Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

NTOSKRNL-HOOK


Messages recommandés

Bonjour,

 

Parce que je constatais des phénomènes bizarres sur mon ordi (en particulier, mon utilitaire de gravure : Goya Burn, ne fonctionne plus) j'ai lancé une analyse de mon ordinateur par l'anti-virus (McAfee VirusScan entreprise 8.5.0i) et je trouve les deux lignes suivantes :

 

NTOSKRNL-HOOK Generic Rootkit.!drootkit 1027

NTOSKRNL-HOOK Generic Rootkit.!drootkit 1027

 

 

mais je ne peux pas les supprimer, et chaque fois que je relance McAffe je les retrouve.

 

Après avoir lu quelques forums, j'ai essayé en "mode sans échec" mais dans ce cas McAfee ne trouve rien. En cherchant plus loin dans ces forums, je me suis aperçu que j'avais besoin d'aide de la part de spécialistes.

 

Merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Si le lien ne fonctionne pas, télécharger ICI

 

 

Ce logiciel est à garder, il rendra encore de grands services!

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

Mises à jour + récentes pour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

Télécharge HijackThisV2 sur ton bureau.

  • Double-clique sur HJTInstall.exe et suis les instructions d'installation.
    --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
  • Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  • Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  • A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  • Poste le rapport généré sur le forum.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Si le lien ne fonctionne pas, télécharger ICI

 

 

Ce logiciel est à garder, il rendra encore de grands services!

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

Mises à jour + récentes pour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
     
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

Télécharge HijackThisV2 sur ton bureau.

  • Double-clique sur HJTInstall.exe et suis les instructions d'installation.
    --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
  • Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  • Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  • A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  • Poste le rapport généré sur le forum.

 

@++

 

 

J'ai installé Malware, mais quand je le lance, Windows me dit "MalwareBytes' AntiMalware a cessé de fonctionner"

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Pour ne pas citer chaque fois le post précédent et avoir des messages plus clairs je vais te demander ceci stp:

 

Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton t_reply.gif. :P

(celui qui a un petit +, pas celui avec les guillemets)

 

Le bouton t_new.gif ne sert que pour créer le sujet, la première fois uniquement, tu n'en as plus besoin.

 

Le logiciel ne démarre absolument pas? Pas de message genre "n'est pas une application win32 valide"?

 

++

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Si tu ne réponds pas à mes questions, je ne peux guère t'aider.

Si tu es allé demander conseil sur un autre forum, j'aimerais autant le savoir pour ne pas continuer à chercher inutilement.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Désolé, je ne suis pas allé sur un autre forum, je suis allé manger chez ma mère. Si j'avais su que cela te contrariais tellement, j'aurais annulé.

 

Sinon pas d'autre message que celui que j'ai signalé.

Lien vers le commentaire
Partager sur d’autres sites

Ok, au temps pour moi :P

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

  • Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  • Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > Badaboum.exe
  • On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
     
  • Clique enfin sur le bouton Enregistrer en bas de page à droite.
  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur Badaboum.exe.
  • Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  • Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

sshot-1-9.jpg

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Voila le résultat !

 

 

ComboFix 09-04-13.A2 - lubitsch 2009-04-13 14:32.1 - NTFSx86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.2047.972 [GMT 2:00]

Lancé depuis: c:\users\lubitsch\Desktop\badaboum.exe

AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated)

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\drivers\gxvxcfqsopnqhwdegmmopomgjwjiujfmgutdl.sys

c:\windows\system32\gxvxcjatdubieyigwxoawmoqjdlcfglhwbyct.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_gxvxcserv.sys

-------\Service_Boonty Games

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-13 au 2009-04-13 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-13 09:55 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-04-13 09:55 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-04-13 09:54 . 2009-04-13 09:54 -------- d-----w c:\users\All Users\Malwarebytes

2009-04-13 09:54 . 2009-04-13 09:54 -------- d-----w c:\programdata\Malwarebytes

2009-04-12 17:05 . 2009-04-12 17:05 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf

2009-04-12 17:04 . 2009-04-12 17:04 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf

2009-04-12 08:06 . 2009-04-13 12:31 4 ----a-w c:\windows\system32\gxvxccounter

2009-04-11 09:38 . 2009-04-11 09:38 -------- d-----w c:\users\lubitsch\AppData\Roaming\DameWare Development

2009-04-11 08:05 . 2009-04-11 08:05 221 ----a-w C:\ogg.bat

2009-04-11 06:01 . 2007-10-30 10:42 65536 ----a-w c:\windows\system32\DWRCShell.dll

