Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] PC Infecté - Pas de possibilité de réinstallation d'antiv

odranix

Par odranix
dans Analyses et éradication malwares

 Partager

Messages recommandés

odranix Junior Member

odranix

Posté(e)
  • Auteur
Posté(e)

Je viens de le lancer. Le scan se déroule normalement (affichage de traces) pendant quelques minutes puis plantage et reboot avec écran noir. 2 reboots après j'ai enfin pu retrouver mon espace de travail....

 

Merci d'avance

odranix Junior Member

odranix

Posté(e)
  • Auteur
Posté(e)

Ci-joint le rapport Gmer sans l'option files. en plus de Devices, Section IAT

 

GMER 1.0.15.15273 - http://www.gmer.net

Rootkit scan 2009-12-10 17:39:27

Windows 5.1.2600 Service Pack 3

Running: wovvupn6.exe; Driver: C:\DOCUME~1\BROSSA~1\LOCALS~1\Temp\ugtdipog.sys

 

 

---- System - GMER 1.0.15 ----

 

Code 86236230 ZwEnumerateKey

Code 862363D0 ZwFlushInstructionCache

Code 861F33BE IofCallDriver

Code 86236266 IofCompleteRequest

 

---- Modules - GMER 1.0.15 ----

 

Module \systemroot\system32\drivers\H8SRTmrfvdppbav.sys (*** hidden *** ) A5B81000-A5B9D000 (114688 bytes)

 

---- Services - GMER 1.0.15 ----

 

Service C:\WINDOWS\system32\drivers\H8SRTmrfvdppbav.sys (*** hidden *** ) [sYSTEM] H8SRTd.sys <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@start 1

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@type 1

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys@group file system

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTbwuiuigrpd.dll

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTweybdqvmph.dat

Reg HKLM\SYSTEM\ControlSet001\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTwgmjthxmto.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTbwuiuigrpd.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTweybdqvmph.dat

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTwgmjthxmto.dll

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTbwuiuigrpd.dll

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTweybdqvmph.dat

Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTwgmjthxmto.dll

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys@start 1

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys@type 1

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys@group file system

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTbwuiuigrpd.dll

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTweybdqvmph.dat

Reg HKLM\SYSTEM\ControlSet004\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTwgmjthxmto.dll

Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@y!s!\24!r!s!`!\30!y!\24!\24!t!\30!c!y!s!d! 19583823

 

---- EOF - GMER 1.0.15 ----

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Tu as la nouvelle version d'une bestiole très pénible.

 

1. Télécharge The Avenger par Swandog46 sur ton Bureau.

  • Décompresse le fichier
  • avenger.exe sur le bureau

 

2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre :P :

 

drivers to disable:
H8SRTd.sys

drivers to delete:
H8SRTd.sys

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

  • Sous "Input Script There", colle le code précédemment copié.
  • Clique sur Execute
  • Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système.
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

 

---------------

 

Après ce passage d'Avenger, démarre combofix (instructions au post 4), en mode normal, il ne devrait pas planter cette fois, et poste le rapport stp.

odranix Junior Member

odranix

Posté(e)
  • Auteur
Posté(e)

Bonjour et merci

 

Ci-joint le rapport Avenger

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

 

Hidden driver "H8SRTd.sys" found!

ImagePath: \systemroot\system32\drivers\H8SRTmrfvdppbav.sys

Start Type: 4 (Disabled)

 

Rootkit scan completed.

 

Driver "H8SRTd.sys" disabled successfully.

Driver "H8SRTd.sys" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

odranix Junior Member

odranix

Posté(e)
  • Auteur
Posté(e)

et le rapport combofix

 

ComboFix 09-12-08.07 - Brossard Jean-Yves 12/11/2009 13:03:38.1.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.41.1036.18.1013.585 [GMT 1:00]

Lancé depuis: c:\documents and settings\Brossard Jean-Yves\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\drivers\H8SRTmrfvdppbav.sys

c:\windows\system32\H8SRTbwuiuigrpd.dll

c:\windows\system32\h8srtcfg.dat

c:\windows\system32\H8SRTweybdqvmph.dat

c:\windows\system32\H8SRTwgmjthxmto.dll

c:\windows\system32\srcr.dat

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-11 au 2009-12-11 ))))))))))))))))))))))))))))))))))))

.

