Contamination à "Malware defense"

akin13 · le 27 décembre 2009

Log ci-dessous

Par contre chose étrange, il a rebooté deux fois ... (mais bon il a rebooté c'est deja ca)

Merci

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!

ImagePath: \systemroot\system32\drivers\H8SRTvtlonlkiqu.sys

Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" disabled successfully.

Driver "H8SRTd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Falkra · le 27 décembre 2009

Ca doit être ok.

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Assure toi que tous les programmes sont fermés avant de commencer.
Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
Le bureau disparaît, c'est normal, et il va revenir.
Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

akin13 · le 27 décembre 2009

question bête: j'ai antivir, comment le désactiver? (le cliq droit sur l'icône de barre de tâche ne semble pas suffire car combofix le détecte toujours)

akin13 · le 27 décembre 2009

J'ai la version de Antivir sur mon DD sauvegardé, ca craint pas trop (au point où j'en suis) si je l'efface totalement ?

akin13 · le 27 décembre 2009

Ca doit être ok.

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

(...)

Antivirus effacé pour le moment

J'ai lancé ComboFix

Il m'ouvre une boite ressemblant a MSDOS (blanc sur fond bleu)

Voilà le message:

'SWSC' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes.

edit: je viens de relancer, ca semble fonctionner, je réditerai avec le rapport

Falkra · le 27 décembre 2009

Il suffisait de désactiver Antivir avant de lancer Combofix, habituellement.

On va voir, télécharge une copie fraîche de CF sur ton bureau, depuis ce lien :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Remplace celle que tu avais, et réessaie. S'il r$ale pour Antivir, dis ok quand même.

akin13 · le 27 décembre 2009

Après une lutte sans merci (et sans s'il vous plait) j'y suis arrivé ...

Rapport ComboFix

ComboFix 09-12-26.05 - Akin2010 27/12/2009 18:26:05.1.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1683 [GMT 1:00]

Lancé depuis: c:\documents and settings\Akin2010\Bureau\ComboFix.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\drivers\H8SRTvtlonlkiqu.sys

c:\windows\system32\H8SRTjdbqlxfelt.dat

c:\windows\system32\H8SRTjgnpxbivkf.dll

c:\windows\system32\H8SRTwbimovcxxk.dll

c:\windows\system32\krl32mainweq.dll

c:\windows\system32\srcr.dat

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-27 au 2009-12-27 ))))))))))))))))))))))))))))))))))))

.

2009-12-27 16:06 . 2009-12-27 16:06 -------- d-sh--w- c:\documents and settings\Akin2010\IECompatCache

2009-12-27 16:00 . 2009-12-27 16:00 -------- d-----w- c:\documents and settings\Akin2010\Application Data\TeamViewer

2009-12-27 16:00 . 2009-12-27 16:00 -------- d-----w- c:\documents and settings\Akin2010\temp

2009-12-27 15:20 . 2009-12-27 15:23 -------- d-----w- C:\rsit

2009-12-27 14:51 . 2009-12-27 14:51 -------- d-----w- c:\documents and settings\Akin2010\Local Settings\Application Data\Mozilla

2009-12-27 14:30 . 2009-12-27 14:30 29672 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-12-27 14:29 . 2009-12-27 14:29 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla

2009-12-27 07:02 . 2009-12-27 07:02 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2009-12-04 09:03 . 2009-12-04 09:03 251376 ----a-w- c:\documents and settings\Akin\Application Data\Mozilla\plugins\npgoogletalk.dll

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-27 16:40 . 2009-01-11 18:53 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-12-27 16:30 . 2009-01-11 18:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-12-27 15:42 . 2009-12-27 14:50 -------- d-----w- c:\documents and settings\Akin2010\Application Data\Skype

2009-12-27 14:50 . 2009-12-27 14:50 -------- d-----w- c:\documents and settings\Akin2010\Application Data\Camfrog

2009-12-27 14:50 . 2009-12-27 14:50 29672 ----a-w- c:\documents and settings\Akin2010\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-12-27 14:50 . 2009-12-27 14:50 -------- d-----w- c:\documents and settings\Akin2010\Application Data\ATI

2009-12-22 08:08 . 2002-08-30 12:00 72968 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-22 08:08 . 2002-08-30 12:00 464480 ----a-w- c:\windows\system32\perfh00C.dat

2009-12-21 21:21 . 2009-02-02 19:30 -------- d-----w- c:\program files\Windows Live Safety Center

2009-12-10 15:18 . 2009-04-30 12:35 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-12-08 08:34 . 2009-01-18 15:54 -------- d-----w- c:\documents and settings\Akin\Application Data\Camfrog

