papatango

bonjour apollo, je ne comprend pas ta réponse, car je n'ai personne depuis hier. je ne mobilise pas deux personnes. J'ai suivi la manipulation sur ZHPFix et mon écran est devenu tout bleu avec des message d'erreur puis il a redémarré. Qui peut m'aider !!!!!!!! papatango

que dois-je faire à présent ? je n'ai pas bien saisi la réponse de ticlou a+

bonjour bleuet ci-joint le rapport demandé :http://www.cijoint.fr/cjlink.php?file=cj201103/cijWhffdcr.txt à plus papatango

Bonjour à tous, mon ordi est de plus en plus lent. je suis sous vista avec une config qui a deux an seulement. explorer ou firefox idem l'anti virus en ligne Bit défendeur refuse démarrer avec explorer. merci pour votr aide papatango

Bonjour Apollo, Je n'ai pas trouvé la solution tout seul, mais peu importe les moyens, seul le résultat compte. je tenais à te renouveller mes remerciements pour ta disponibilité, malgré tout. Combofix n'a pas fonctionné et tu n'y peux rien, mais Avenger a été efficace, c'est certain. Bon courage et bon WE papatango

Apollo, les dernières vérif avec antivir et Mbam sont bonnes. plus aucun fichier infecté. c'est cool !!! merci de m'indiquer la procédure pour désinstaller proprement 123DW, OTM et TDSSKILLER, que n ous avons installés ensemble. Bon courage et merci encore pour tout. papatango

Apollo, tout d'abord merci pour ton aide, même si le résultat n'est pas au RdV. J'ai pris l'initiative d'une ultime tentative, voir résultat ci-dessous et ton avis A+ papatango Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "wopaoo" deleted successfully. File "C:\Windows\System32\drivers\wopaoo.sys" deleted successfully. Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate.

Ci-joint rapport OTM papatango All processes killed Error: Unable to interpret <Go> in the current context! ========== FILES ========== File move failed. C:\Windows\System32\drivers\wopaoo.sys scheduled to be moved on reboot. ========== SERVICES/DRIVERS ========== Error: No service named wopaoo was found to stop! Service\Driver key wopaoo not found. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\System\ControlSet001\Services\\wopaoo not found. ========== COMMANDS ========== [EMPTYTEMP] User: ACMF ->Temp folder emptied: 65884 bytes ->Temporary Internet Files folder emptied: 103870403 bytes ->Java cache emptied: 8467559 bytes ->FireFox cache emptied: 49821339 bytes ->Flash cache emptied: 8836 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 675840 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1145535 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33664 bytes RecycleBin emptied: 135704774 bytes Total Files Cleaned = 286,00 mb OTM by OldTimer - Version 3.1.10.1 log created on 03192010_101618 Files moved on Reboot... File C:\Windows\System32\drivers\wopaoo.sys not found! C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YH8J2SMC\adsCAJDIUGM.htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YH8J2SMC\ban_728x90[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YH8J2SMC\imgCAV4BC6O.htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YH8J2SMC\v=4;m=3;l=6699;c=71137;b=748660;ts=20100319091144;p=ui=zuZTh-cNViFMBB;tr=Y9vBScigT-D;tm=0-0[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MEJHYMM1\hp[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MEJHYMM1\imgCAK2G60F.htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\iframe[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\imgCASN1OK6.htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\imgCAXALR4W.htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\index[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\rectangle_300x250[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\v=4;m=3;l=6701;c=65838;b=753186;ts=20100319091147;p=ui=zuZTh-cNViFMBB;tr=ZFChuLHYQrA;tm=0-0[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83AK6SIW\adsCA1P3H8W.htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83AK6SIW\infection-trojan-tr-rootkitgen-t174758[5].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83AK6SIW\povh[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83AK6SIW\v=4;m=3;l=6701;c=65838;b=753186;ts=20100319091410;p=ui=zuZTh-cNViFMBB;tr=e5B1FDiRZCE;tm=0-0[1].htm moved successfully. C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully. C:\Windows\temp\JETD4BB.tmp moved successfully. Registry entries deleted on Reboot...

Entre temps le dernier rapport Mbam papatango Malwarebytes' Anti-Malware 1.44 Version de la base de données: 3876 Windows 6.0.6000 Internet Explorer 8.0.6001.18882 19/03/2010 10:08:21 mbam-log-2010-03-19 (10-08-21).txt Type de recherche: Examen complet (C:\|) Eléments examinés: 208262 Temps écoulé: 46 minute(s), 36 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 2 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\Windows\System32\drivers\95577322.sys (Rootkit.Agent.H) -> Quarantined and deleted successfully. C:\Windows\System32\drivers\wopaoo.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

