Il y a actuellement 116 visiteurs
Mardi 24 Décembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 17:23

Bonjour à tous, :)

Depuis deux jours, je subi une attaque très violente d'un virus (logiciel) nommé : Rootkit-gen[REK]
Visiblement, AVAST semble être totalement impuissant... :wink:
D'après ce que j'ai pu voir sur le forum, il semblerait que ce virus pose problème spécifiquement aux utilisateurs d'Avast.
En réalité, j'ai d'abord eu une alerte. J'ai fait, comme conseillé, une mise en quarantaine. Ensuite d'autres alertes ont suivi et de manière de plus en plus rapprochées.
Ensuite, une fenêtre se présentant comme un SECURITY TOOL m'a alors annoncé 29 infections puis 33 etc...
Elle parle de 14 virus, de 7 malicious programmes, de 5 adware,de 2 spyware...
Pour résoudre le problème, celle çi me propose d'acheter une version supérieure de programme !?
Quel programme ? Je n'en sais rien.
Finalement, un deuxième virus m'a été signalé :IE Monster (stealpasswords)
Le problème, c'est que mon portable a commencé a présenter de plus en plus de dysfonctionnements de toutes sortes.
Par exemple, je ne sais plus supprimer aucun programme.
La plupart d'entre eux ne fonctionnent plus.
Le portable s'éteint tout seul: un message sur fond bleu me dit qu'il faut éteindre le PC d'urgence car un virus est actif...
Par contre, éteindre le portable est un vrai calvaire! :oops:
Il est vraiment inutilisable.

Tout ça en même pas 48 heures, c'est l'enfer.
Que dois-je faire ?
Un ami m'a conseillé de vous demander de l'aide.
Quelqu'un peut-il venir à mon secours?
Un conseil...n'importe quoi... :-?
Vous avez une idée ?
Ce serait vraiment super sympa. :wink:

Eléa.

PS: Je suis sur XP. :o
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 


Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 17:31

Salut,

Jette un oeil dans la section Tutoriels du forum, et suis ce tuto, et poste nous le rapport généré à la fin de l'analyse.

Bon courage !
Avatar de l'utilisateur
H3bus
Moderateur
Moderateur
 
Messages: 12195
Inscription: 08 Avr 2008 15:13
Localisation: /home/h3bus
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 18:26

Merci beaucoup pour ta réponse H3bus, :D

Par bonheur, j'ai pu allumer le PC, télécharger le programme et l'installer.
Le scan est en cours, je croise les doigts :roll: et je te tiens au courant....
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 19:27

Ouf ! C'a y est ! :P

Voilà le rapport:

Peux tu me dire ce que je dois faire maintenant ?

Est-ce que je peux rester connecté à internet dans ces conditions ?

Merci d'avance. :wink:


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3814
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

2/03/2010 19:18:25
mbam-log-2010-03-02 (19-18-24).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 188229
Temps écoulé: 1 hour(s), 16 minute(s), 7 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
C:\Documents and Settings\All Users\Application Data\98832434\98832434.exe (Rogue.SecurityTool) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549b5ca7-4a86-11d7-a4df-000874180bb3} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{549b5ca7-4a86-11d7-a4df-000874180bb3} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\98832434 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msnmsgr (Trojan.Dropper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\98832434 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\98832434\98832434.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\msnmsgr.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Famille\Local Settings\Temp\IXP000.TMP\FUD_SE~1.EXE (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Famille\Local Settings\Temp\IXP001.TMP\FUD_SE~1.EXE (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Famille\Local Settings\Temp\IXP002.TMP\FUD_SE~1.EXE (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\w22n51.sys (HackTool.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\mpcsys.sys (HackTool.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Famille\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Trojan.Downloader) -> Delete on reboot.
C:\Documents and Settings\Famille\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\Famille\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\Famille\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 20:09

Bonsoir

fait ceci en plus "pcscope"



Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 21:25

Très sympa de ta part ton intervention Bernard53 :D

J'ai suivi tes conseils et voici le rapport mais peux tu me dire où j'en suis ?

Y dit quoi le rapport ? :-?

Est-ce suffisant ?

J'ai remarqué en cherchant sur le site un anti Rootkit Sophos.
Est ce utile à ce stade ci ?

En tout cas, merci encore à toi et à H3bus.
Ca fait vraiment plaisir d'être aidée dans ce genre de situation... :wink:



ComboFix 10-03-01.04 - Famille 02/03/2010 20:58:09.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.32.1036.18.511.182 [GMT 1:00]
Lancé depuis: c:\documents and settings\Famille\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100302-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: BitDefender Antivirus *On-access scanning disabled* (Outdated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Pare-feu BitDefender *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Famille\Application Data\Desktopicon
c:\documents and settings\Famille\Application Data\Desktopicon\eBay.ico
c:\documents and settings\Famille\Application Data\Desktopicon\uninst.exe
c:\documents and settings\Famille\Application Data\inst.exe
c:\recycler\S-1-5-21-3522844631-61934467-1402679568-1003
c:\recycler\S-1-5-21-3901493491-4007927851-851602788-1003
c:\recycler\S-1-5-21-428027410-3848444599-602005891-1003
c:\windows\EventSystem.log

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-02 au 2010-03-02 ))))))))))))))))))))))))))))))))))))
.