 

2009-12-10 17:41 . 2009-12-10 17:44 -------- d-----w- c:\program files\ZHPDiag

2009-12-09 21:51 . 2009-12-09 22:17 -------- d-----w- c:\windows\BDOSCAN8

2009-12-09 21:02 . 2009-12-09 21:31 -------- d-----w- C:\9af9efbcc1e5a3fc01454e

2009-12-09 14:55 . 2009-12-09 15:03 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-12-09 10:49 . 2009-12-09 20:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft

2009-12-08 21:04 . 2009-12-08 21:04 -------- d-----w- C:\_OTM

2009-12-08 20:53 . 2009-12-09 08:28 -------- d-----w- c:\program files\Fichiers communs\PC Tools

2009-12-08 20:53 . 2009-12-09 08:24 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-12-08 20:16 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-12-08 12:58 . 2001-08-23 16:04 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys

2009-12-08 12:58 . 2001-08-23 16:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys

2009-12-08 12:58 . 2008-04-13 10:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys

2009-12-08 12:58 . 2008-04-13 10:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys

2009-11-17 19:08 . 2009-11-17 19:08 -------- d-----w- c:\program files\Audacity

2009-11-17 07:13 . 2005-06-06 10:29 110592 ----a-w- c:\documents and settings\Brossard Jean-Yves\Application Data\U3\temp\cleanup.exe

2009-11-17 06:52 . 2009-11-17 19:23 -------- d-----w- c:\documents and settings\Brossard Jean-Yves\Application Data\U3

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-11 12:10 . 2009-10-04 16:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Serveur Média

2009-12-11 12:10 . 2009-10-04 16:13 -------- d-----w- c:\program files\Serveur Media

2009-12-09 21:33 . 2008-05-28 13:58 85798 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-09 21:33 . 2008-05-28 13:58 512442 ----a-w- c:\windows\system32\perfh00C.dat

2009-12-09 15:55 . 2009-05-14 06:22 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee

2009-12-09 15:55 . 2009-05-14 06:27 -------- d-----w- c:\program files\McAfee

2009-12-09 08:23 . 2008-05-28 06:06 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-12-09 02:34 . 2009-02-09 17:42 58272 ----a-w- c:\documents and settings\Brossard Jean-Yves\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-12-06 18:09 . 2009-02-10 09:15 1 ----a-w- c:\documents and settings\Brossard Jean-Yves\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-11-22 21:45 . 2008-05-28 09:18 -------- d-----w- c:\program files\Fichiers communs\Adobe

2009-11-21 15:58 . 2008-05-28 13:55 471552 ----a-w- c:\windows\AppPatch\aclayers.dll

2009-10-29 07:44 . 2008-05-28 13:57 832512 ----a-w- c:\windows\system32\wininet.dll

2009-10-29 07:44 . 2008-05-28 13:56 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-10-29 07:44 . 2008-05-28 13:55 17408 ----a-w- c:\windows\system32\corpol.dll

2009-10-21 05:39 . 2008-05-28 13:57 75776 ----a-w- c:\windows\system32\strmfilt.dll

2009-10-21 05:39 . 2008-05-28 13:56 25088 ----a-w- c:\windows\system32\httpapi.dll

2009-10-20 16:20 . 2008-04-13 11:53 265728 ----a-w- c:\windows\system32\drivers\http.sys

2009-10-13 10:33 . 2008-05-28 13:57 271360 ----a-w- c:\windows\system32\oakley.dll

2009-10-12 13:39 . 2008-05-28 13:57 79872 ----a-w- c:\windows\system32\raschap.dll

2009-10-12 13:39 . 2008-05-28 13:57 150528 ----a-w- c:\windows\system32\rastls.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]

"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]

"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]

"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]

"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-08-22 220160]

"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]