je viens d'effectuer un controle avec Antivir, lançé avant ton message. il ne trouve plus qu'un fichier infecté, contrairement à hier soir, mais rien n'est règlé souhaites-tu également que je lance Mbam A+ Avira AntiVir Personal Date de création du fichier de rapport : vendredi 19 mars 2010 08:34 La recherche porte sur 1866010 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (plain) [6.0.6000] Mode Boot : Démarré normalement Identifiant : ACMF Nom de l'ordinateur : PC-DE-ACMF Informations de version : BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 11/12/2009 12:47:43 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:47:40 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:47:40 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:49:43 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:52:54 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:23:42 VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 13:23:42 VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 13:23:42 VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 13:23:43 VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 13:23:44 VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 13:23:44 VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 13:23:44 VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 13:23:44 VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 13:23:44 VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 08:51:57 VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 08:52:01 VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 08:52:41 VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 07:19:32 VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 20:29:41 VBASE018.VDF : 7.10.5.92 2048 Bytes 15/03/2010 20:29:41 VBASE019.VDF : 7.10.5.93 2048 Bytes 15/03/2010 20:29:41 VBASE020.VDF : 7.10.5.94 2048 Bytes 15/03/2010 20:29:41 VBASE021.VDF : 7.10.5.95 2048 Bytes 15/03/2010 20:29:42 VBASE022.VDF : 7.10.5.96 2048 Bytes 15/03/2010 20:29:42 VBASE023.VDF : 7.10.5.97 2048 Bytes 15/03/2010 20:29:42 VBASE024.VDF : 7.10.5.98 2048 Bytes 15/03/2010 20:29:42 VBASE025.VDF : 7.10.5.99 2048 Bytes 15/03/2010 20:29:42 VBASE026.VDF : 7.10.5.100 2048 Bytes 15/03/2010 20:29:42 VBASE027.VDF : 7.10.5.101 2048 Bytes 15/03/2010 20:29:42 VBASE028.VDF : 7.10.5.102 2048 Bytes 15/03/2010 20:29:42 VBASE029.VDF : 7.10.5.103 2048 Bytes 15/03/2010 20:29:42 VBASE030.VDF : 7.10.5.104 2048 Bytes 15/03/2010 20:29:43 VBASE031.VDF : 7.10.5.116 109056 Bytes 17/03/2010 20:29:44 Version du moteur : 8.2.1.194 AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 13:31:35 AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17/03/2010 20:31:04 AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 09:02:54 AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 20:31:06 AERDL.DLL : 8.1.4.3 541043 Bytes 17/03/2010 20:30:55 AEPACK.DLL : 8.2.1.0 426356 Bytes 04/03/2010 13:18:17 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 20:30:51 AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17/03/2010 20:30:48 AEHELP.DLL : 8.1.10.2 237941 Bytes 17/03/2010 20:30:04 AEGEN.DLL : 8.1.2.2 373107 Bytes 17/03/2010 20:29:57 AEEMU.DLL : 8.1.1.0 393587 Bytes 11/12/2009 12:47:41 AECORE.DLL : 8.1.12.3 188789 Bytes 17/03/2010 20:29:49 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 11/12/2009 12:47:43 AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:53:36 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11/12/2009 12:47:39 RCTEXT.DLL : 9.0.73.0 88321 Bytes 11/12/2009 12:47:39 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : vendredi 19 mars 2010 08:34 La recherche d'objets cachés commence. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\type [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\start [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\errorcontrol [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\group [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\pi7qtf4p [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\i5ii1u4r4 [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\bh8lgaj [iNFO] L'entrée d'enregistrement n'est pas visible. '89273' objets ont été contrôlés, '7' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés Processus de recherche 'WMIADAP.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'mobsync.exe' - '1' module(s) sont contrôlés Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxMediaDB9.exe' - '1' module(s) sont contrôlés Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés Processus de recherche 'RaUI.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'Vaderetro_mgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxWatchTray9.exe' - '1' module(s) sont contrôlés Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '53' processus ont été contrôlés avec '53' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '44' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' <HDD> C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Windows\System32\drivers\wopaoo.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Début de la désinfection : C:\Windows\System32\drivers\wopaoo.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004 [AVERTISSEMENT] Impossible de trouver le fichier source. [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [AVERTISSEMENT] Erreur dans la bibliothèque ARK [AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement. Fin de la recherche : vendredi 19 mars 2010 09:13 Temps nécessaire: 38:18 Minute(s) La recherche a été effectuée intégralement 13955 Les répertoires ont été contrôlés 283236 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 3 Impossible de contrôler des fichiers 283232 Fichiers non infectés 1277 Les archives ont été contrôlées 3 Avertissements 3 Consignes 89273 Des objets ont été contrôlés lors du Rootkitscan 7 Des objets cachés ont été trouvés

bonjour Apollo, la machine a tournée toute la nuit 8h de travail Ce matin j'étais de retour à la page de lancement de AVP. aucune fenetre demandant le nettoyage. en bas j'ai cliqué sur un onglet report pour connaitre le résultat et deux lignes se sont affichées concernant 2 fichiers infectés. Aucune invite à nettoyer ou à sauvegarder le rapport. J'ai l'impression de n'avoir pas la même version que toi. j'ai pourtant télécharger à partir du lien qui indiquait la dernière version. En revanche je n'ai pas saisi le clic sur le logo et les dates!!! A te lire papatango

désinstall combofix ok. désolé mais la commande "exécuter" n'apparait pas sous vista, mais Win+R parfait installation de CFScript sur panpan ok plantage du systeme une minute après le démarrage de combofix. page bleue et redémarrage. A+

je n'ai pas la commande exécuter, mais avec "rechercher" je trouve le fichier. lorsque je clique dessus, j'ai un message windows ne trouve pas "panpan.exe

