00:21 . 2001-08-17 19:58 8320 ----a-w- c:\windows\system32\dllcache\memcard.sys
2014-04-20 00:20 . 2001-08-23 15:47 37888 ----a-w- c:\windows\system32\dllcache\kousd.dll
2014-04-20 00:19 . 2001-08-23 15:47 27136 ----a-w- c:\windows\system32\dllcache\icam3ext.dll
2014-04-20 00:18 . 2001-08-17 19:28 150239 ----a-w- c:\windows\system32\dllcache\hsf_amos.sys
2014-04-20 00:17 . 2001-08-23 15:46 1733120 ----a-w- c:\windows\system32\dllcache\g400d.dll
2014-04-20 00:16 . 2004-08-05 12:00 57856 ----a-w- c:\windows\system32\dllcache\esuimgd.dll
2014-04-20 00:15 . 2001-08-17 18:11 69194 ----a-w- c:\windows\system32\dllcache\el656cd5.sys
2014-04-20 00:14 . 2001-08-23 15:09 29691 ----a-w- c:\windows\system32\dllcache\dgapci.sys
2014-04-20 00:13 . 2001-08-23 15:03 27164 ----a-w- c:\windows\system32\dllcache\ce3n5.sys
2014-04-20 00:12 . 2001-08-23 15:46 96128 ----a-w- c:\windows\system32\dllcache\ati.dll
2014-04-20 00:06 . 2014-04-22 19:10 -------- d-----w- C:\OETemp
2014-04-19 22:45 . 2014-04-19 22:45 -------- d-----w- c:\windows\snack
2014-04-19 21:22 . 2014-04-19 21:22 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2014-04-19 21:16 . 2014-04-20 10:06 107736 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-04-19 21:15 . 2014-04-19 21:15 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2014-04-19 21:15 . 2014-04-19 21:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2014-04-19 21:15 . 2014-04-03 07:51 50648 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2014-04-19 21:15 . 2014-04-03 07:50 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-03-06 17:58 . 2004-08-16 15:41 920064 ----a-w- c:\windows\system32\wininet.dll
2014-03-06 17:58 . 2004-08-16 15:40 43520 ----a-w- c:\windows\system32\licmgr10.dll
2014-03-06 17:58 . 2004-08-16 15:40 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2014-03-06 17:58 . 2004-08-16 15:40 18944 ----a-w- c:\windows\system32\corpol.dll
2014-03-06 00:46 . 2004-08-16 15:40 385024 ----a-w- c:\windows\system32\html.iec
2014-02-07 06:36 . 2004-08-16 15:41 1879168 ----a-w- c:\windows\system32\win32k.sys
2014-02-05 08:54 . 2004-08-16 15:40 563712 ----a-w- c:\windows\system32\qedit.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2004-08-05 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\dllcache\beep.sys
.
c:\windows\System32\drivers\beep.sys ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-05-04 14396416]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-26 45056]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-01 7118848]
"nwiz"="nwiz.exe" [2005-07-01 1519616]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\AOL 9.0\\aol.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\APPS\\Inventime\\my.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:*:Disabled:emule
"4672:UDP"= 4672:UDP:*:Disabled:emule
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11/04/2009 14:41 717296]
R3 CIR;Hid Device;c:\windows\system32\drivers\CIR.sys [20/05/2005 09:01 5120]
R3 kbd;Keyboard;c:\windows\system32\drivers\kbd.sys [20/05/2005 09:31 21504]
R3 LVHybrid;LVHybrid service;c:\windows\system32\drivers\LVHybrid.sys [07/07/2006 15:17 800000]
R3 Slazldrv;SmartLink AMR_PCI Driver;c:\windows\system32\drivers\SLDRV\slazldrv.sys [07/07/2006 15:17 226768]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2014-04-22 c:\windows\Tasks\Notification de fin de service de Microsoft Windows XP - à la connexion.job
- c:\windows\system32\xp_eos.exe [2014-04-21 23:28]
.
2014-04-21 c:\windows\Tasks\Notification de fin de service de Microsoft Windows XP -mensuellement.job
- c:\windows\system32\xp_eos.exe [2014-04-21 23:28]
.
2014-04-22 c:\windows\Tasks\User_Feed_Synchronization-{E3B66A58-ED2B-42A1-93DB-EE91B662B6E0}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
TCP: DhcpNameServer = 192.168.1.1
DPF: {2C7B74DE-3A9E-4CD3-A8DB-47411E9680A8} - hxxp://alice.vm-wl.com/Telechargement/DownManLight.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\z0vcyk11.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-SymSetup.{A93C9E60-29B6-49da-BA21-F70AC6AADE20} - c:\program files\Fichiers communs\Symantec Shared\SymSetup\{A93C9E60-29B6-49da-BA21-F70AC6AADE20}.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-04-22 21:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MySqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(160)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSFR.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\nvwddi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\apps\HIDSERVICE\HIDSERVICE.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\slserv.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2014-04-22 21:35:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2014-04-22 19:34
.
Avant-CF: 31 720 366 080 octets libres
Après-CF: 32 061 456 384 octets libres
.
- - End Of File - - 642A23902B2F7A8CDA9E1377130EAE46
8F558EB6672622401DA993E1E865C861
0
Utilisateur anonyme
23 avril 2014 à 07:07
le Rootkit a été supprimé :D