2010-03-02 16:58 . 2010-03-02 16:58 -------- d-----w- c:\documents and settings\Famille\Application Data\Malwarebytes
2010-03-02 16:58 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-02 16:58 . 2010-03-02 16:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-02 16:58 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-02 16:58 . 2010-03-02 16:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-02 11:59 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-03-02 11:59 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-03-02 11:58 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-03-02 11:58 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-03-02 11:52 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-02 11:52 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-03-02 11:45 . 2010-03-02 11:45 -------- d-----w- c:\windows\Sun
2010-02-12 19:03 . 2010-02-12 19:03 -------- d-----w- c:\program files\GiveMeTac 1.1

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-02 19:44 . 2010-01-24 15:02 -------- d-----w- c:\documents and settings\Famille\Application Data\LimeWire
2010-03-02 18:45 . 2010-03-02 18:45 0 ----a-w- c:\windows\.tm87.tmp
2010-03-02 11:23 . 2010-03-02 11:23 0 ----a-w- c:\windows\.tm86.tmp
2010-03-01 09:26 . 2009-11-03 21:13 -------- d-----w- c:\program files\SlySoft
2010-02-28 19:52 . 2010-02-28 19:52 0 ----a-w- c:\windows\.tmED.tmp
2010-02-28 19:08 . 2010-02-28 19:08 0 ----a-w- c:\windows\.tmE4.tmp
2010-02-28 14:39 . 2004-10-27 15:54 19110 ----a-w- c:\documents and settings\Famille\Application Data\wklnhst.dat
2010-02-27 20:19 . 2010-02-27 20:19 0 ----a-w- c:\windows\.tm84.tmp
2010-02-25 15:12 . 2010-02-25 15:12 0 ----a-w- c:\windows\.tm82.tmp
2010-02-24 08:16 . 2009-10-17 13:37 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-19 21:12 . 2010-02-19 21:12 0 ----a-w- c:\windows\.tm8D.tmp
2010-02-19 21:12 . 2010-02-19 21:12 0 ----a-w- c:\windows\.tm8C.tmp
2010-02-19 20:31 . 2010-02-19 20:31 0 ----a-w- c:\windows\.tm85.tmp
2010-02-14 20:19 . 2010-02-14 20:19 0 ----a-w- c:\windows\.tm81.tmp
2010-02-14 20:19 . 2010-02-14 20:19 0 ----a-w- c:\windows\.tm80.tmp
2010-02-12 19:52 . 2010-02-12 19:52 0 ----a-w- c:\windows\.tm196.tmp
2010-02-10 22:07 . 2010-02-10 22:07 0 ----a-w- c:\windows\.tm14C.tmp
2010-02-10 21:10 . 2010-02-10 21:10 0 ----a-w- c:\windows\.tm145.tmp
2010-02-10 20:09 . 2010-02-10 20:09 0 ----a-w- c:\windows\.tm13E.tmp
2010-02-10 19:11 . 2010-02-10 19:11 0 ----a-w- c:\windows\.tm137.tmp
2010-02-10 19:08 . 2010-02-10 19:08 0 ----a-w- c:\windows\.tm136.tmp
2010-02-10 19:06 . 2010-02-10 19:06 0 ----a-w- c:\windows\.tm135.tmp
2010-02-10 17:26 . 2005-04-11 21:23 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2010-02-10 13:46 . 2010-02-10 13:46 0 ----a-w- c:\windows\.tm12A.tmp
2010-02-09 19:07 . 2010-02-09 19:07 0 ----a-w- c:\windows\.tm123.tmp
2010-02-08 12:29 . 2010-02-08 12:29 0 ----a-w- c:\windows\.tm7F.tmp
2010-02-07 21:53 . 2010-02-07 21:53 0 ----a-w- c:\windows\.tm7E.tmp
2010-02-07 00:16 . 2010-02-07 00:16 0 ----a-w- c:\windows\.tm29E.tmp
2010-02-07 00:16 . 2010-02-07 00:16 0 ----a-w- c:\windows\.tm29D.tmp
2010-02-05 17:23 . 2010-02-05 17:23 0 ----a-w- c:\windows\.tm1F1.tmp
2010-02-03 19:31 . 2010-02-03 19:31 0 ----a-w- c:\windows\.tmEE.tmp
2010-01-29 23:17 . 2010-01-29 23:17 0 ----a-w- c:\windows\.tm7B.tmp
2010-01-29 07:21 . 2010-01-29 07:21 0 ----a-w- c:\windows\.tm74.tmp
2010-01-28 13:47 . 2010-01-28 13:47 0 ----a-w- c:\windows\.tm70.tmp
2010-01-28 13:45 . 2010-01-28 13:45 0 ----a-w- c:\windows\.tm6F.tmp
2010-01-28 13:00 . 2009-10-23 12:31 -------- d-----w- c:\documents and settings\Famille\Application Data\Vso
2010-01-28 12:59 . 2009-10-23 12:31 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2010-01-28 12:59 . 2009-10-23 12:31 47360 ----a-w- c:\documents and settings\Famille\Application Data\pcouffin.sys
2010-01-28 12:59 . 2009-10-23 12:31 47360 ----a-w- c:\documents and settings\Famille\Application Data\pcouffin.sys
2010-01-28 12:59 . 2010-01-28 12:59 -------- d-----w- c:\program files\DVDFab 6
2010-01-27 18:13 . 2010-01-27 18:13 0 ----a-w- c:\windows\.tm7A.tmp
2010-01-27 17:25 . 2010-01-27 17:25 0 ----a-w- c:\windows\.tm6E.tmp
2010-01-25 21:04 . 2010-01-25 21:04 0 ----a-w- c:\windows\.tmDA.tmp
2010-01-25 14:34 . 2010-01-25 14:34 0 ----a-w- c:\windows\.tm79.tmp
2010-01-24 15:57 . 2010-01-24 15:57 0 ----a-w- c:\windows\.tm78.tmp
2010-01-24 15:01 . 2010-01-24 14:54 -------- d-----w- c:\program files\LimeWire
2010-01-24 14:56 . 2010-01-24 14:56 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-24 14:56 . 2010-01-24 14:56 -------- d-----w- c:\program files\Java
2010-01-24 14:55 . 2010-01-24 14:55 152576 ----a-w- c:\documents and settings\Famille\Application Data\Sun\Java\jre1.6.0_16\lzma.dll
2010-01-23 15:25 . 2010-01-23 15:25 0 ----a-w- c:\windows\.tm77.tmp
2010-01-22 19:42 . 2010-01-22 19:42 0 ----a-w- c:\windows\.tm75.tmp
2010-01-22 17:10 . 2010-01-22 17:10 0 ----a-w- c:\windows\.tm7D.tmp
2010-01-22 16:53 . 2004-08-19 21:58 92540 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-22 16:53 . 2004-08-19 21:58 529038 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-21 13:13 . 2010-01-21 13:13 0 ----a-w- c:\windows\.tm6D.tmp
2010-01-20 16:14 . 2010-01-20 16:14 0 ----a-w- c:\windows\.tm6C.tmp
2010-01-18 17:40 . 2010-01-18 17:40 0 ----a-w- c:\windows\.tm6B.tmp
2010-01-12 13:41 . 2010-01-12 13:41 0 ----a-w- c:\windows\.tm69.tmp
2010-01-12 00:51 . 2009-09-08 18:18 -------- d-----w- c:\documents and settings\Famille\Application Data\uTorrent
2010-01-03 19:55 . 2010-01-03 19:55 0 ----a-w- c:\windows\.tm8A.tmp
2010-01-01 17:15 . 2010-01-01 17:15 0 ----a-w- c:\windows\.tm68.tmp
2009-12-30 18:10 . 2009-12-30 18:10 0 ----a-w- c:\windows\.tm1D8.tmp
2009-12-29 18:27 . 2009-12-29 18:27 0 ----a-w- c:\windows\.tmA8.tmp
2009-12-23 16:08 . 2009-12-23 16:08 0 ----a-w- c:\windows\.tm73.tmp
2009-12-23 16:08 . 2009-12-23 16:08 0 ----a-w- c:\windows\.tm72.tmp
2009-12-23 16:08 . 2009-12-23 16:08 0 ----a-w- c:\windows\.tm71.tmp
2009-12-23 15:40 . 2009-12-23 15:40 0 ----a-w- c:\windows\.tm6A.tmp
2009-12-23 14:14 . 2009-12-23 14:14 0 ----a-w- c:\windows\.tm63.tmp
2009-12-21 09:30 . 2009-12-21 09:30 0 ----a-w- c:\windows\.tm60.tmp
2009-12-19 18:22 . 2009-12-19 18:22 104512 ----a-w- c:\windows\system32\drivers\AnyDVD.sys
2009-12-17 22:25 . 2009-12-17 22:25 26024 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys
2009-11-18 18:19 . 2009-11-18 18:13 2693555 ----a-w- c:\program files\btguard-1-00.exe
2005-04-09 13:17 . 2005-04-09 13:17 1573 ----a-w- c:\program files\qsetup.html
2006-08-03 22:22 . 2005-04-11 21:11 11270 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 65024]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2004-08-06 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2004-07-26 49152]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\program files\Launch Manager\OSD.exe" [2004-07-26 204800]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2004-08-06 73728]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2003-07-25 110592]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2003-07-25 618496]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-17 339968]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2004-09-09 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-11 282624]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-24 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