2009-12-01 08:57 . 2009-10-19 08:55 -------- d-----w- c:\program files\Reference Manager 11

2009-11-26 19:09 . 2009-05-10 13:20 -------- d-----w- c:\documents and settings\Akin\Application Data\dvdcss

2009-11-19 19:44 . 2009-11-19 19:39 -------- d-----w- c:\program files\JDownloader

2009-11-13 14:26 . 2009-05-31 13:42 -------- d-----w- c:\program files\Ê¢´óÍøÂç

2009-11-02 15:27 . 2009-01-11 19:23 -------- d-----w- c:\documents and settings\Akin\Application Data\teamspeak2

2009-10-29 07:42 . 2008-04-13 17:33 916480 ----a-w- c:\windows\system32\wininet.dll

2009-10-21 05:39 . 2008-04-13 17:33 75776 ----a-w- c:\windows\system32\strmfilt.dll

2009-10-21 05:39 . 2008-04-13 17:33 25088 ----a-w- c:\windows\system32\httpapi.dll

2009-10-20 16:20 . 2008-04-13 09:53 265728 ----a-w- c:\windows\system32\drivers\http.sys

2009-10-13 10:33 . 2008-04-13 17:33 271360 ----a-w- c:\windows\system32\oakley.dll

2009-10-12 13:39 . 2008-04-13 17:33 79872 ----a-w- c:\windows\system32\raschap.dll

2009-10-12 13:39 . 2008-04-13 17:33 150528 ----a-w- c:\windows\system32\rastls.dll

2009-10-04 16:15 . 2009-01-11 17:40 29672 ----a-w- c:\documents and settings\Akin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2008-10-27 08:37 . 2008-10-27 08:37 699488 -c--a-w- c:\program files\JUN2007_d3dx10_34_x86.cab

2008-10-27 08:36 . 2008-10-27 08:36 526160 -c--a-w- c:\program files\DXSETUP.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]

"Ai Nap"="c:\program files\ASUS\Ai Suite\AiNap\AiNap.exe" [2007-09-06 1426432]

"CPU Power Monitor"="c:\program files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" [2007-10-16 626176]

"Cpu Level Up help"="c:\program files\ASUS\Ai Suite\CpuLevelUpHelp.exe" [2007-09-11 880640]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

"ProfilerU"="c:\program files\Saitek\SD6\Software\ProfilerU.exe" [2007-10-02 233472]

"SaiMfd"="c:\program files\Saitek\SD6\Software\SaiMfd.exe" [2007-10-02 131072]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"Launch LgDevAgt"="c:\program files\Logitech\GamePanel Software\LgDevAgt.exe" [2008-11-06 358920]

"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2008-11-06 2816520]

"Launch LCDMon"="c:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2008-11-06 1548296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-10-03 02:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]

2009-05-07 19:05 75048 ----a-w- c:\program files\CyberLink\Shared files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camfrog]

2009-06-16 07:20 41800 ----a-w- c:\program files\Camfrog\Camfrog Video Chat\CamfrogNET.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

2008-04-13 17:34 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CurseClient]

2009-07-24 16:46 1935360 ----a-w- c:\program files\Curse\CurseClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]

2009-11-17 22:23 135664 ----atw- c:\documents and settings\Akin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]

2008-12-20 06:50 2656528 ----a-w- c:\program files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut]

2009-04-27 15:50 50472 ------w- c:\program files\CyberLink\PowerDVD9\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl9]

2009-04-27 18:41 87336 ------w- c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2009-03-11 11:00 24095528 ----a-r- c:\program files\Skype\Phone\Skype.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"=

"c:\\Program Files\\adslTV\\adsltv.exe"=

"g:\\World of Warcraft sur Lioetlinou\\Launcher.exe"=

"g:\\World of Warcraft Public Test\\Launcher.exe"=

"g:\\World of Warcraft sur Lioetlinou\\BackgroundDownloader.exe"=

"c:\\Program Files\\Curse\\CurseClient.exe"=

"g:\\World of Warcraft sur Lioetlinou\\WoW-3.1.3.9947-to-3.2.0.10192-frFR-downloader.exe"=

"g:\\World of Warcraft sur Lioetlinou\\WoW-3.2.0.10192-to-3.2.0.10314-frFR-downloader.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"g:\\World of Warcraft sur Lioetlinou\\WoW-3.2.0.10314-to-3.2.2.10482-frFR-downloader.exe"=

"g:\\World of Warcraft sur Lioetlinou\\WoW-3.2.2.10482-to-3.2.2.10505-frFR-downloader.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"g:\\World of Warcraft Public Test\\WoW-0.3.0.10522-frFR-ptr-downloader.exe"=

