[Résolu] Virus rootkit.gen sur mon PC

[jelo66]

alors en fait apres l analyse l outil m a demande un redemarage donc je n ai pas pu copier ce qui se trouvait dans la partie result

 

voici le rapport apres redemarrage

 

 

 

 

 

All processes killed

========== FILES ==========

File move failed. C:\Windows\System32\drivers\ocnqoa.sys scheduled to be moved on reboot.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: jelo66

->Temp folder emptied: 89419649 bytes

->Temporary Internet Files folder emptied: 203260521 bytes

->Java cache emptied: 39474557 bytes

->Google Chrome cache emptied: 6099312 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1313747 bytes

%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 853180 bytes

RecycleBin emptied: 77507 bytes

 

Total Files Cleaned = 325,00 mb

 

 

OTM by OldTimer - Version 3.1.9.0 log created on 02232010_205234

 

Files moved on Reboot...

File C:\Windows\System32\drivers\ocnqoa.sys not found!

 

Registry entries deleted on Reboot...

[Apollo]

Il ne l'a pas trouvé....

 

Je me demande si Antivir ne voit pas un fantôme...

 

Files moved on Reboot...

File C:\Windows\System32\drivers\ocnqoa.sys not found!

 

Cherche avec l'explorateur dans Windows\system32\drivers et regarde si tu vois ce driver ocnqoa.sys (l'extension peut ne pas apparaitre selon tes options d'affichage.

 

Si tu le vois, supprime-le. Vide la corbeille.

 

Relance une analyse sur system32 avec Antivir.

 

++

[jelo66]

en fait je le vois mais je ne peux pas le virer

[jelo66]

quand je veux le supprimer ca me met

 

impossible de lire a partir du fichier ou de la disquette source

[Apollo]

Ok si tu le vois, on va faire comme ça: (mais il ne faut pas te tromper de cible surtout!)

 

Télécharge Unlocker.

 

Ou: - http://download.cnet.com/Unlocker/3000-2248_4-10493998.html

- http://majorgeeks.com/Unlocker_d4660.html

 

Décoche les cases qui proposent toolbars ou eBay!

 

Installe-le et tu auras une fonction supplémentaire dans le clic droit.

Il suffit alors de faire un clic droit/Unlocker sur le fichier/dossier à liquider et de choisir de déplacer vers la corbeille qu'on vide ensuite.

 

Si tu ne peux déplacer, débloque le fichier ou dossier puis vire-le.

 

 

Modifié le 23 février 2010 par Apollo

[jelo66]

ca n apas l air de marcher je le fais mais au final rien ne se passe

[jelo66]

apparement il n y a ppas de petite fleche devant la poubelle donc je peux pas la selectionner

[Apollo]

C'est incroyable ça.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

[Apollo]

apparement il n y a ppas de petite fleche devant la poubelle donc je peux pas la selectionner

 

On s'en fiche de la "petite flèche", clique sur corbeille et puis déplace, c'est tout. (en cliquant sur ok)

 

Regarde ma capture pour Unlocker.

Modifié le 23 février 2010 par Apollo

[jelo66]

je l ai fait plein de fois et ca ne marche pas il ne veut pas le mettre dans la poubelle.

j ai fait comme tu me le montre plus haut y a rien a faire

voici le rapport

 

ComboFix 10-02-20.04 - jelo66 23/02/2010 21:41:52.3.3 - x86

Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.3070.2059 [GMT 1:00]

Lancé depuis: c:\users\jelo66\Desktop\ComboFix.exe

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\users\jelo66\AppData\Roaming\Desktopicon

c:\users\jelo66\AppData\Roaming\Desktopicon\eBay.ico

c:\users\jelo66\AppData\Roaming\Desktopicon\uninst.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-23 au 2010-02-23 ))))))))))))))))))))))))))))))))))))

.

