Rootkit
cecy
-
Mmsl35_ Messages postés 1865 Statut Membre -
Mmsl35_ Messages postés 1865 Statut Membre -
Bonjour,
J'ai avst qui m'a détecté des fichiers suspiieux type Rootkit.
Le problème c'est que j'y connaîs pas grand chose.
Par conséquent, j'ai installé un Logiciel "ROOTKIT Detective 1.1".
Si quelqu'un pouvez m'aider, ce serait très sympa. Voilà le rapport et merci :
McAfee(R) Rootkit Detective 1.1 scan report
On 29-11-2008 at 15:21:21
OS-Version 5.1.2600
Service Pack 3.0
====================================
Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: Registry-key
Object-Name: DataINDOWS\system32\drivers\aswSP.sys
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden
Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}.RENm Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}.REN
Status: Hidden
Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000.RENtem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000.REN
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771.RENtem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771.REN
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden
Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Object-Type: Registry-key
Object-Name: Windows.RENcrosoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows.REN
Status: Hidden
Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: Data 2.RENicrosoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: Data.REN\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data.REN
Status: Hidden
Object-Type: Process
Object-Name: PCMSERVICE.EXE
Pid: 2820
Object-Path: C:\Program Files\Arcade\PCMService.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 836
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: cidaemon.exe
Pid: 2232
Object-Path: C:\WINDOWS\system32\cidaemon.exe
Status: Visible
Object-Type: Process
Object-Name: CSRSS.EXE
Pid: 496
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible
Object-Type: Process
Object-Name: POWERKEY.EXE
Pid: 2884
Object-Path: C:\Program Files\Launch Manager\PowerKey.exe
Status: Visible
Object-Type: Process
Object-Name: ashDisp.exe
Pid: 3256
Object-Path: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 2948
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: EXPLORER.EXE
Pid: 1212
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible
Object-Type: Process
Object-Name: ASHSERV.EXE
Pid: 1336
Object-Path: C:\Program Files\Alwil Software\Avast4\ashServ.exe
Status: Visible
Object-Type: Process
Object-Name: SYNTPLPR.EXE
Pid: 2576
Object-Path: C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
Status: Visible
Object-Type: Process
Object-Name: OSDCtrl.exe
Pid: 2980
Object-Path: C:\Program Files\Launch Manager\OSDCtrl.exe
Status: Visible
Object-Type: Process
Object-Name: qttask.exe
Pid: 3228
Object-Path: C:\Program Files\QuickTime\qttask.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 128
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: MAXIMEMO.EXE
Pid: 3416
Object-Path: C:\Program Files\MaxiMemo\MaxiMemo.exe
Status: Visible
Object-Type: Process
Object-Name: SMSS.EXE
Pid: 440
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: SERVICES.EXE
Pid: 564
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: Process
Object-Name: HKCMD.EXE
Pid: 2548
Object-Path: C:\WINDOWS\system32\hkcmd.exe
Status: Visible
Object-Type: Process
Object-Name: LAUNCHAP.EXE
Pid: 2860
Object-Path: C:\Program Files\Launch Manager\LaunchAp.exe
Status: Visible
Object-Type: Process
Object-Name: ANBMSERV.EXE
Pid: 1744
Object-Path: C:\Acer\eManager\anbmServ.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1032
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: SYNTPENH.EXE
Pid: 2584
Object-Path: C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
Status: Visible
Object-Type: Process
Object-Name: Monitor.exe
Pid: 3080
Object-Path: C:\Program Files\Acer\eRecovery\Monitor.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 724
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: WMIPRVSE.EXE
Pid: 2988
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible
Object-Type: Process
Object-Name: iexplore.exe
Pid: 2524
Object-Path: C:\Program Files\Internet Explorer\iexplore.exe
Status: Visible
Object-Type: Process
Object-Name: WLLoginProxy.ex
Pid: 1284
Object-Path: C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 912
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: brctrcen.exe
Pid: 3208
Object-Path: C:\Program Files\Brother\ControlCenter2\brctrcen.exe
Status: Visible
Object-Type: Process
Object-Name: ASWUPDSV.EXE
Pid: 1288
Object-Path: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
Status: Visible
Object-Type: Process
Object-Name: BRMFRMPS.EXE
Pid: 1908
Object-Path: C:\WINDOWS\system32\Brmfrmps.exe
Status: Visible
Object-Type: Process
Object-Name: CTFMON.EXE