redémarre le pc pour voir s'il fonctionne normalement :-)

on continue la dessus vers midi ou ce soir :-)

@ +


0
Ca avance bien, le pc marche de mieux en mieux j'ai réussi à installer avira sans passer par le launcher. J'arrive au bout de 4 ans de mise à jour XP lol

Merci vraiment beaucoup pour ton aide ça fait super plaisir
0
Utilisateur anonyme
23 avril 2014 à 17:20
ce n'est pas terminé !

passe ceci :

* Télécharge et enregistre ZHPDiag sur ton bureau :

http://general-changelog-team.fr/downloads/viewdownload/49-outils-de-nicolas-coolman/124-zhpdiag

ou :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/



* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.


=> L'icône est sous forme de parchemin.

* Clique sur « Full options »

* Laisse travailler l'outil, même s'il semble bloqué !

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur :
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum



tuto zhpdiag :

http://nicolascoolman.webs.com/tutorials.htm


0
Re,

Voila le rapport ZhP Diag :

http://cjoint.com/14av/DDxtoDBtZvy.htm

Merci à toi :)
0
Utilisateur anonyme
23 avril 2014 à 19:29
bon, il y a encore du boulot :

installe la dernière version de java, Adobe reader et adobe flash player depuis leurs sites dédiés !

décoche la case de barres d'outils proposées avant de lancer l'installation !



https://get2.adobe.com/fr/reader/otherversions/

https://get.adobe.com/flashplayer/?loc=fr

https://www.java.com/fr/download/






* /!\ Avertissement /!\,
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !


* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.


Clique sur « importer »

Tu vas voir apparaitre un message d'avertissement, clique sur Ok.


* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
---------------------------------------------------------

Script Zhpfix
[HKCU\Software\TVANTS]
O41 - Driver: (UACd.sys) . (. - .) - C:\WINDOWS\system32\drivers\UACaltlniln.sys (.not file.)
Firewallraz
EmptyPrefetch
Emptytemp
EmptyClsid




----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Héberge le rapport ZHPFIX.txt sur
https://www.cjoint.com/
ou
https://up2sha.re/
puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.




Tuto en bas de cette page :
http://nicolascoolman.webs.com/tutorials.htm





0
Re,

Mises à jour java, reader et flash faites

Voici le rapport ZHP Fix :
http://cjoint.com/14av/DDxuvxNtUZq.htm
0
Utilisateur anonyme
23 avril 2014 à 21:09
Super,


lance MBAM,

. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour

. si le pare-feu demande l'autorisation de se connecter pour malware bytes, acceptes
. Une fois la mise à jour terminée

Dans l(onglet "Paramètres", clique sur "Détection et protection", sélectionne la case "Recherche Rootkit" !



Dans l'onglet « tableau de bord » clique sur le gros bouton vert <Examiner maintenant >


. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.

Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.

Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,

Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.