 

2010-02-23 20:47 . 2010-02-23 20:47 -------- d-----w- c:\users\jelo66\AppData\Local\temp

2010-02-23 20:47 . 2010-02-23 20:47 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp

2010-02-23 20:47 . 2010-02-23 20:47 -------- d-----w- c:\users\Public\AppData\Local\temp

2010-02-23 20:47 . 2010-02-23 20:47 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-02-23 20:22 . 2010-02-23 20:22 -------- d-----w- c:\program files\Unlocker

2010-02-23 19:52 . 2010-02-23 19:52 -------- d-----w- C:\_OTM

2010-02-23 14:36 . 2010-02-23 14:37 -------- d-----w- C:\rsit

2010-02-22 20:52 . 2010-02-22 20:52 509552 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb6E9F.tmp.exe

2010-02-22 20:48 . 2010-02-22 20:48 -------- d-----w- c:\programdata\McAfee

2010-02-22 20:45 . 2010-02-22 20:45 -------- d-----w- c:\program files\Common Files\Adobe

2010-02-22 19:36 . 2010-02-23 14:43 -------- d-----w- c:\program files\Trend Micro

2010-02-22 19:35 . 2010-02-22 19:36 812344 ----a-w- c:\users\jelo66\HJT.exe

2010-02-22 09:53 . 2010-02-22 09:53 -------- d-----w- c:\users\jelo66\AppData\Roaming\Malwarebytes

2010-02-22 09:53 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-02-22 09:53 . 2010-02-22 09:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-02-22 09:53 . 2010-02-22 09:53 -------- d-----w- c:\programdata\Malwarebytes

2010-02-22 09:53 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-02-21 12:28 . 2010-02-21 12:28 -------- d-----w- c:\windows\Sun

2010-02-10 17:09 . 2009-12-08 20:01 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys

2010-02-10 17:09 . 2009-12-08 17:26 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys

2010-01-31 11:38 . 2010-01-31 11:38 509552 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb410.tmp.exe

2010-01-28 14:44 . 2010-02-07 18:57 -------- d-----w- c:\users\jelo66\ClubDeJeux

2010-01-28 14:23 . 2010-01-28 14:23 -------- d-----w- c:\programdata\Zylom

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-23 20:03 . 2008-11-04 00:06 669328 ----a-w- c:\windows\system32\perfh00C.dat

2010-02-23 20:03 . 2008-11-04 00:06 123350 ----a-w- c:\windows\system32\perfc00C.dat

2010-02-23 19:56 . 2009-04-10 15:55 -------- d-----w- c:\programdata\Google Updater

2010-02-22 21:06 . 2008-11-03 15:55 -------- d-----w- c:\program files\Java

2010-02-22 21:00 . 2008-11-03 15:55 -------- d-----w- c:\program files\Common Files\Java

2010-02-22 20:39 . 2009-02-26 16:34 -------- d-----w- c:\program files\Google

2010-02-21 12:41 . 2009-04-20 21:22 -------- d-----w- c:\program files\VideoLAN

2010-02-17 12:33 . 2009-02-02 18:23 -------- d-----w- c:\users\jelo66\AppData\Roaming\PlayFirst

2010-02-17 12:33 . 2009-02-02 18:23 -------- d-----w- c:\programdata\PlayFirst

2010-02-17 12:33 . 2009-02-26 16:33 -------- d-----w- c:\users\jelo66\AppData\Roaming\Zylom

2010-02-17 09:29 . 2008-11-03 15:44 -------- d-----w- c:\programdata\CyberLink

2010-02-11 02:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2010-02-06 18:32 . 2009-11-29 13:58 -------- d-----w- c:\program files\SFR

2010-01-23 02:17 . 2009-04-11 18:59 -------- d-----w- c:\program files\Microsoft Silverlight

2010-01-19 12:51 . 2010-01-19 12:51 -------- d-----w- c:\program files\Windows Portable Devices

2010-01-19 12:51 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat

2010-01-19 12:51 . 2010-01-19 12:51 0 ----a-r- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf

2010-01-18 08:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Calendar

2010-01-18 08:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Sidebar

2010-01-18 08:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Collaboration

2010-01-18 08:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Photo Gallery

2010-01-18 08:46 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Defender

2010-01-18 08:46 . 2008-11-03 15:43 -------- d-----w- c:\programdata\NVIDIA

2010-01-14 10:12 . 2009-10-02 16:54 181120 ------w- c:\windows\system32\MpSigStub.exe