Les choses ne s'arrange pas, elles s'aggravent d'un objet infecté au départ, nous voilà avec deux objets infectés maintenant. la bestiole est véritablement indéfectible. bonne lecture Apollo a+ papatango Avira AntiVir Personal Date de création du fichier de rapport : jeudi 18 mars 2010 19:29 La recherche porte sur 1866010 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (plain) [6.0.6000] Mode Boot : Démarré normalement Identifiant : ACMF Nom de l'ordinateur : PC-DE-ACMF Informations de version : BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 11/12/2009 12:47:43 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:47:40 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:47:40 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:49:43 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:52:54 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:23:42 VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 13:23:42 VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 13:23:42 VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 13:23:43 VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 13:23:44 VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 13:23:44 VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 13:23:44 VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 13:23:44 VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 13:23:44 VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 08:51:57 VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 08:52:01 VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 08:52:41 VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 07:19:32 VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 20:29:41 VBASE018.VDF : 7.10.5.92 2048 Bytes 15/03/2010 20:29:41 VBASE019.VDF : 7.10.5.93 2048 Bytes 15/03/2010 20:29:41 VBASE020.VDF : 7.10.5.94 2048 Bytes 15/03/2010 20:29:41 VBASE021.VDF : 7.10.5.95 2048 Bytes 15/03/2010 20:29:42 VBASE022.VDF : 7.10.5.96 2048 Bytes 15/03/2010 20:29:42 VBASE023.VDF : 7.10.5.97 2048 Bytes 15/03/2010 20:29:42 VBASE024.VDF : 7.10.5.98 2048 Bytes 15/03/2010 20:29:42 VBASE025.VDF : 7.10.5.99 2048 Bytes 15/03/2010 20:29:42 VBASE026.VDF : 7.10.5.100 2048 Bytes 15/03/2010 20:29:42 VBASE027.VDF : 7.10.5.101 2048 Bytes 15/03/2010 20:29:42 VBASE028.VDF : 7.10.5.102 2048 Bytes 15/03/2010 20:29:42 VBASE029.VDF : 7.10.5.103 2048 Bytes 15/03/2010 20:29:42 VBASE030.VDF : 7.10.5.104 2048 Bytes 15/03/2010 20:29:43 VBASE031.VDF : 7.10.5.116 109056 Bytes 17/03/2010 20:29:44 Version du moteur : 8.2.1.194 AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 13:31:35 AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17/03/2010 20:31:04 AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 09:02:54 AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 20:31:06 AERDL.DLL : 8.1.4.3 541043 Bytes 17/03/2010 20:30:55 AEPACK.DLL : 8.2.1.0 426356 Bytes 04/03/2010 13:18:17 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 20:30:51 AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17/03/2010 20:30:48 AEHELP.DLL : 8.1.10.2 237941 Bytes 17/03/2010 20:30:04 AEGEN.DLL : 8.1.2.2 373107 Bytes 17/03/2010 20:29:57 AEEMU.DLL : 8.1.1.0 393587 Bytes 11/12/2009 12:47:41 AECORE.DLL : 8.1.12.3 188789 Bytes 17/03/2010 20:29:49 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 11/12/2009 12:47:43 AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:53:36 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11/12/2009 12:47:39 RCTEXT.DLL : 9.0.73.0 88321 Bytes 11/12/2009 12:47:39 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : jeudi 18 mars 2010 19:29 La recherche d'objets cachés commence. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\type [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\start [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\errorcontrol [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\group [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\pi7qtf4p [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\i5ii1u4r4 [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\bh8lgaj [iNFO] L'entrée d'enregistrement n'est pas visible. '89103' objets ont été contrôlés, '7' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxMediaDB9.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés Processus de recherche 'RaUI.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'Vaderetro_mgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxWatchTray9.exe' - '1' module(s) sont contrôlés Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '47' processus ont été contrôlés avec '47' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '43' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' <HDD> C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\Windows\System32\drivers\wopaoo.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Début de la désinfection : C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004 [AVERTISSEMENT] Impossible de trouver le fichier source. [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [AVERTISSEMENT] Erreur dans la bibliothèque ARK [REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage. C:\Windows\System32\drivers\wopaoo.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004 [AVERTISSEMENT] Impossible de trouver le fichier source. [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [AVERTISSEMENT] Erreur dans la bibliothèque ARK [AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement. Fin de la recherche : jeudi 18 mars 2010 20:51 Temps nécessaire: 49:05 Minute(s) La recherche a été effectuée intégralement 13968 Les répertoires ont été contrôlés 284603 Des fichiers ont été contrôlés 2 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 3 Impossible de contrôler des fichiers 284598 Fichiers non infectés 1286 Les archives ont été contrôlées 4 Avertissements 4 Consignes 89103 Des objets ont été contrôlés lors du Rootkitscan 7 Des objets cachés ont été trouvés

Déception après 4 heures de travail, analyse drweb terminée, impossibilite de générer le rapport. Lorsque j'ai demandé l'enregistrement du rapport le système s'est mis mis à ramer L'UC était 100% et le processeur saturé. Après 1/2 heure j'ai dû me résoudre à relancer la machine. L'analyse avait trouvée 1O élémens infectés 8 ont été placés en quarantaine directement et 2 ont été supprimés Désolé pour le rapport papatango

Drweb travaille et il semble trouver plusieurs infections sur le programme antivir rapport dans 2 à 3 h seulement. a+ papatango

je n'ai pas trouver de fichier bug.txt sur le disque dur. par ailleurs j'ai lancé antivir enmode sans echec et il ne trouve pas Rootkit alors en mode normal il le détecte. je continue la manip a+