2009-04-11 06:01 . 2007-10-30 10:42 233472 ----a-w c:\windows\system32\DWRCSET.DLL

2009-04-11 06:01 . 2007-10-30 10:42 74240 ----a-w c:\windows\system32\DWRCST.EXE

2009-04-11 06:01 . 2007-10-30 10:42 53248 ----a-w c:\windows\system32\DWRCK.DLL

2009-04-11 06:01 . 2007-10-30 10:42 225792 ----a-w c:\windows\system32\DWRCS.EXE

2009-04-10 08:32 . 2009-04-10 08:31 48912 ----a-w C:\robocopy.exe

2009-04-10 08:28 . 2009-04-10 08:28 -------- d-----w c:\users\All Users\ViceVersa PRO 2

2009-04-10 08:28 . 2009-04-10 08:28 -------- d-----w c:\programdata\ViceVersa PRO 2

2009-04-09 11:59 . 2009-04-09 11:59 -------- d-----w c:\users\lubitsch\Chateau enchante

2009-03-21 17:06 . 2009-04-13 06:55 49 ----a-w c:\windows\NeroDigital.ini

2009-03-16 11:03 . 2009-03-16 11:03 -------- d-----w c:\windows\Sun

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-13 12:39 . 2009-04-13 12:39 2048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

2009-04-13 12:39 . 2009-04-13 12:39 2048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

2009-04-13 12:37 . 2007-10-20 00:09 690594 ----a-w c:\windows\System32\perfh00C.dat

2009-04-13 12:37 . 2007-10-20 00:09 117366 ----a-w c:\windows\System32\perfc00C.dat

2009-04-13 12:26 . 2008-02-21 13:06 98304 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

2009-04-13 12:26 . 2008-02-21 13:06 16384 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

2009-04-13 12:26 . 2008-02-21 13:06 16384 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

2009-04-13 09:55 . 2009-04-13 09:54 -------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-04-12 21:55 . 2009-04-12 21:54 -------- d-----w c:\program files\FairUse Wizard 2

2009-04-12 20:10 . 2008-03-02 08:39 -------- d-----w c:\program files\NCH Swift Sound

2009-04-12 19:20 . 2008-10-05 07:06 680 ----a-w c:\users\lubitsch\AppData\Local\d3d9caps.dat

2009-04-12 17:13 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini

2009-04-12 17:07 . 2006-11-02 12:37 -------- d-----w c:\program files\Windows Calendar

2009-04-12 17:07 . 2006-11-02 12:37 -------- d-----w c:\program files\Windows Sidebar

2009-04-12 17:07 . 2006-11-02 12:37 -------- d-----w c:\program files\Windows Photo Gallery

2009-04-12 17:07 . 2006-11-02 12:37 -------- d-----w c:\program files\Windows Journal

2009-04-12 17:07 . 2006-11-02 12:37 -------- d-----w c:\program files\Windows Collaboration

2009-04-12 17:07 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail

2009-04-12 17:07 . 2006-11-02 12:37 -------- d-----w c:\program files\Windows Defender

2009-04-12 17:06 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstor.dat

2009-04-12 17:06 . 2006-11-02 10:25 51200 ----a-w c:\windows\Inf\infpub.dat

2009-04-12 17:06 . 2006-11-02 10:25 143360 ----a-w c:\windows\Inf\infstrng.dat

2009-04-12 17:01 . 2006-11-02 10:32 101376 ----a-w c:\windows\System32\ifxcardm.dll

2009-04-12 17:01 . 2006-11-02 10:32 79872 ----a-w c:\windows\System32\axaltocm.dll

2009-04-12 16:50 . 2006-11-02 10:25 665600 ----a-w c:\windows\Inf\drvindex.dat

2009-04-12 07:27 . 2009-03-07 14:57 2162 ----a-w C:\mpeg.txt

2009-04-11 09:30 . 2009-04-11 09:30 -------- d-----w c:\program files\DameWare Development

2009-04-11 09:29 . 2009-04-11 09:29 -------- d-----w c:\program files\Common Files\Wise Installation Wizard

2009-04-11 08:42 . 2009-03-07 07:16 -------- d-----w c:\program files\m4ng

2009-04-10 08:28 . 2009-04-10 08:28 -------- d-----w c:\program files\ViceVersa Pro 2

2009-04-09 06:11 . 2009-04-09 06:10 -------- d-----w c:\program files\coverXP

2009-03-23 18:08 . 2009-02-26 21:33 -------- d-----w c:\program files\Microsoft Silverlight