c:\documents and settings\Famille\Menu D‚marrer\Programmes\D‚marrage\
BTGuard Updates.lnk - c:\btguard\update_check.bat [2009-5-1 60]
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
NkvMon.exe.lnk - c:\program files\Nikon\NkView6\NkvMon.exe [2009-12-23 233472]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MUSICMATCH\\MUSICMATCH Jukebox\\mmjb.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Tiscali\\Tiscali Internet\\Tiscali Inet.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bluetooth\\BlueSoleil\\BlueSoleil.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\BTGUARD\\uTorrent.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [5/07/2006 13:46 63352]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [17/10/2009 14:54 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [17/10/2009 14:54 20560]
R2 cpuz132;cpuz132;c:\windows\system32\drivers\cpuz132_x32.sys [23/11/2009 21:15 12672]
R2 LogWatch;Event Log Watch;c:\program files\CA\SharedComponents\CA_LIC\LogWatNT.exe [19/09/2002 22:29 53248]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3/11/2006 18:19 13592]
S1 mailKmd;mailKmd; [x]
S2 BDVEDISK;BDVEDISK;\??\c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys --> c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [?]
S3 CA_LIC_CLNT;Client de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmt.exe [19/09/2002 22:27 77824]
S3 CA_LIC_SRVR;Serveur de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmtd.exe [19/09/2002 22:41 77824]
.
Contenu du dossier 'Tâches planifiées'