Voilà une fonction que j'ignorais. bonne lecture a+ GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-03-18 13:27:57 Windows 6.0.6000 Running: gmer.exe; Driver: C:\Users\ACMF\AppData\Local\Temp\uglorpob.sys ---- Kernel code sections - GMER 1.0.15 ---- .pak2 C:\Windows\System32\Drivers\wopaoo.sys entry point in ".pak2" section [0x8079C13D] ? C:\Windows\System32\Drivers\wopaoo.sys Un périphérique attaché au système ne fonctionne pas correctement. ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!DialogBoxIndirectParamW 760014EA 5 Bytes JMP 712B43F7 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!CreateWindowExW 760085F8 5 Bytes JMP 711BD9BC C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!MessageBoxExA 7601570D 5 Bytes JMP 712B425C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!DialogBoxParamA 760165BF 5 Bytes JMP 712B4394 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!MessageBoxIndirectW 7601F1B3 5 Bytes JMP 712B42BE C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!DialogBoxParamW 7602129F 5 Bytes JMP 710E5689 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!DialogBoxIndirectParamA 760429C9 5 Bytes JMP 712B445A C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!MessageBoxIndirectA 7604FACF 5 Bytes JMP 712B4329 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!MessageBoxExW 7604FBC9 5 Bytes JMP 712B41FA C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!UnhookWindowsHookEx 75FF7CE7 5 Bytes JMP 7112486E C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!CallNextHookEx 75FF8A6E 5 Bytes JMP 711AD171 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!SetWindowsHookExW 75FF913D 5 Bytes JMP 711B9B29 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!DialogBoxIndirectParamW 760014EA 5 Bytes JMP 712B43F7 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!CreateWindowExW 760085F8 5 Bytes JMP 711BD9BC C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!MessageBoxExA 7601570D 5 Bytes JMP 712B425C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!DialogBoxParamA 760165BF 5 Bytes JMP 712B4394 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!MessageBoxIndirectW 7601F1B3 5 Bytes JMP 712B42BE C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!DialogBoxParamW 7602129F 5 Bytes JMP 710E5689 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!DialogBoxIndirectParamA 760429C9 5 Bytes JMP 712B445A C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!MessageBoxIndirectA 7604FACF 5 Bytes JMP 712B4329 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!MessageBoxExW 7604FBC9 5 Bytes JMP 712B41FA C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] ole32.dll!OleLoadFromStream 758D08B2 5 Bytes JMP 712B4778 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Program Files\Internet Explorer\iexplore.exe[1908] ole32.dll!CoCreateInstance 7591DD8F 5 Bytes JMP 711BDA18 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [742DFBC8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [742AB9AA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7429A31F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [7429CBFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [74298AB2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [742ACF28] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [74297D98] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74297CFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74296A64] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [7432C1D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [742B7F56] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [742990CD] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [742A2179] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [742A21A4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [742A7F1C] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [742A7D3E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [742D83D5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8490F070 ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [bOOT] wopaoo <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\wopaoo@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\wopaoo@Start 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\wopaoo@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\wopaoo@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet002\Services\wopaoo@Type 1 Reg HKLM\SYSTEM\ControlSet002\Services\wopaoo@Start 0 Reg HKLM\SYSTEM\ControlSet002\Services\wopaoo@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\wopaoo@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet003\Services\wopaoo@Type 1 Reg HKLM\SYSTEM\ControlSet003\Services\wopaoo@Start 0 Reg HKLM\SYSTEM\ControlSet003\Services\wopaoo@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\wopaoo@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet004\Services\wopaoo@Type 1 Reg HKLM\SYSTEM\ControlSet004\Services\wopaoo@Start 0 Reg HKLM\SYSTEM\ControlSet004\Services\wopaoo@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet004\Services\wopaoo@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet005\Services\wopaoo@Type 1 Reg HKLM\SYSTEM\ControlSet005\Services\wopaoo@Start 0 Reg HKLM\SYSTEM\ControlSet005\Services\wopaoo@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet005\Services\wopaoo@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet006\Services\wopaoo@Type 1 Reg HKLM\SYSTEM\ControlSet006\Services\wopaoo@Start 0 Reg HKLM\SYSTEM\ControlSet006\Services\wopaoo@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet006\Services\wopaoo@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet007\Services\wopaoo@Type 1 Reg HKLM\SYSTEM\ControlSet007\Services\wopaoo@Start 0 Reg HKLM\SYSTEM\ControlSet007\Services\wopaoo@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet007\Services\wopaoo@Group Boot Bus Extender ---- EOF - GMER 1.0.15 ----

j'ai le rapporrt Gmer à l'écran, mais je ne parviens pas à faire un copier/coller le fonction copy ne me dit pas ou il est copié à l'aide papatango

voilà que j'en douterais moi-même !!!! ci-dessous le rapport Usbfix à propos de ma machine. AMD Athlon™ 64 Processor 3800+ Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) # Internet Explorer 7.0.6000.16945 Windows Firewall Status : Enabled AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ] je procède au contrôle avec Gmer papatango

Incident lors de l'émission du rapport combofix, l'ordi s'est arrêté avec page bleue et erreur systeme. Au redémarrage, aucun rapport de combofix dans c:/ ci-dessous le détail de cet arrêt non planifié décrit par windows papatango Signature du problème : Nom d’événement de problème: BlueScreen Version du système: 6.0.6000.2.0.0.256.6 Identificateur de paramètres régionaux: 1036 Informations supplémentaires sur le problème : BCCode: 50 BCP1: 93480000 BCP2: 00000000 BCP3: 85DB408D BCP4: 00000000 OS Version: 6_0_6000 Service Pack: 0_0 Product: 256_1 Fichiers aidant à décrire le problème : C:\Windows\Minidump\Mini031810-01.dmp C:\Users\ACMF\AppData\Local\Temp\WER-253907-0.sysdata.xml C:\Users\ACMF\AppData\Local\Temp\WERF92C.tmp.version.txt Lire notre déclaration de confidentialité : http://go.microsoft.com/fwlink/?linkid=501...mp;clcid=0x040c