2009-03-11 17:58 . 2009-03-07 14:59 149 ----a-w C:\dgindex.bat

2009-03-10 09:12 . 2008-12-12 19:55 -------- d-----w c:\users\lubitsch\AppData\Roaming\dvdcss

2009-03-07 19:13 . 2009-03-07 19:13 288 ----a-w C:\muxmp4.bat

2009-03-07 07:18 . 2008-11-23 09:29 -------- d-----w c:\program files\AviSynth 2.5

2009-03-06 20:56 . 2009-03-06 20:56 -------- d-----w c:\program files\AC3Filter

2009-02-28 05:56 . 2009-02-27 09:51 -------- d-----w c:\program files\bitRipper

2009-02-27 09:55 . 2008-09-20 08:46 -------- d-----w c:\programdata\DVD Shrink

2009-02-26 21:33 . 2008-10-26 14:15 -------- d-----w c:\program files\Windows Live

2009-02-26 21:31 . 2009-02-26 21:31 -------- d-----w c:\program files\Microsoft

2009-02-26 21:30 . 2009-02-26 21:30 -------- d-----w c:\program files\Windows Live SkyDrive

2009-02-26 21:23 . 2009-02-26 21:23 -------- d-----w c:\program files\Common Files\Windows Live

2009-02-16 22:18 . 2008-03-02 01:13 -------- d-----w c:\program files\MKVtoolnix

2009-02-09 01:54 . 2009-03-10 23:28 2030080 ----a-w c:\windows\System32\win32k.sys

2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\System32\sirenacm.dll

2009-01-15 13:23 . 2009-03-03 18:12 12800 ----a-w c:\windows\Help\OEM\scripts\HCDownloadApp.exe

2009-01-15 04:16 . 2009-02-11 20:26 826368 ----a-w c:\windows\System32\wininet.dll

2009-01-15 04:16 . 2009-02-11 20:26 56320 ----a-w c:\windows\System32\iesetup.dll

2009-01-15 04:16 . 2009-02-11 20:26 52736 ----a-w c:\windows\AppPatch\iebrshim.dll

2009-01-15 04:15 . 2009-02-11 20:26 26624 ----a-w c:\windows\System32\ieUnatt.exe

2008-11-25 18:07 . 2008-02-21 13:01 110832 ----a-w c:\users\lubitsch\AppData\Local\GDIPFONTCACHEV1.DAT

2008-05-25 12:35 . 2008-05-25 12:34 9 ----a-w c:\users\lubitsch\AppData\Roaming\mdb.bin

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-03-03 1232896]

"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-06-01 1783400]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-04 39408]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]

"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]

"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]

"SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-07 54936]

"TrayServer"="c:\progra~1\MAGIX\VIDEO_~1\TrayServer.exe" [2007-07-17 90112]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Recordpad"="c:\program files\NCH Swift Sound\Recordpad\recordpad.exe" [2008-03-02 577540]

"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-06-19 155648]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768]

"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]

"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 c:\windows\RtHDVCpl.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"Launcher"="c:\windows\SMINST\launcher.exe" [2007-04-03 44168]

 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= divxa32.acm

"msacm.ac3filter"= ac3filter.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UacDisableNotify"=dword:00000001

"InternetSettingsDisableNotify"=dword:00000001

"AutoUpdateDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{39F52AD6-768D-4923-A2EA-79F918F15A3D}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{016F3BF7-501C-4D37-BF9F-816B849C438F}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{4FBA431F-B2E8-4DD0-9F9C-A2AB7D234DC0}"= UDP:c:\program files\eMule\eMule.exe:eMule

"{491DAA90-E935-4476-8008-61F457DDE38B}"= TCP:c:\program files\eMule\eMule.exe:eMule

"{E195A9C7-4A55-4A6B-B902-D2B0D6C85B86}"= UDP:c:\program files\McAfee\Common Framework\FrameworkService.exe:McAfee Framework Service

"{EFBF1DB9-8C74-479C-BDBE-01D6A90F9262}"= TCP:c:\program files\McAfee\Common Framework\FrameworkService.exe:McAfee Framework Service

"{CC508753-E061-4F9E-A793-7AC32BBA58D5}"= UDP:6129:DameWare Mini Remote Control Service

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]

"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]

"c:\\Program Files\\TRENDnet\\PS Utility\\PSUTILITY.EXE"= c:\program files\TRENDnet\PS Utility\PSUTILITY.EXE:*:Enabled:PsUtility

 

R3 Droppix Service;Droppix Service;c:\program files\Common Files\Droppix\DxService.exe [2008-02-01 151552]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]

S1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:\windows\system32\DRIVERS\dwvkbd.sys [2007-02-15 26624]

S2 acedrv09;acedrv09;c:\windows\system32\drivers\acedrv09.sys [2007-06-18 373568]

S2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [2007-05-30 201696]

S3 DwMirror;DwMirror;c:\windows\system32\DRIVERS\DamewareMini.sys [2007-02-07 2944]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"c:\program files\Common Files\LightScribe\LSRunOnce.exe"

.