2010-03-02 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.skynet.be/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &eBay Search
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\o5iwgn3a.default\
FF - plugin: c:\utilitaires\RealPlayer8\Netscape6\nppl3260.dll
FF - plugin: c:\utilitaires\RealPlayer8\Netscape6\nprjplug.dll
FF - plugin: c:\utilitaires\RealPlayer8\Netscape6\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-AdobeBridge - (no file)
AddRemove-eBay Icon - c:\documents and settings\Famille\Application Data\Desktopicon\uninst.exe
AddRemove-ffdshow_is1 - c:\program files\Magic Video Converter\codec\unins000.exe
AddRemove-RealAlt_is1 - c:\program files\Magic Video Converter\codec\real\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 21:05
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2917347797-3027105718-829246846-1008\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Heure de fin: 2010-03-02 21:10:07
ComboFix-quarantined-files.txt 2010-03-02 20:09

Avant-CF: 2.393.047.040 octets libres
Après-CF: 2.563.690.496 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 445F410BA59253B1B09F6E84BEE5705B
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 21:50

C'est encore moi....

J'ai déjà téléchargé l'anti rootkit de Sophos mais, à l'intérieur du fichier archives il n'y a que 2 fichiers dll qui ne s'ouvrent pas et que je n'arrive pas à utiliser....
Ça marche comment ?
Vous avez une idée ?

Merci de votre attention.
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 22:02

Désolée, autant pour moi, j'ai retrouvé les autres parties de l'extraction de l'archive de l'anti rootkit ... :oops:

Ceci dit, si vous avez la gentillesse de me conseiller pour la suite des opérations, vous êtes les bienvenus...

Eléa.
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 22:33

Il faut extraire la totalité de l'archive pour le que le programme puisse fonctionner, sans cela il ne peut pas démarrer. Je laisse bernard53 prendre la suite des opérations, il s'y connait mieux que moi.

Bon courage !
Avatar de l'utilisateur
H3bus
Moderateur
Moderateur
 
Messages: 12195
Inscription: 08 Avr 2008 15:13
Localisation: /home/h3bus
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 02 Mar 2010 23:01

Merci beaucoup H3 bus pour ton aide et tes encouragements, c'est vraiment sympa ! :D

Bonne soirée.

J'espère avoir de tes nouvelles quand tu auras le temps bernard53... :wink:
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 03 Mar 2010 07:14

Très bien fait ceci à suivre pcscope



Télécharges: <<ATF-Cleaner >> de Atribune.

Il ne nécessite pas d'installation.
Clique sur le fichier ATF-Cleaner.exe
Dans Main clique sur Select All et décoche Prefetch
Clique sur Empty Selected
Puis sur OK sur le popup suivant qui t'annonce ce qui a été supprimé.

Tu peux renouveler pour Firefox, Opéra si tu utilises ces navigateurs.
Après Select All il te sera demandé si tu veux supprimer les mots de passes enregistrés.
"Are you sure you want to delete Firefox (ou Opéra) saved password?"
A toi d'en décider en cliquant sur Oui ou Non.


Puis;::

Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :
fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0



Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :
File::
c:\windows\.tm87.tmp
c:\windows\.tm86.tmp
c:\windows\.tmED.tmp
c:\windows\.tmE4.tmp
c:\windows\.tm84.tmp
c:\windows\.tm82.tmp
c:\windows\.tm8D.tmp
c:\windows\.tm8C.tmp
c:\windows\.tm85.tmp
c:\windows\.tm81.tmp
c:\windows\.tm80.tmp
c:\windows\.tm196.tmp
c:\windows\.tm14C.tmp
c:\windows\.tm145.tmp
c:\windows\.tm13E.tmp
c:\windows\.tm137.tmp
c:\windows\.tm135.tmp
c:\windows\.tm12A.tmp
c:\windows\.tm123.tmp
c:\windows\.tm7F.tmp
c:\windows\.tm7E.tmp
c:\windows\.tm29E.tmp
c:\windows\.tm29D.tmp
c:\windows\.tm1F1.tmp
c:\windows\.tmEE.tmp
c:\windows\.tm7B.tmp
c:\windows\.tm74.tmp
c:\windows\.tm70.tmp
c:\windows\.tm6F.tmp
c:\windows\.tm7A.tmp
c:\windows\.tm6E.tmp
c:\windows\.tmDA.tmp
c:\windows\.tm79.tmp
c:\windows\.tm78.tmp
c:\windows\.tm77.tmp
c:\windows\.tm75.tmp
c:\windows\.tm7D.tmp
c:\windows\.tm6D.tmp
c:\windows\.tm6C.tmp
c:\windows\.tm6B.tmp
c:\windows\.tm69.tmp
c:\windows\.tm8A.tmp
c:\windows\.tm68.tmp
c:\windows\.tm1D8.tmp
c:\windows\.tmA8.tmp
c:\windows\.tm73.tmp
c:\windows\.tm72.tmp
c:\windows\.tm71.tmp
c:\windows\.tm6A.tmp
c:\windows\.tm63.tmp
c:\windows\.tm60.tmp

Driver::
mailKmd




Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:

Image


Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Puis refait un scan de MalwaresBytes
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 03 Mar 2010 15:52

Très heureuse d'avoir de tes nouvelles Bernard53 :D

Voilà, j'ai bien suivi tes instructions concernant la nouvelle analyse de Combo.

Ci-joint le rapport.