"CardDetectorHUAWEI160"="c:\program files\CardDetector\HUAWEI160\CardDetector.exe" [2008-09-25 274432]

"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-09-25 131824]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-12-04 176128]

"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-14 221184]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-06-10 81920]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\Brossard Jean-Yves\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-12 113664]

Agent Serveur M‚dia.lnk - c:\program files\Serveur Media\twonkymediaserverconfig.exe [2009-8-18 231056]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\NetMeeting\\Conf.exe"=

"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=

"c:\\Program Files\\Serveur Media\\twonkymediaserverwatchdog.exe"=

"c:\\Program Files\\Serveur Media\\twonkymediaserver.exe"=

"c:\\Program Files\\Serveur Media\\bgtrans.exe"=

 

R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [10/12/2004 4:47 AM 98304]

R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [6/10/2008 10:53 AM 159744]

R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [10/12/2004 3:40 AM 118784]

R2 Serveur Média;Serveur Média;c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 --> c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 [?]

R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [6/10/2008 11:26 AM 156160]

R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [5/28/2008 7:29 AM 572416]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\program files\Lavasoft\Ad-Aware\AAWService.exe" --> c:\program files\Lavasoft\Ad-Aware\AAWService.exe [?]

S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [12/8/2009 4:31 PM 203280]

S3 BGRaSvc;BGRaSvc;"c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe" --> c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe [?]

S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [7/11/2008 9:34 AM 95744]

S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [7/11/2008 9:34 AM 51968]

S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [2/10/2009 8:40 AM 99840]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://orange.fr

uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

FF - ProfilePath - c:\documents and settings\Brossard Jean-Yves\Application Data\Mozilla\Firefox\Profiles\rymz3t45.default\

FF - prefs.js: browser.startup.homepage - hxxp://orange.fr/

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-11 13:10

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3804)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe

c:\windows\system32\PSIService.exe

c:\program files\Cyberlink\Shared files\RichVideo.exe

c:\program files\Serveur Media\twonkymediaserverwatchdog.exe

c:\program files\Serveur Media\TwonkyMediaServer.exe

c:\windows\system32\wscntfy.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\igfxsrvc.exe

c:\program files\Google\Google Desktop Search\GoogleDesktopIndex.exe

c:\windows\system32\wbem\unsecapp.exe

c:\program files\OpenOffice.org 3\program\soffice.exe

c:\program files\Serveur Media\bgtrans.exe

c:\program files\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Heure de fin: 2009-12-11 13:13:40 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-12-11 12:13

 

Avant-CF: 25,067,339,776 octets libres

Après-CF: 25,159,839,744 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - C2FD1B2AF89DDD9C36F6FFBDF8A9E3B1

 

 

Merci pour l'analyse.

odranix Junior Member

odranix

Posté(e)
  • Auteur
Posté(e)

IL me semble que les choses rentrent dans l'ordre. J'en ai profité pour virer les traces de Mc Afee avec MCPRE.

 

Que dois je désinstaller (Combofix, Avenger...) et surtout que dois je installer comme protection efficace et peu gourmande, l'expérience Mc Afee est pas top.

 

Merci par avance.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Voilà qui est mieux. :P

 

Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer.

=> combofix espace slasht uninstall

Après cela, efface ce dossier s'il existe encore :

C:\QooBox

 

----------

 

Télécharge OTC sur le bureau :

http://oldtimer.geekstogo.com/OTC.exe

 

Double clique sur son icône pour le démarrer. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit.

Clique sur le bouton clean up et poste le rapport stp.

odranix Junior Member

odranix

Posté(e)
  • Auteur
Posté(e)

Bonjour et merci

 

J'ai bien lancé OTC mais reboot et pas de rapport et plus d'OTC sur le bureau.

 

Par contre, j'ai fait une analyse Mabm, plus rien. et un Ccleaner sur les données applications et registres. Mais il ne restait pas grand chose non plus.

J'ai par ailleurs installé microsoft security essentiel, il n'a pas l'air trop mal. Une analyse complète où il a détecté le H8SRT en quarantaine et détruit.

 

Voilà où j'en suis.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...