Contenu du dossier 'Tâches planifiées'

 

2009-04-12 c:\windows\Tasks\User_Feed_Synchronization-{E05F6297-5F86-464F-B027-E0DEB589FDEB}.job

- c:\windows\system32\msfeedssync.exe [2006-11-02 11:45]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.trooner.com/

mStart Page = hxxp://www.trooner.com/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-13 14:43

Windows 6.0.6000 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'Explorer.exe'(4684)

c:\program files\Hewlett-Packard\HP Advisor\Pillars\Market\MLDeskBand.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\System32\Ati2evxx.exe

c:\windows\System32\audiodg.exe

c:\windows\System32\Ati2evxx.exe

c:\windows\System32\DWRCS.EXE

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\program files\McAfee\Common Framework\FrameworkService.exe

c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe

c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe

c:\program files\Symantec\LiveUpdate\AluSchedulerSvc.exe

c:\program files\McAfee\Common Framework\naPrdMgr.exe

c:\windows\System32\WUDFHost.exe

c:\windows\System32\DWRCST.EXE

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\windows\System32\schtasks.exe

c:\windows\System32\wbem\unsecapp.exe

c:\windows\ehome\ehmsas.exe

c:\program files\McAfee\Common Framework\Mctray.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

c:\hp\KBD\kbd.exe

c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe

c:\windows\System32\conime.exe

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Heure de fin: 2009-04-13 14:46 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-13 12:46

 

Avant-CF: 155,068,932,096 octets libres

Après-CF: 155,055,501,312 octets libres

 

221 --- E O F --- 2009-04-12 16:38

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

En effet, il s'agit d'une sale bête!

 

Essaie de relancer l'analyse complète avec MBAM; s'il ne fonctionne toujours pas, désinstalle-le et prends celui-ci, il faudra le renommer également.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Avant de l'enregistrer quand tu verras mbam-setup dans le champ nom de fichier, pense à renommer celui-ci en tonpseudo-mb (je veux dire le pseudo que tu emploies ici mais sans accents!) Enregistre-le alors sur ton bureau.

 

mbamrenomm.jpg

 

Ce logiciel est à garder, il rendra encore de grands services!

 

Connecte tes supports amovibles comme clés usb etc. avant de lancer le scan.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

@+tard :P

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Cette fois MBAM a bien voulu démarrer :

 

Log ci-dessous :

 

Malwarebytes' Anti-Malware 1.36

Version de la base de données: 1975

Windows 6.0.6000

 

13/04/2009 17:41:23

mbam-log-2009-04-13 (17-41-23).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 197205

Temps écoulé: 1 hour(s), 31 minute(s), 15 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

Après redémarrage, j'ai lance HijackThis dont voici le log :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:48:32, on 13/04/2009

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16809)

Boot mode: Normal

 

Running processes:

C:\Windows\SYSTEM32\DWRCST.exe

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\hp\support\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

C:\Windows\system32\schtasks.exe

c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\McAfee\Common Framework\UdaterUI.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\McAfee\Common Framework\McTray.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Windows\system32\conime.exe

C:\hp\kbd\kbd.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trooner.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trooner.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"

O4 - HKLM\..\Run: [startCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

O4 - HKLM\..\Run: [sunJavaUpdateReg] "C:\Windows\system32\jureg.exe"

O4 - HKLM\..\Run: [TrayServer] C:\PROGRA~1\MAGIX\VIDEO_~1\TrayServer.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Recordpad] "C:\Program Files\NCH Swift Sound\Recordpad\recordpad.exe" -logon

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Skype add-on - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O17 - HKLM\System\CCS\Services\Tcpip\..\{88F702EC-6187-432F-8CD0-13CA55E5945E}: NameServer = 86.64.145.143

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Droppix Service - Droppix - C:\Program Files\Common Files\Droppix\DxService.exe

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\Windows\SYSTEM32\DWRCS.EXE

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

 

--

End of file - 9923 bytes

 

 

a +

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...