D'autre part, hier soir, j'ai décidé de changer d'anti virus.
D'après ce que j'ai pu lire un peu partout, Avast a bien du mal à voir arriver certains virus et, en particulier pour les Rootkit, il averti quand l'infection s'est déjà propagée.
J'ai donc décidé d'opter pour antivir...
Avast est donc bien désinstallé.
(Je précise que j'avais bien désactive antivir au moment du scan de combo)
J'ai donc effectué un scan avec antivir avant celui de combo et, il m'a détecté plusieurs infections pour lesquelles les fichiers ont été mis en quarantaine
Voici le rapport de ANTIVIR suivi de celui de COMBO.
Je vais ensuite refaire l'analyse avec MALWAREBYTES et te l'envoyer.
Merci encore à toi...

RAPPORT ANTIVIR:

Début de la recherche : mercredi 3 mars 2010 12:49

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BDVEDISK\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BDVEDISK\security
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Profos\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Profos\security
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Trufos\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Trufos\security
[INFO] L'entrée d'enregistrement n'est pas visible.
'50586' objets ont été contrôlés, '6' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'X10nets.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NkvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dragdiag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atiptaxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WButton.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OSD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HotkeyApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LaunchAp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CALMAIN.exe' - '1' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LogWatNT.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MsMpEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'50' processus ont été contrôlés avec '50' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '65' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <C>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Famille\Bureau\final ANYDVD+HD_reg_intall\final ANYDVD+HD_reg_intall.rar
[0] Type d'archive: RAR
--> final ANYDVD+HD_reg_intall\final_anyDVD reg-install.exe
[1] Type d'archive: RSRC
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\Documents and Settings\Famille\Bureau\final ANYDVD+HD_reg_intall\final_anyDVD reg-install.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\Documents and Settings\Famille\Bureau\Programmes SECURITE\Fichiers de programmes\zonealarm_zonealarm_firewall_gratuit_9.1_francais_10494.exe
[0] Type d'archive: ZIP SFX (self extracting)
--> SWITCHUNINST_33ZONE LABS.EXE
[1] Type d'archive: RSRC
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Type d'archive: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP374\A0076839.dll
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082066.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082067.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082068.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082069.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082168.dll
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
Recherche débutant dans 'D:\' <D >
Recherche débutant dans 'E:\' <RECOVER>
E:\Utilitaires\WinAmp 5.05 Pro\keygen.exe
[RESULTAT] Contient le cheval de Troie TR/StartPage.PVU
E:\Utilitaires\PaintShop V8.1 Fr\crack paint shop pro 8.10\pspcrk.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.24628.D

Début de la désinfection :
C:\Documents and Settings\Famille\Bureau\final ANYDVD+HD_reg_intall\final ANYDVD+HD_reg_intall.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfc5f01.qua' !
C:\Documents and Settings\Famille\Bureau\final ANYDVD+HD_reg_intall\final_anyDVD reg-install.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfc5f04.qua' !
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP374\A0076839.dll
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bbe5ed2.qua' !
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082066.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bbe5ed3.qua' !
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082067.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48266f2c.qua' !
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082068.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bbe5ed4.qua' !
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082069.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bbe5ed5.qua' !
C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP375\A0082168.dll
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ecf5f4e.qua' !
E:\Utilitaires\WinAmp 5.05 Pro\keygen.exe
[RESULTAT] Contient le cheval de Troie TR/StartPage.PVU
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c075f0c.qua' !
E:\Utilitaires\PaintShop V8.1 Fr\crack paint shop pro 8.10\pspcrk.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.24628.D
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfe5f1b.qua' !


Fin de la recherche : mercredi 3 mars 2010 14:05
Temps nécessaire: 1:03:51 Heure(s)

La recherche a été effectuée intégralement

8389 Les répertoires ont été contrôlés
339104 Des fichiers ont été contrôlés
10 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
10 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
339092 Fichiers non infectés
7917 Les archives ont été contrôlées
3 Avertissements
12 Consignes
50586 Des objets ont été contrôlés lors du Rootkitscan
6 Des objets cachés ont été trouvés


RAPPORT COMBO


Lancé depuis: c:\documents and settings\Famille\Bureau\Programmes SECURITE\Programmes\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Famille\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: BitDefender Antivirus *On-access scanning disabled* (Outdated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Pare-feu BitDefender *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