Pid: 1164
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible
Object-Type: Process
Object-Name: MsnMsgr.Exe
Pid: 3304
Object-Path: C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
Status: Visible
Object-Type: Process
Object-Name: LSASS.EXE
Pid: 576
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: Process
Object-Name: BRSVC01A.EXE
Pid: 1568
Object-Path: C:\WINDOWS\system32\brsvc01a.exe
Status: Visible
Object-Type: Process
Object-Name: CISVC.EXE
Pid: 1940
Object-Path: C:\WINDOWS\system32\cisvc.exe
Status: Visible
Object-Type: Process
Object-Name: SOUNDMAN.EXE
Pid: 2560
Object-Path: C:\WINDOWS\SOUNDMAN.EXE
Status: Visible
Object-Type: Process
Object-Name: BRSS01A.EXE
Pid: 1600
Object-Path: C:\WINDOWS\system32\brss01a.exe
Status: Visible
Object-Type: Process
Object-Name: Wbutton.exe
Pid: 2996
Object-Path: C:\Program Files\Launch Manager\Wbutton.exe
Status: Visible
Object-Type: Process
Object-Name: jusched.exe
Pid: 3244
Object-Path: C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 796
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: IGFXTRAY.EXE
Pid: 2532
Object-Path: C:\WINDOWS\system32\igfxtray.exe
Status: Visible
Object-Type: Process
Object-Name: ASHWEBSV.EXE
Pid: 208
Object-Path: C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
Status: Visible
Object-Type: Process
Object-Name: EPM-DM.EXE
Pid: 2596
Object-Path: C:\acer\epm\epm-dm.exe
Status: Visible
Object-Type: Process
Object-Name: WINLOGON.EXE
Pid: 520
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible
Object-Type: Process
Object-Name: ASHMAISV.EXE
Pid: 1884
Object-Path: C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
Status: Visible
Object-Type: Process
Object-Name: HOTKEYAPP.EXE
Pid: 2908
Object-Path: C:\Program Files\Launch Manager\HotkeyApp.exe
Status: Visible
Object-Type: Process
Object-Name: pptd40nt.exe
Pid: 3156
Object-Path: C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
Status: Visible
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 4088
Object-Path: C:\Documents and Settings\cecilia\Bureau\McafeeRootkitDetective\Rootkit_Detective.exe
Status: Visible
Object-Type: Process
Object-Name: SPOOLSV.EXE
Pid: 1608
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: ALG.EXE
Pid: 1236
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible
Scan complete. Hidden registry keys/values: 16
Merci.
J'ai avst qui m'a détecté des fichiers suspiieux type Rootkit.
Le problème c'est que j'y connaîs pas grand chose.
Par conséquent, j'ai installé un Logiciel "ROOTKIT Detective 1.1".
Si quelqu'un pouvez m'aider, ce serait très sympa. Voilà le rapport et merci :
McAfee(R) Rootkit Detective 1.1 scan report
On 29-11-2008 at 15:21:21
OS-Version 5.1.2600
Service Pack 3.0
====================================
Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: C:\WINDOWS\system32\drivers\aswSP.sys
Object-Type: Registry-key
Object-Name: DataINDOWS\system32\drivers\aswSP.sys
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden
Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}.RENm Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}.REN
Status: Hidden
Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000.RENtem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000.REN
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771.RENtem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771.REN
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden
Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Object-Type: Registry-key
Object-Name: Windows.RENcrosoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows.REN
Status: Hidden
Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: Data 2.RENicrosoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2.REN
Status: Hidden
Object-Type: Registry-key
Object-Name: Data.REN\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2.REN
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data.REN
Status: Hidden
Object-Type: Process
Object-Name: PCMSERVICE.EXE
Pid: 2820
Object-Path: C:\Program Files\Arcade\PCMService.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 836
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: cidaemon.exe
Pid: 2232
Object-Path: C:\WINDOWS\system32\cidaemon.exe
Status: Visible
Object-Type: Process
Object-Name: CSRSS.EXE
Pid: 496
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible
Object-Type: Process
Object-Name: POWERKEY.EXE
Pid: 2884
Object-Path: C:\Program Files\Launch Manager\PowerKey.exe
Status: Visible
Object-Type: Process
Object-Name: ashDisp.exe
Pid: 3256
Object-Path: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 2948
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: EXPLORER.EXE
Pid: 1212
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible
Object-Type: Process
Object-Name: ASHSERV.EXE
Pid: 1336