Bonjour Apollo, La bestiole est plus que résistante et surtout elle déjoue nos actions. Rootkit est toujours là et impossible de déplacer le fichier en quarantaine. seule action possible la suppression : réponse impossible de repérer le fichier pour sa suppression désolant papatango Avira AntiVir Personal Date de création du fichier de rapport : jeudi 18 mars 2010 08:43 La recherche porte sur 1866010 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (plain) [6.0.6000] Mode Boot : Démarré normalement Identifiant : ACMF Nom de l'ordinateur : PC-DE-ACMF Informations de version : BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 11/12/2009 12:47:43 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:47:40 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:47:40 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:49:43 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:52:54 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:23:42 VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 13:23:42 VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 13:23:42 VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 13:23:43 VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 13:23:44 VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 13:23:44 VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 13:23:44 VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 13:23:44 VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 13:23:44 VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 08:51:57 VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 08:52:01 VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 08:52:41 VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 07:19:32 VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 20:29:41 VBASE018.VDF : 7.10.5.92 2048 Bytes 15/03/2010 20:29:41 VBASE019.VDF : 7.10.5.93 2048 Bytes 15/03/2010 20:29:41 VBASE020.VDF : 7.10.5.94 2048 Bytes 15/03/2010 20:29:41 VBASE021.VDF : 7.10.5.95 2048 Bytes 15/03/2010 20:29:42 VBASE022.VDF : 7.10.5.96 2048 Bytes 15/03/2010 20:29:42 VBASE023.VDF : 7.10.5.97 2048 Bytes 15/03/2010 20:29:42 VBASE024.VDF : 7.10.5.98 2048 Bytes 15/03/2010 20:29:42 VBASE025.VDF : 7.10.5.99 2048 Bytes 15/03/2010 20:29:42 VBASE026.VDF : 7.10.5.100 2048 Bytes 15/03/2010 20:29:42 VBASE027.VDF : 7.10.5.101 2048 Bytes 15/03/2010 20:29:42 VBASE028.VDF : 7.10.5.102 2048 Bytes 15/03/2010 20:29:42 VBASE029.VDF : 7.10.5.103 2048 Bytes 15/03/2010 20:29:42 VBASE030.VDF : 7.10.5.104 2048 Bytes 15/03/2010 20:29:43 VBASE031.VDF : 7.10.5.116 109056 Bytes 17/03/2010 20:29:44 Version du moteur : 8.2.1.194 AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 13:31:35 AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17/03/2010 20:31:04 AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 09:02:54 AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 20:31:06 AERDL.DLL : 8.1.4.3 541043 Bytes 17/03/2010 20:30:55 AEPACK.DLL : 8.2.1.0 426356 Bytes 04/03/2010 13:18:17 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 20:30:51 AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17/03/2010 20:30:48 AEHELP.DLL : 8.1.10.2 237941 Bytes 17/03/2010 20:30:04 AEGEN.DLL : 8.1.2.2 373107 Bytes 17/03/2010 20:29:57 AEEMU.DLL : 8.1.1.0 393587 Bytes 11/12/2009 12:47:41 AECORE.DLL : 8.1.12.3 188789 Bytes 17/03/2010 20:29:49 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 11/12/2009 12:47:43 AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:53:36 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11/12/2009 12:47:39 RCTEXT.DLL : 9.0.73.0 88321 Bytes 11/12/2009 12:47:39 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : jeudi 18 mars 2010 08:43 La recherche d'objets cachés commence. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\type [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\start [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\errorcontrol [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\group [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\pi7qtf4p [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\i5ii1u4r4 [iNFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\bh8lgaj [iNFO] L'entrée d'enregistrement n'est pas visible. '84366' objets ont été contrôlés, '7' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxMediaDB9.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés Processus de recherche 'RaUI.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'Vaderetro_mgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxWatchTray9.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '51' processus ont été contrôlés avec '51' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '43' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' <HDD> C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Windows\System32\drivers\wopaoo.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Début de la désinfection : C:\Windows\System32\drivers\wopaoo.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004 [AVERTISSEMENT] Impossible de trouver le fichier source. [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [AVERTISSEMENT] Erreur dans la bibliothèque ARK [AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement. Fin de la recherche : jeudi 18 mars 2010 09:53 Temps nécessaire: 1:06:59 Heure(s) La recherche a été effectuée intégralement 13543 Les répertoires ont été contrôlés 275035 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 3 Impossible de contrôler des fichiers 275031 Fichiers non infectés 1257 Les archives ont été contrôlées 3 Avertissements 3 Consignes 84366 Des objets ont été contrôlés lors du Rootkitscan 7 Des objets cachés ont été trouvés