FILE ::
"c:\windows\.tm123.tmp"
"c:\windows\.tm12A.tmp"
"c:\windows\.tm135.tmp"
"c:\windows\.tm137.tmp"
"c:\windows\.tm13E.tmp"
"c:\windows\.tm145.tmp"
"c:\windows\.tm14C.tmp"
"c:\windows\.tm196.tmp"
"c:\windows\.tm1D8.tmp"
"c:\windows\.tm1F1.tmp"
"c:\windows\.tm29D.tmp"
"c:\windows\.tm29E.tmp"
"c:\windows\.tm60.tmp"
"c:\windows\.tm63.tmp"
"c:\windows\.tm68.tmp"
"c:\windows\.tm69.tmp"
"c:\windows\.tm6A.tmp"
"c:\windows\.tm6B.tmp"
"c:\windows\.tm6C.tmp"
"c:\windows\.tm6D.tmp"
"c:\windows\.tm6E.tmp"
"c:\windows\.tm6F.tmp"
"c:\windows\.tm70.tmp"
"c:\windows\.tm71.tmp"
"c:\windows\.tm72.tmp"
"c:\windows\.tm73.tmp"
"c:\windows\.tm74.tmp"
"c:\windows\.tm75.tmp"
"c:\windows\.tm77.tmp"
"c:\windows\.tm78.tmp"
"c:\windows\.tm79.tmp"
"c:\windows\.tm7A.tmp"
"c:\windows\.tm7B.tmp"
"c:\windows\.tm7D.tmp"
"c:\windows\.tm7E.tmp"
"c:\windows\.tm7F.tmp"
"c:\windows\.tm80.tmp"
"c:\windows\.tm81.tmp"
"c:\windows\.tm82.tmp"
"c:\windows\.tm84.tmp"
"c:\windows\.tm85.tmp"
"c:\windows\.tm86.tmp"
"c:\windows\.tm87.tmp"
"c:\windows\.tm8A.tmp"
"c:\windows\.tm8C.tmp"
"c:\windows\.tm8D.tmp"
"c:\windows\.tmA8.tmp"
"c:\windows\.tmDA.tmp"
"c:\windows\.tmE4.tmp"
"c:\windows\.tmED.tmp"
"c:\windows\.tmEE.tmp"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\.tm123.tmp
c:\windows\.tm12A.tmp
c:\windows\.tm135.tmp
c:\windows\.tm137.tmp
c:\windows\.tm13E.tmp
c:\windows\.tm145.tmp
c:\windows\.tm14C.tmp
c:\windows\.tm196.tmp
c:\windows\.tm1D8.tmp
c:\windows\.tm1F1.tmp
c:\windows\.tm29D.tmp
c:\windows\.tm29E.tmp
c:\windows\.tm60.tmp
c:\windows\.tm63.tmp
c:\windows\.tm68.tmp
c:\windows\.tm69.tmp
c:\windows\.tm6A.tmp
c:\windows\.tm6B.tmp
c:\windows\.tm6C.tmp
c:\windows\.tm6D.tmp
c:\windows\.tm6E.tmp
c:\windows\.tm6F.tmp
c:\windows\.tm70.tmp
c:\windows\.tm71.tmp
c:\windows\.tm72.tmp
c:\windows\.tm73.tmp
c:\windows\.tm74.tmp
c:\windows\.tm75.tmp
c:\windows\.tm77.tmp
c:\windows\.tm78.tmp
c:\windows\.tm79.tmp
c:\windows\.tm7A.tmp
c:\windows\.tm7B.tmp
c:\windows\.tm7D.tmp
c:\windows\.tm7E.tmp
c:\windows\.tm7F.tmp
c:\windows\.tm80.tmp
c:\windows\.tm81.tmp
c:\windows\.tm82.tmp
c:\windows\.tm84.tmp
c:\windows\.tm85.tmp
c:\windows\.tm86.tmp
c:\windows\.tm87.tmp
c:\windows\.tm8A.tmp
c:\windows\.tm8C.tmp
c:\windows\.tm8D.tmp
c:\windows\.tmA8.tmp
c:\windows\.tmDA.tmp
c:\windows\.tmE4.tmp
c:\windows\.tmED.tmp
c:\windows\.tmEE.tmp

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_mailKmd


((((((((((((((((((((((((((((( Fichiers créés du 2010-02-03 au 2010-03-03 ))))))))))))))))))))))))))))))))))))
.

2010-03-03 13:20 . 2010-03-03 13:20 -------- d-----w- c:\documents and settings\LocalService\Bureau
2010-03-03 13:15 . 2010-03-03 13:15 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2010-03-03 11:39 . 2010-03-03 11:39 -------- d-----w- c:\windows\Internet Logs
2010-03-03 00:40 . 2010-03-03 11:37 -------- d-----w- c:\documents and settings\Famille\Application Data\CheckPoint
2010-03-03 00:40 . 2010-03-03 11:38 -------- d-----w- c:\program files\CheckPoint
2010-03-03 00:40 . 2010-03-03 00:40 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-03-03 00:39 . 2009-12-04 15:35 46472 ----a-w- c:\windows\system32\vsutil_loc040c.dll
2010-03-02 23:37 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-03-02 23:37 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-03-02 23:37 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-03-02 23:37 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-03-02 23:37 . 2010-03-02 23:37 -------- d-----w- c:\program files\Avira
2010-03-02 23:37 . 2010-03-02 23:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-03-02 16:58 . 2010-03-02 16:58 -------- d-----w- c:\documents and settings\Famille\Application Data\Malwarebytes
2010-03-02 16:58 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-02 16:58 . 2010-03-02 16:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-02 16:58 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-02 16:58 . 2010-03-02 16:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-02 11:59 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-03-02 11:59 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-03-02 11:58 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-03-02 11:58 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-03-02 11:52 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-02 11:52 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-03-02 11:45 . 2010-03-02 11:45 -------- d-----w- c:\windows\Sun
2010-02-12 19:03 . 2010-02-12 19:03 -------- d-----w- c:\program files\GiveMeTac 1.1