Object-Path: C:\Program Files\Alwil Software\Avast4\ashServ.exe
Status: Visible
Object-Type: Process
Object-Name: SYNTPLPR.EXE
Pid: 2576
Object-Path: C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
Status: Visible
Object-Type: Process
Object-Name: OSDCtrl.exe
Pid: 2980
Object-Path: C:\Program Files\Launch Manager\OSDCtrl.exe
Status: Visible
Object-Type: Process
Object-Name: qttask.exe
Pid: 3228
Object-Path: C:\Program Files\QuickTime\qttask.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 128
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: MAXIMEMO.EXE
Pid: 3416
Object-Path: C:\Program Files\MaxiMemo\MaxiMemo.exe
Status: Visible
Object-Type: Process
Object-Name: SMSS.EXE
Pid: 440
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: SERVICES.EXE
Pid: 564
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: Process
Object-Name: HKCMD.EXE
Pid: 2548
Object-Path: C:\WINDOWS\system32\hkcmd.exe
Status: Visible
Object-Type: Process
Object-Name: LAUNCHAP.EXE
Pid: 2860
Object-Path: C:\Program Files\Launch Manager\LaunchAp.exe
Status: Visible
Object-Type: Process
Object-Name: ANBMSERV.EXE
Pid: 1744
Object-Path: C:\Acer\eManager\anbmServ.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1032
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: SYNTPENH.EXE
Pid: 2584
Object-Path: C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
Status: Visible
Object-Type: Process
Object-Name: Monitor.exe
Pid: 3080
Object-Path: C:\Program Files\Acer\eRecovery\Monitor.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 724
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: WMIPRVSE.EXE
Pid: 2988
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible
Object-Type: Process
Object-Name: iexplore.exe
Pid: 2524
Object-Path: C:\Program Files\Internet Explorer\iexplore.exe
Status: Visible
Object-Type: Process
Object-Name: WLLoginProxy.ex
Pid: 1284
Object-Path: C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 912
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: brctrcen.exe
Pid: 3208
Object-Path: C:\Program Files\Brother\ControlCenter2\brctrcen.exe
Status: Visible
Object-Type: Process
Object-Name: ASWUPDSV.EXE
Pid: 1288
Object-Path: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
Status: Visible
Object-Type: Process
Object-Name: BRMFRMPS.EXE
Pid: 1908
Object-Path: C:\WINDOWS\system32\Brmfrmps.exe
Status: Visible
Object-Type: Process
Object-Name: CTFMON.EXE
Pid: 1164
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible
Object-Type: Process
Object-Name: MsnMsgr.Exe
Pid: 3304
Object-Path: C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
Status: Visible
Object-Type: Process
Object-Name: LSASS.EXE
Pid: 576
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: Process
Object-Name: BRSVC01A.EXE
Pid: 1568
Object-Path: C:\WINDOWS\system32\brsvc01a.exe
Status: Visible
Object-Type: Process
Object-Name: CISVC.EXE
Pid: 1940
Object-Path: C:\WINDOWS\system32\cisvc.exe
Status: Visible
Object-Type: Process
Object-Name: SOUNDMAN.EXE
Pid: 2560
Object-Path: C:\WINDOWS\SOUNDMAN.EXE
Status: Visible
Object-Type: Process
Object-Name: BRSS01A.EXE
Pid: 1600
Object-Path: C:\WINDOWS\system32\brss01a.exe
Status: Visible
Object-Type: Process
Object-Name: Wbutton.exe
Pid: 2996
Object-Path: C:\Program Files\Launch Manager\Wbutton.exe
Status: Visible
Object-Type: Process
Object-Name: jusched.exe
Pid: 3244
Object-Path: C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
Status: Visible
Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 796
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: IGFXTRAY.EXE
Pid: 2532
Object-Path: C:\WINDOWS\system32\igfxtray.exe
Status: Visible
Object-Type: Process
Object-Name: ASHWEBSV.EXE
Pid: 208
Object-Path: C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
Status: Visible
Object-Type: Process
Object-Name: EPM-DM.EXE
Pid: 2596
Object-Path: C:\acer\epm\epm-dm.exe
Status: Visible
Object-Type: Process
Object-Name: WINLOGON.EXE
Pid: 520
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible
Object-Type: Process
Object-Name: ASHMAISV.EXE
Pid: 1884
Object-Path: C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
Status: Visible
Object-Type: Process
Object-Name: HOTKEYAPP.EXE
Pid: 2908
Object-Path: C:\Program Files\Launch Manager\HotkeyApp.exe
Status: Visible
Object-Type: Process
Object-Name: pptd40nt.exe
Pid: 3156
Object-Path: C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
Status: Visible
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 4088
Object-Path: C:\Documents and Settings\cecilia\Bureau\McafeeRootkitDetective\Rootkit_Detective.exe
Status: Visible
Object-Type: Process
Object-Name: SPOOLSV.EXE
Pid: 1608
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: ALG.EXE
Pid: 1236
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible
Scan complete. Hidden registry keys/values: 16
Merci.