"g:\\World of Warcraft Public Test\\WoW-0.3.0.10522-to-0.3.0.10554-frFR-ptr-downloader.exe"=

"g:\\World of Warcraft Public Test\\WoW-0.3.0.10554-to-0.3.0.10571-frFR-ptr-downloader.exe"=

"g:\\World of Warcraft Public Test\\WoW-0.3.0.10571-to-0.3.0.10596-frFR-ptr-downloader.exe"=

"c:\\Documents and Settings\\Akin\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=

"c:\\Documents and Settings\\Akin\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Documents and Settings\\Akin2010\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [11/01/2009 19:38 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [11/01/2009 19:38 5248]

R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/09/09 18:42];c:\program files\CyberLink\PowerDVD9\000.fcl [07/05/2009 20:05 87536]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;c:\windows\system32\drivers\rt2870.sys [15/11/2008 19:47 476416]

S3 SaiH80C1;SaiH80C1;c:\windows\system32\drivers\SaiH80C1.sys [05/10/2007 09:19 136320]

.

------- Examen supplémentaire -------

.

DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.20/cfweb_activex.camfrogweb.com-advanced-2.0.2.20_instmodule.exe

FF - ProfilePath - c:\documents and settings\Akin2010\Application Data\Mozilla\Firefox\Profiles\qqqrrzle.default\

FF - prefs.js: browser.search.selectedEngine - xeoo.com

FF - prefs.js: browser.startup.homepage - gmail.com

FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k=

FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");

.

- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-avgnt - c:\program files\Avira\AntiVir Desktop\avgnt.exe

MSConfigStartUp-Malware Defense - c:\program files\Malware Defense\mdefense.exe

MSConfigStartUp-richtx64 - c:\docume~1\Akin\LOCALS~1\Temp\richtx64.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-27 18:31

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5E2EA0]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28

\Driver\ACPI -> ACPI.sys @ 0xb9f58cb8

\Driver\atapi -> 0x8a5e2ea0

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

NDIS: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller #2 -> SendCompleteHandler -> NDIS.sys @ 0xb9e04bb0

PacketIndicateHandler -> NDIS.sys @ 0xb9df3a0d

SendHandler -> NDIS.sys @ 0xb9e07b40

Warning: possible MBR rootkit infection !

user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]

"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(956)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\MPRAPI.dll

- - - - - - - > 'explorer.exe'(7240)

c:\windows\TEMP\logishrd\LVPrcInj01.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

c:\program files\CyberLink\Shared files\RichVideo.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe

c:\program files\Logitech\GamePanel Software\Applets\LCDPop3.exe

c:\program files\Logitech\GamePanel Software\Applets\LCDRSS.exe

c:\program files\Logitech\GamePanel Software\Applets\LCDCountdown.exe

c:\program files\Logitech\GamePanel Software\Applets\LCDMedia.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

.

**************************************************************************

.

Heure de fin: 2009-12-27 18:33:40 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-12-27 17:33

Avant-CF: 17 769 992 192 octets libres

Après-CF: 18 456 748 032 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 6BE0B135FEB7FA3568C3561DD3005E79

Edit: Antivir --> je ne trouvais pas l'option. Le poste va me reservir a partir de demain donc j'ai fait au plus rapide (j'ai deja antivir pret a etre réinstallé dès que le systeme sera opérationnel)

Modifié le 27 décembre 2009 par akin13

Falkra · le 27 décembre 2009

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
Fais redémarrer ton PC

akin13 · le 27 décembre 2009

Rapport TDSSKiller

18:42:11:625 10036 TDSSKiller 2.1.1 Dec 20 2009 02:40:02

18:42:11:625 10036 ================================================================================

18:42:11:625 10036 SystemInfo:

18:42:11:625 10036 OS Version: 5.1.2600 ServicePack: 3.0

18:42:11:625 10036 Product type: Workstation

18:42:11:625 10036 ComputerName: KIKOULOL

18:42:11:625 10036 UserName: Akin2010

18:42:11:625 10036 Windows directory: C:\WINDOWS

18:42:11:625 10036 Processor architecture: Intel x86

18:42:11:625 10036 Number of processors: 2

18:42:11:625 10036 Page size: 0x1000

18:42:11:625 10036 Boot type: Normal boot

18:42:11:625 10036 ================================================================================

18:42:11:625 10036 ForceUnloadDriver: NtUnloadDriver error 2

18:42:11:625 10036 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0

18:42:11:625 10036 main: Driver KLMD successfully dropped

18:42:11:625 10036 main: Driver KLMD successfully loaded

18:42:11:625 10036

Scanning Registry ...

18:42:11:625 10036 ScanServices: Searching service UACd.sys