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-03 14:07 . 2010-01-24 15:02 -------- d-----w- c:\documents and settings\Famille\Application Data\LimeWire
2010-03-01 09:26 . 2009-11-03 21:13 -------- d-----w- c:\program files\SlySoft
2010-02-28 14:39 . 2004-10-27 15:54 19110 ----a-w- c:\documents and settings\Famille\Application Data\wklnhst.dat
2010-02-24 08:16 . 2009-10-17 13:37 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-10 19:08 . 2010-02-10 19:08 0 ----a-w- c:\windows\.tm136.tmp
2010-02-10 17:26 . 2005-04-11 21:23 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2010-01-28 13:00 . 2009-10-23 12:31 -------- d-----w- c:\documents and settings\Famille\Application Data\Vso
2010-01-28 12:59 . 2009-10-23 12:31 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2010-01-28 12:59 . 2009-10-23 12:31 47360 ----a-w- c:\documents and settings\Famille\Application Data\pcouffin.sys
2010-01-28 12:59 . 2009-10-23 12:31 47360 ----a-w- c:\documents and settings\Famille\Application Data\pcouffin.sys
2010-01-28 12:59 . 2010-01-28 12:59 -------- d-----w- c:\program files\DVDFab 6
2010-01-24 15:01 . 2010-01-24 14:54 -------- d-----w- c:\program files\LimeWire
2010-01-24 14:56 . 2010-01-24 14:56 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-24 14:56 . 2010-01-24 14:56 -------- d-----w- c:\program files\Java
2010-01-24 14:55 . 2010-01-24 14:55 152576 ----a-w- c:\documents and settings\Famille\Application Data\Sun\Java\jre1.6.0_16\lzma.dll
2010-01-22 16:53 . 2004-08-19 21:58 92540 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-22 16:53 . 2004-08-19 21:58 529038 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-12 00:51 . 2009-09-08 18:18 -------- d-----w- c:\documents and settings\Famille\Application Data\uTorrent
2009-12-19 18:22 . 2009-12-19 18:22 104512 ----a-w- c:\windows\system32\drivers\AnyDVD.sys
2009-12-17 22:25 . 2009-12-17 22:25 26024 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys
2009-11-18 18:19 . 2009-11-18 18:13 2693555 ----a-w- c:\program files\btguard-1-00.exe
2005-04-09 13:17 . 2005-04-09 13:17 1573 ----a-w- c:\program files\qsetup.html
2006-08-03 22:22 . 2005-04-11 21:11 11270 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 65024]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2004-08-06 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2004-07-26 49152]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\program files\Launch Manager\OSD.exe" [2004-07-26 204800]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2004-08-06 73728]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2003-07-25 110592]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2003-07-25 618496]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-17 339968]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2004-09-09 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-11 282624]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-24 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

c:\documents and settings\Famille\Menu D‚marrer\Programmes\D‚marrage\
BTGuard Updates.lnk - c:\btguard\update_check.bat [2009-5-1 60]
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
NkvMon.exe.lnk - c:\program files\Nikon\NkView6\NkvMon.exe [2009-12-23 233472]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MUSICMATCH\\MUSICMATCH Jukebox\\mmjb.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Tiscali\\Tiscali Internet\\Tiscali Inet.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bluetooth\\BlueSoleil\\BlueSoleil.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\BTGUARD\\uTorrent.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [5/07/2006 13:46 63352]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [3/03/2010 0:37 108289]
R2 cpuz132;cpuz132;c:\windows\system32\drivers\cpuz132_x32.sys [23/11/2009 21:15 12672]
R2 LogWatch;Event Log Watch;c:\program files\CA\SharedComponents\CA_LIC\LogWatNT.exe [19/09/2002 22:29 53248]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3/11/2006 18:19 13592]
S2 BDVEDISK;BDVEDISK;\??\c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys --> c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [?]
S3 CA_LIC_CLNT;Client de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmt.exe [19/09/2002 22:27 77824]
S3 CA_LIC_SRVR;Serveur de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmtd.exe [19/09/2002 22:41 77824]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\5.tmp --> c:\windows\system32\5.tmp [?]
.
Contenu du dossier 'Tâches planifiées'

2010-03-03 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.skynet.be/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &eBay Search
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\o5iwgn3a.default\
FF - plugin: c:\utilitaires\RealPlayer8\Netscape6\nppl3260.dll
FF - plugin: c:\utilitaires\RealPlayer8\Netscape6\nprjplug.dll
FF - plugin: c:\utilitaires\RealPlayer8\Netscape6\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-ISW - c:\program files\CheckPoint\ZAForceField\ForceField.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-03 15:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\5.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2917347797-3027105718-829246846-1008\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(164)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\SearchIndexer.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Heure de fin: 2010-03-03 15:12:58 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-03 14:12
ComboFix2.txt 2010-03-02 20:10

Avant-CF: 2.319.773.696 octets libres
Après-CF: 2.200.428.544 octets libres

- - End Of File - - 9AA2964D4F3E70C56284DEC618D17F14
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 03 Mar 2010 18:15

opk très bien.

juste un petit reste.

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.


>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer. Image

Copie la liste qui se trouve en citation ci-dessous:


:Reg
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"=-
:Commands
[purity]
[emptytemp]

[Reboot]


et colle-la dans le cadre de gauche de OTM sous ceci:

Image

Clique sur Image pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.


ensuite refait un passage avec MalwareBytes en scan complet.

Pour les détections d'Antivir elles sont dans la restauration et on va s'en occupé après ces dernières manips.

Bien sur dis moi si tout va bien de ton coté.

**Par contre je constate que tu as installé antivir à coté de Bitdefender.

Il ne faut pas avoir deux anti virus sur le même pc, cela va te causer des soucis a un moment ou autre.
Garde un seul s.t.p
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 03 Mar 2010 18:30

Voilà, Malwarebytes a terminé son scan et semble n'avoir rien trouvé...