déroulement impec, rapport de nettoyage ci-dessous a+ ############################## | UsbFix V6.099 | User : ACMF (Administrateurs) # PC-DE-ACMF Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8 Start at: 20:50:46 | 17/03/2010 Website : http://pagesperso-orange.fr/NosTools/index.html Contact : FindyKill.Contact@gmail.com AMD Athlon 64 Processor 3800+ Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) # Internet Explorer 7.0.6000.16945 Windows Firewall Status : Enabled AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ] A:\ -> Lecteur de disquettes 3 ½ pouces C:\ -> Disque fixe local # 141,04 Go (120,67 Go free) [HDD] # NTFS D:\ -> Disque CD-ROM E:\ -> Disque amovible # 1,92 Go (1,82 Go free) # FAT ################## | Elements infectieux | Supprimé ! C:\$Recycle.Bin\S-1-5-21-2071845501-249732227-939305529-1005 Supprimé ! C:\$Recycle.Bin\S-1-5-21-574748197-3223430953-2639506810-500 Supprimé ! C:\$Recycle.Bin\S-1-5-21-918056312-2952985149-2686913973-500 ################## | Registre | Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig" ################## | Mountpoints2 | Supprimé ! HKCU\...\Explorer\MountPoints2\{57ae6e35-119a-11df-bc7d-000a789e0478}\Shell\AutoRun\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{57ae6e3b-119a-11df-bc7d-000a789e0478}\Shell\AutoRun\Command ################## | Listing des fichiers présent | [18/09/2006 22:43|--a------|24] C:\autoexec.bat [02/11/2006 10:53|-rahs----|438840] C:\bootmgr [21/03/2007 19:53|-ra-s----|8192] C:\BOOTSECT.BAK [18/01/2010 10:24|--a------|875] C:\cleannavi.txt [18/09/2006 22:43|--a------|10] C:\config.sys [?|?|?] C:\hiberfil.sys [?|?|?] C:\pagefile.sys [17/03/2010 14:54|--a------|416] C:\rkill.log [18/01/2010 10:04|--a------|19406] C:\TDSSKiller.2.2.2_18.01.2010_10.04.29_log.txt [18/01/2010 10:27|--a------|19402] C:\TDSSKiller.2.2.2_18.01.2010_10.27.26_log.txt [17/03/2010 20:55|--a------|1912] C:\UsbFix.txt [06/02/2010 13:45|--a------|442669] E:\plan la motte.jpg [01/01/2001 00:00|--a------|665345] E:\002.JPG [18/02/2010 18:42|--a------|5257276] E:\la mottte extension4.sh3d [01/01/2001 00:00|--a------|638953] E:\003.JPG [01/01/2001 00:00|--a------|634633] E:\004.JPG [01/01/2001 00:00|--a------|736781] E:\005.JPG [01/01/2001 00:00|--a------|753741] E:\006.JPG [01/01/2001 00:00|--a------|689778] E:\007.JPG [01/01/2001 00:00|--a------|690273] E:\008.JPG [01/01/2001 00:00|--a------|601587] E:\009.JPG [01/01/2001 00:00|--a------|704235] E:\010.JPG [01/01/2001 00:00|--a------|575569] E:\011.JPG [01/01/2001 00:00|--a------|603649] E:\012.JPG [01/01/2001 00:00|--a------|630385] E:\013.JPG [01/01/2001 00:00|--a------|746201] E:\014.JPG [01/01/2001 00:00|--a------|608732] E:\015.JPG [01/01/2001 00:00|--a------|582421] E:\016.JPG [01/01/2001 00:00|--a------|563942] E:\017.JPG [01/01/2001 00:00|--a------|677015] E:\018.JPG [01/01/2001 00:00|--a------|644393] E:\019.JPG [01/01/2001 00:00|--a------|641122] E:\020.JPG [01/01/2001 00:00|--a------|667716] E:\001.JPG [01/01/2001 00:00|--a------|650738] E:\021.JPG [01/01/2001 00:00|--a------|631813] E:\022.JPG [01/01/2001 00:00|--a------|648574] E:\023.JPG [05/12/2008 10:14|---h-----|73728] E:\~WRL3389.tmp ################## | Vaccination | # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). # E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). ################## | Upload | Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-ACMF.zip : http://chiquitine.changelog.fr/Sample/Upload.php Merci pour votre contribution . ################## | ! Fin du rapport # UsbFix V6.099 ! |

très résistante la bête ci de-ssous rapport USBFix ############################## | UsbFix V6.099 | User : ACMF (Administrateurs) # PC-DE-ACMF Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8 Start at: 20:18:12 | 17/03/2010 Website : http://pagesperso-orange.fr/NosTools/index.html Contact : FindyKill.Contact@gmail.com AMD Athlon 64 Processor 3800+ Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) # Internet Explorer 7.0.6000.16945 Windows Firewall Status : Enabled AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ] A:\ -> Lecteur de disquettes 3 ½ pouces C:\ -> Disque fixe local # 141,04 Go (120,73 Go free) [HDD] # NTFS D:\ -> Disque CD-ROM E:\ -> Disque amovible # 1,92 Go (1,82 Go free) # FAT ################## | Elements infectieux | ################## | Registre | [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig" ################## | Mountpoints2 | HKCU\..\..\Explorer\MountPoints2\{57ae6e35-119a-11df-bc7d-000a789e0478} shell\AutoRun\command =F:\fk.exe shell\open\Command =F:\fk.exe HKCU\..\..\Explorer\MountPoints2\{57ae6e3b-119a-11df-bc7d-000a789e0478} shell\AutoRun\command =E:\LaunchU3.exe -a ################## | Vaccin | (!) Cet ordinateur n'est pas vacciné ! ################## | ! Fin du rapport # UsbFix V6.099 ! |