A voir également:
- Rootkit
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
4 réponses
>>>>>>>Fais une analyse antivirus complete avec bitdfender online(avec internet explorer) puis pose le rapport.
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Tutoriel:https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1
>>>installe et scan avec avg rookits
http://www.commentcamarche.net/telecharger/telecharger 34055015 avg anti rootkit
>>>>>>Envoie un log hijackthis -- stp
F - Hijackthis - Outil de diagnostic et réparation
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
https://kerio.probb.fr/
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Tutoriel:https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1
>>>installe et scan avec avg rookits
http://www.commentcamarche.net/telecharger/telecharger 34055015 avg anti rootkit
>>>>>>Envoie un log hijackthis -- stp
F - Hijackthis - Outil de diagnostic et réparation
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
https://kerio.probb.fr/
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
après ça!
Tu vas utiliser SDFix téléchargeable à :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/
Il faut que tu redémarres en mode sans échec.
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.
T
on ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.
Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.
Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
Avec un nouveau rapportRSIT!
Tu vas utiliser SDFix téléchargeable à :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/
Il faut que tu redémarres en mode sans échec.
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.
T
on ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.
Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.
Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
Avec un nouveau rapportRSIT!
Avec un nouveau rapport RSIT ?
il sort d'où?
Faut au moins relire les procédures avant de les faire appilquer.
Et si les antivirus, enligne ou autres faisaient leur boulot, il n'y aurait pas de fix spécifique! Tous ça pour dire que le scan bitdefender en ligne ( et en plus il eratique , c'est maladroit, car en cas de viruT , tu viens de planter le pc :. ça se fait à la fin.
Et avant d'envoyer 12 fix attend d'en savoir un peu plus , non ?
il sort d'où?
Faut au moins relire les procédures avant de les faire appilquer.
Et si les antivirus, enligne ou autres faisaient leur boulot, il n'y aurait pas de fix spécifique! Tous ça pour dire que le scan bitdefender en ligne ( et en plus il eratique , c'est maladroit, car en cas de viruT , tu viens de planter le pc :. ça se fait à la fin.
Et avant d'envoyer 12 fix attend d'en savoir un peu plus , non ?
Salut,
l'antivirus plante le pc?
Oui, pourquoi pas ?
Ca dépend du réglage.
Par défaut, Bit defender est 1) réparer 2) supprimer.
Si un fichier est infecté et que Bit defender ne peut pas le réparer, il le supprime.
Si c'est un fichier système incontournable, l'ordi plante.
C'est arrivé.
Ca peut se produire tous les jours avec les" Files infector".
l'antivirus plante le pc?
Oui, pourquoi pas ?
Ca dépend du réglage.
Par défaut, Bit defender est 1) réparer 2) supprimer.
Si un fichier est infecté et que Bit defender ne peut pas le réparer, il le supprime.
Si c'est un fichier système incontournable, l'ordi plante.
C'est arrivé.
Ca peut se produire tous les jours avec les" Files infector".
Bonjour,
Merci pour votre aide, mais c'est un peu compliqué pour moi. J'aimerais savoir si c'est grave ou pas (les rootkits !). Par ailleurs j'ai 2 PC qui ont le même problème. J'aimerais, si c'est possible, une procédure assez simple.
Le PC sinon fonctionne bien, pour le moment !!
Merci par avance.
Merci pour votre aide, mais c'est un peu compliqué pour moi. J'aimerais savoir si c'est grave ou pas (les rootkits !). Par ailleurs j'ai 2 PC qui ont le même problème. J'aimerais, si c'est possible, une procédure assez simple.
Le PC sinon fonctionne bien, pour le moment !!
Merci par avance.