Par contre, pendant le travail de MALWAREBYTES, ANTIVIR a ouvert, à trois reprises, une fenêtre pour me signaler la présence de chevaux de Troie :

Dans le fichier 'E:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP376\A0082573.exe'
un virus ou un programme indésirable 'TR/Agent.24628.D' [trojan] a été détecté.
Action exécutée : Supprimer le fichier


Dans le fichier 'E:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP376\A0082572.exe'
un virus ou un programme indésirable 'TR/StartPage.PVU' [trojan] a été détecté.
Action exécutée : Supprimer le fichier


Dans le fichier 'C:\System Volume Information\_restore{D5A39691-C46A-4320-AADD-AD834906DBEB}\RP376\A0082571.exe'
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
Action exécutée : Supprimer le fichier


Pour ce qui est du comportement de la machine, ça va déjà beaucoup mieux.
Pour l'instant, je n'observe plus de problème mais d'après ANTIVIR, ce ne serait que partie remise...
Il y aurait de sales petites bêtes qui s'accrochent :evil:
Qu'en penses tu ?
En tout cas, je te remercie de ta patience :wink:

A titre d'information le rapport de MALWAREBYTES:

3/03/2010 17:57:19
mbam-log-2010-03-03 (17-57-19).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 189722
Temps écoulé: 1 hour(s), 50 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Re: ATTAQUE DE VIRUS: Rootkit-gen: Au secours !!!

Message le 03 Mar 2010 19:01

En fait, nos deux derniers messages se sont télescopés : je n'ai pas vu que tu m' en avais envoyé un avant de t'envoyer le mien.. :-?

Enfin, bon, j'ai maintenant effectué le passage de OTM. Je t'envoie le rapport.

D'autre part, Bit defender, c'est le pare feu uniquement et Antivir, l'anti virus...

Alors, qu'est ce que tu penses des dernières alarmes de Antivir au sujet des chevaux de Troie ? :roll:

Concernant le comportement du portable, j'ai quand même remarqué qu'il mettait plus de temps à s'allumer et la musique de Windows est décalée dans le temps par rapport à 'apparition de l'écran d'ouverture de Windows. Elle arrive 15 secondes après l'image, c'est assez spécial... :lol:

Voili voilà....

[color=#0000BF]All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2\\ImagePath deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 300 bytes

User: Famille
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1425542 bytes
->Java cache emptied: 12118713 bytes
->FireFox cache emptied: 55643034 bytes
->Flash cache emptied: 72579 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes

User: NetworkService
->Temp folder emptied: 904 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 167184 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 816 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 190582 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 66,00 mb


OTM by OldTimer - Version 3.1.10.0 log created on 03032010_183435

Files moved on Reboot...

Registry entries deleted on Reboot...
[/color]
pcscope
Sous Expert(e)
Sous Expert(e)
 
Messages: 71
Inscription: 02 Mar 2010 16:01
 

Suivante


Sujets similaires

Message [Réglé] choix anti virus
bonjour a tous, je viens de changer mon pc et j'aimerai vos avis sur le choix de l anti virus.
Réponses: 8

Message HELP je pense avoir un virus
Bonsoir,Première fois que ce genre de chose m'arrive, j'ai d'abord été hackée sur Instagram, pensant que ca s'arrêterait làEnsuite ca a été au tour de STEAM malgré le steam guard ( identification à 2 facteurs) puis Linkedin !! Je n'ai eu aucune alerte de connexion, que ce soit par sms ou email !! J' ...
Réponses: 12

Message Aide suite à une analyse FRST contre un virus vbc.exe
Bonjour tout le monde, J'ai récemment constaté que j'étais infecté par un virus lié à vbc.exe, ce qui entraîne une utilisation du CPU allant jusqu'à 30% voire 40%. J'ai donc effectué mes analyses FRST et voici les rapports obtenus : - FRST.txt: https://pjjoint.malekal.com/files.php?id=FRST_20240315_ ...
Réponses: 3

Message [Réglé] Petite vérification virus
Salut Heravles ,Merci et bonne année a toi également et aussi a toute ta famille.Oui désolé j'ai pas fais attention quand j'ai téléchargé le logiciel alors que je sais très bien qu'il fallait le faire sur le bureau. Je ferais plus attention la prochaine fois.Nickel si mon Pc et pas infecté.Je t'envo ...
Réponses: 5

Message 22h2 bogues tpm et centre de sécurité: virus?
Salut,J'ai refait iso et formaté override le disque. Un reset électrique du PC.Je suis sur W11 PRO 64 v22621.525 (même bogue sur la première iso 22h2 fournie par Microsoft en 22621.382).WU est désactivé avant connexion a internet via gpedit.msc.J'ai installé à neuf en compte local. J'installe sans i ...
Réponses: 17

Message anti virus gratuit
Bonjour,Avez-vous un anti virus nettoyeur gratuit en français a me conseiller pour mon j3 2016 samsung.Cordialement.
Réponses: 3

Message Des VIRUS (encore ?)
Bonjour Bernard,merci pour ton aide, j'ai donc supprimé les logiciels adobe que j'avais cracké,voici les nouvelles analyses:Addition : https://cjoint.com/c/LKduLSQQmLnFRST : https://cjoint.com/c/LKduNhgM1vnShortcut : https://cjoint.com/c/LKduNycdWwnCordialement
Réponses: 7


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.