j'avais oublié le fichier info ci-dessous info.txt logfile of random's system information tool 1.06 2010-03-17 19:46:17 ======Uninstall list====== -->MsiExec.exe /I{0394CDC8-FABD-4ed8-B104-03393876DFDF} -->MsiExec.exe /I{0D330013-4A99-46D6-83C6-2C959C68DBFF} -->MsiExec.exe /I{0D397393-9B50-4c52-84D5-77E344289F87} -->MsiExec.exe /I{619CDD8A-14B6-43a1-AB6C-0F4EE48CE048} -->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA} -->MsiExec.exe /I{83FFCFC7-88C6-41c6-8752-958A45325C82} -->MsiExec.exe /I{C8B0680B-CDAE-4809-9F91-387B6DE00F7C} 32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7} Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8.2.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A82000000003} Adobe Reader 8-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *AdobeReader* Adobe Shockwave Player-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE Carte 802.11g LAN OLITEC-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E91E8912-769D-42F0-8408-0E329443BABC}\setup.exe" -l0x40c -removeonly Creator 9-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *CREATOR9* Doc Online NEC PowerMate VL360-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *DOC* Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe /X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62} Google Chrome-->"C:\Program Files\Google\Chrome\Application\4.0.249.89\Installer\setup.exe" --uninstall --system-level Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} Google Earth-->MsiExec.exe /X{2EAF7E61-068E-11DF-953C-005056806466} HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" HP Customer Participation Program 8.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat HP Imaging Device Functions 8.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat HP OCR Software 8.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat HP Photosmart Essential-->MsiExec.exe /X{EB21A812-671B-4D08-B974-2A347F0D8F70} HP Photosmart, Officejet, PSC and Deskjet All-In-One Driver Software 8.0.B-->C:\Program Files\HP\Digital Imaging\{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}\setup\hpzscr01.exe -datfile hposcr19.dat -onestop -showdisconnect -forcereboot HP Solution Center 8.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134} HPSSupply-->MsiExec.exe /X{EB75DE50-5754-4F6F-875D-126EDF8E4CB3} Java SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000} Lizardtech DjVu Control-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{105CFC7C-6992-11D5-BD9D-000102C10FD8}\Setup.exe" -l0x40c Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31} Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9111040C-6000-11D3-8CFE-0150048383C9} Microsoft Office Small Business Connectivity Components-->MsiExec.exe /X{A939D341-5A04-4E0A-BB55-3E65B386432D} Microsoft SQL Server Native Client-->MsiExec.exe /I{90283F22-0731-43B6-81FD-E6DD911A31FB} Microsoft SQL Server VSS Writer-->MsiExec.exe /I{C74B273E-DF20-4955-899B-15205119894C} Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE} Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe Mozilla Firefox (3.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} MyVirtualHome-->"C:\Program Files\InstallShield Installation Information\{C66FE99D-7C15-40A0-AE4A-A1A3900D9EE3}\setup.exe" -runfromtemp -l0x0009 -removeonly NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI Package de pilotes Windows - MobileTop (sshpmdm) Modem (01/26/2008 2.6.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\DPInst.exe /u C:\Windows\System32\DriverStore\FileRepository\mbtmdm.inf_afb0631d\mbtmdm.inf Package de pilotes Windows - Nokia pccsmcfd (10/12/2007 6.85.4.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\system32\DRVSTORE\pccsmcfd_4A1E30386F4D0DEC8F5DF262CFBD8845EEBAB175\pccsmcfd.inf PC Connectivity Solution-->MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930} PowerDVD 7-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *PDVD* PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall Programme d'installation OLITEC -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\Setup.exe" -l0x40c PVAnalysis 9.1-->"C:\Program Files\PVAnalysis\unins000.exe" Realtek HD Audio V6.0.1.5334-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *AUDIO_REALTEK* Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly ROUTE 66 Sync-->C:\Program Files\InstallShield Installation Information\{9252E63C-2BFF-415B-97D6-8507E8648F64}\setup.exe -runfromtemp -l0x040c Roxio Activation Module-->MsiExec.exe /I{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0} Roxio Creator 9 LE-->MsiExec.exe /I{B7FB0C86-41A4-4402-9A33-912C462042A0} SAMSUNG Mobile Composite Device Software-->C:\Windows\system32\Samsung_USB_Drivers\6_old\SSBCUninstall.exe Samsung Mobile Modem Device Software-->C:\Windows\system32\Samsung_USB_Drivers\7\SSECUninstall.exe SAMSUNG Mobile Modem Driver Set-->C:\Windows\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe SAMSUNG Mobile Modem V2 Software-->C:\Windows\system32\Samsung_USB_Drivers\3_6810\SSCEUninstall.exe Samsung Mobile phone USB driver Software-->C:\Windows\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe SAMSUNG Mobile USB Modem 1.0 Software-->C:\Windows\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe SAMSUNG Mobile USB Modem Software-->C:\Windows\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe Samsung New PC Studio-->"C:\Program Files\InstallShield Installation Information\{F193FC0E-9E18-40FC-A974-509A1BDD240A}\setup.exe" -runfromtemp -l0x040c -removeonly Samsung New PC Studio-->MsiExec.exe /X{F193FC0E-9E18-40FC-A974-509A1BDD240A} SAMSUNG SYMBIAN USB Download Driver-->C:\Program Files\SAMSUNG\SYMBIAN USB Download Driver\Uninstall.exe SAMSUNG USB Mobile Device Software-->C:\Windows\system32\Samsung_USB_Drivers\6\SS_BUninstall.exe SamsungConnectivityCableDriver-->MsiExec.exe /X{7E84FAC8-C518-40F9-9807-7455301D6D25} TerraExplorer-->C:\Program Files\Skyline\TerraExplorer\Setup.exe [OP]/U Vade Retro Outlook, Outlook Express, Windows Mail (Vista)-->C:\Program Files\Goto Software\Vade Retro\uninst.exe Video NVIDIA v97.34-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *VIDEO_BOGOTA* ======Security center information====== AV: AntiVir Desktop AS: AntiVir Desktop AS: Windows Defender (outdated) ======System event log====== Computer Name: PC-de-ACMF Event Code: 6 