0
Salut, voila c'est fait :

http://cjoint.com/14av/DDyqTZiALlM.htm

On est tout bon?
0
Utilisateur anonyme
24 avril 2014 à 17:29
bonjour,

redémarre le pc une nouvelle fois et donne moi des nouvelles de son fonctionnement avant de lancer la suite et fin :-)



0
Re,

Pc redémarré, tout fonctionne mieux mis à part le fait que firefox mets 3 min chrono à se lancer lol.

Mais ça je pense que ça viens de la puissance du pc et du nombre de fichiers sur le disque dur non?

Je suis tout ouï pour la suite et fin ;)
0
Utilisateur anonyme
24 avril 2014 à 20:25
ouvre Firefox,

vas dans les options, désactive tous les modules complémentaires et essaie de voir s'il as toujours les mêmes soucis ?


0
C'est un peu mieux sans être parfait
0
Utilisateur anonyme
25 avril 2014 à 07:08
ok,
allons y pour la suite et fin :

Télecharge Delfix sur ton bureau :

ICI

ou




Coche les cases suivantes :

=> Supprimer les outils de désinfection (coché par défaut)
=> Purger la restauration système



* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport
** le rapport est stocké à cet emplacement : C:\DelFix.txt
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.









* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)




0
Salut,
Je lance un scan complet avec avira et je te dis quoi

# DelFix v10.6 - Rapport créé le 25/04/2014 à 15:59:53
# Mis à jour le 11/11/2013 par Xplode
# Nom d'utilisateur : utilisateur - SN012345678912
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\AdwCleaner
Supprimé : C:\Documents and Settings\utilisateur\Application Data\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\utilisateur\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\WINDOWS\Snack
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\sc-cleaner.txt
Supprimé : C:\TDSSKiller.2.8.16.0_22.04.2014_19.38.15_log.txt
Supprimé : C:\TDSSKiller.3.0.0.32_22.04.2014_19.39.01_log.txt
Supprimé : C:\Documents and Settings\utilisateur\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\utilisateur\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\utilisateur\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\utilisateur\Bureau\ZHPFixReport.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe
Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #717 [Supprimé QuickTime | 04/19/2014 21:18:36]
Supprimé : RP #718 [Supprimé Apple Software Update | 04/19/2014 21:23:51]
Supprimé : RP #719 [Supprimé Apple Mobile Device Support | 04/19/2014 21:25:27]
Supprimé : RP #720 [Supprimé Outil de téléchargement Windows Live | 04/19/2014 21:31:40]
Supprimé : RP #721 [Supprimé Assistant de connexion Windows Live | 04/19/2014 23:49:53]
Supprimé : RP #722 [Supprimé Microsoft Picture It! Photo Premium 9 | 04/19/2014 23:50:40]
Supprimé : RP #723 [Installed Microsoft Download Manager | 04/20/2014 10:23:59]
Supprimé : RP #724 [Software Distribution Service 3.0 | 04/20/2014 10:28:04]
Supprimé : RP #725 [Software Distribution Service 3.0 | 04/20/2014 11:02:45]
Supprimé : RP #726 [Windows Internet Explorer 8 installé. | 04/20/2014 21:46:17]
Supprimé : RP #727 [Software Distribution Service 3.0 | 04/20/2014 22:06:58]
Supprimé : RP #728 [Software Distribution Service 3.0 | 04/21/2014 20:44:07]
Supprimé : RP #729 [Installed %1 %2. | 04/21/2014 22:20:14]
Supprimé : RP #730 [Software Distribution Service 3.0 | 04/21/2014 22:21:58]
Supprimé : RP #731 [Software Distribution Service 3.0 | 04/21/2014 23:41:34]
Supprimé : RP #732 [Software Distribution Service 3.0 | 04/22/2014 00:25:23]
Supprimé : RP #733 [Software Distribution Service 3.0 | 04/22/2014 17:42:44]
Supprimé : RP #734 [Software Distribution Service 3.0 | 04/22/2014 18:54:30]
Supprimé : RP #735 [Software Distribution Service 3.0 | 04/22/2014 19:53:46]
Supprimé : RP #736 [Software Distribution Service 3.0 | 04/23/2014 07:45:55]
Supprimé : RP #737 [DirectX est installé | 04/23/2014 11:03:14]
Supprimé : RP #738 [Installé Java 7 Update 55 | 04/23/2014 18:15:18]

Nouveau point de restauration créé !

########## - EOF - ##########
0