Message: IRQARB : le BIOS ACP ne contient pas un IRQ pour le périphérique dans le connecteur PCI 4, fonction 0. Contactez le fabricant de votre ordinateur pour une assistance technique. Record Number: 39246 Source Name: ACPI Time Written: 20100317180240.796401-000 Event Type: Erreur User: Computer Name: PC-de-ACMF Event Code: 4101 Message: Le pilote d’affichage nvlddmkm ne répondait plus et a été récupéré correctement. Record Number: 39264 Source Name: Display Time Written: 20100317180433.000000-000 Event Type: Avertissement User: Computer Name: PC-de-ACMF Event Code: 7023 Message: Le service Service HP CUE DeviceDiscovery s'est arrêté avec l'erreur : Erreur non spécifiée Record Number: 39318 Source Name: Service Control Manager Time Written: 20100317180446.000000-000 Event Type: Erreur User: Computer Name: PC-de-ACMF Event Code: 7026 Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger : i8042prt Record Number: 39334 Source Name: Service Control Manager Time Written: 20100317180446.000000-000 Event Type: Erreur User: Computer Name: PC-de-ACMF Event Code: 8003 Message: Le maître explorateur a reçu une annonce de serveur de l'ordinateur MICHEL qui pense qu'il est le maître explorateur sur le domaine pour le transport NetBT_Tcpip_{301156D9-E6D3-47CA-9201-B0CD705773B. Le maître explorateur s'arrête ou une élection est provoquée. Record Number: 39349 Source Name: bowser Time Written: 20100317181325.857030-000 Event Type: Erreur User: =====Application event log===== Computer Name: PC-de-ACMF Event Code: 4113 Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'! Record Number: 6233 Source Name: Avira AntiVir Time Written: 20100317165631.000000-000 Event Type: Avertissement User: AUTORITE NT\SYSTEM Computer Name: PC-de-ACMF Event Code: 4113 Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'! Record Number: 6265 Source Name: Avira AntiVir Time Written: 20100317180421.000000-000 Event Type: Avertissement User: AUTORITE NT\SYSTEM Computer Name: PC-de-ACMF Event Code: 4113 Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'! Record Number: 6269 Source Name: Avira AntiVir Time Written: 20100317184332.000000-000 Event Type: Avertissement User: AUTORITE NT\SYSTEM Computer Name: PC-de-ACMF Event Code: 4113 Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'! Record Number: 6270 Source Name: Avira AntiVir Time Written: 20100317184438.000000-000 Event Type: Avertissement User: AUTORITE NT\SYSTEM Computer Name: PC-de-ACMF Event Code: 4113 Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'! Record Number: 6271 Source Name: Avira AntiVir Time Written: 20100317184519.000000-000 Event Type: Avertissement User: AUTORITE NT\SYSTEM =====Security event log===== Computer Name: PC-de-ACMF Event Code: 4672 Message: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : SYSTEM Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Record Number: 8392 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100317180406.637830-000 Event Type: Succès de l'audit User: Computer Name: PC-de-ACMF Event Code: 5038 Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle. Nom du fichier : \Device\HarddiskVolume2\Windows\System32\FsUsbExDisk.Sys Record Number: 8393 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100317180419.507830-000 Event Type: Échec de l'audit User: Computer Name: PC-de-ACMF Event Code: 4648 Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PC-DE-ACMF$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Compte dont les informations d’identification ont été utilisées : Nom du compte : SYSTEM Domaine du compte : AUTORITE NT GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Serveur cible : Nom du serveur cible : localhost Informations supplémentaires : localhost Informations sur le processus : ID du processus : 0x23c Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Adresse du réseau : - Port : - Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS. Record Number: 8394 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100317181818.403830-000 Event Type: Succès de l'audit User: Computer Name: PC-de-ACMF Event Code: 4624 Message: L’ouverture de session d’un compte s’est correctement déroulée. Sujet : ID de sécurité : S-1-5-18 Nom du compte : PC-DE-ACMF$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Type d’ouverture de session : 5 Nouvelle ouverture de session : ID de sécurité : S-1-5-18 Nom du compte : SYSTEM Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000} Informations sur le processus : ID du processus : 0x23c Nom du processus : C:\Windows\System32\services.exe Informations sur le réseau : Nom de la station de travail : Adresse du réseau source : - Port source : - Informations détaillées sur l’authentification : Processus d’ouverture de session : Advapi Package d’authentification : Negotiate Services en transit : - Nom du package (NTLM uniquement) : - Longueur de la clé : 0 Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée. Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe. Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau). Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté. Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas. Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique. - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC . - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session. - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM. - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée. Record Number: 8395 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100317181818.403830-000 Event Type: Succès de l'audit User: Computer Name: PC-de-ACMF Event Code: 4672 Message: Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : S-1-5-18 Nom du compte : SYSTEM Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e7 Privilèges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Record Number: 8396 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100317181818.403830-000 Event Type: Succès de l'audit User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\ "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=x86 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 95 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=5f02 "NUMBER_OF_PROCESSORS"=1 "RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\ -----------------EOF-----------------