2010-01-12 19:07 . 2010-01-06 14:29 -------- d-----w- c:\users\jelo66\AppData\Roaming\Ubisoft

2010-01-12 14:45 . 2010-01-06 14:14 -------- d-----w- c:\users\jelo66\AppData\Roaming\MysteryStudio

2010-01-04 15:40 . 2010-01-04 15:40 -------- d-----w- c:\users\jelo66\AppData\Roaming\DivoGames

2010-01-02 06:38 . 2010-01-22 07:54 916480 ----a-w- c:\windows\system32\wininet.dll

2010-01-02 06:32 . 2010-01-22 07:54 71680 ----a-w- c:\windows\system32\iesetup.dll

2010-01-02 06:32 . 2010-01-22 07:54 109056 ----a-w- c:\windows\system32\iesysprep.dll

2010-01-02 04:57 . 2010-01-22 07:54 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2009-12-17 16:14 . 2010-01-18 17:37 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-12-16 12:58 . 2009-01-31 21:00 78728 ----a-w- c:\users\jelo66\AppData\Local\GDIPFONTCACHEV1.DAT

2009-12-15 13:33 . 2009-12-15 13:33 4096 ----a-w- c:\windows\d3dx.dat

2009-12-11 11:43 . 2010-02-10 17:10 302080 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-11 11:43 . 2010-02-10 17:10 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys

2009-12-11 07:38 . 2009-10-01 08:38 56816 ----a-r- c:\windows\system32\drivers\avgntflt.sys

2009-12-08 20:01 . 2010-02-10 17:10 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe

2009-12-08 20:01 . 2010-02-10 17:10 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe

2009-12-04 18:30 . 2010-02-10 17:10 12288 ----a-w- c:\windows\system32\tsbyuv.dll

2009-12-04 18:29 . 2010-02-10 17:10 1314816 ----a-w- c:\windows\system32\quartz.dll

2009-12-04 18:28 . 2010-02-10 17:10 22528 ----a-w- c:\windows\system32\msyuv.dll

2009-12-04 18:28 . 2010-02-10 17:10 31744 ----a-w- c:\windows\system32\msvidc32.dll

2009-12-04 18:28 . 2010-02-10 17:10 123904 ----a-w- c:\windows\system32\msvfw32.dll

2009-12-04 18:28 . 2010-02-10 17:10 13312 ----a-w- c:\windows\system32\msrle32.dll

2009-12-04 18:28 . 2010-02-10 17:10 82944 ----a-w- c:\windows\system32\mciavi32.dll

2009-12-04 18:28 . 2010-02-10 17:10 50176 ----a-w- c:\windows\system32\iyuv_32.dll

2009-12-04 18:27 . 2010-02-10 17:10 91136 ----a-w- c:\windows\system32\avifil32.dll

2009-12-04 15:56 . 2010-02-10 17:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys

2009-12-04 15:56 . 2010-02-10 17:10 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2008-11-04 00:20 . 2008-11-04 00:20 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-16 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-17 13535776]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-17 92704]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]

"DPService"="c:\program files\HP\DVDPlay\DPService.exe" [2008-06-11 90112]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"AVFX Engine"="c:\program files\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-06-09 24576]

"V0220Mon.exe"="c:\windows\V0220Mon.exe" [2006-05-16 28672]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

"HideFastUserSwitching"= 0 (0x0)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(b):7d,ca,f2,95,1b,98,ca,01

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/10/2009 09:38 108289]

R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]

R3 V0220Dev;Live! Cam Video IM;c:\windows\System32\drivers\V0220Dev.sys [31/01/2009 23:36 145472]

R3 V0220Vfx;V0220VFX;c:\windows\System32\drivers\V0220Vfx.sys [31/01/2009 23:36 6272]

S2 gupdate1c9d871684f15e2;Service Google Update (gupdate1c9d871684f15e2);c:\program files\Google\Update\GoogleUpdate.exe [19/05/2009 12:03 133104]

S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [24/11/2009 09:37 54632]

S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - ocnqoa

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

ezSharedSvc

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-23 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-26 15:55]

 

2010-02-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-19 11:03]

 

2010-02-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-19 11:03]

 

2010-02-22 c:\windows\Tasks\User_Feed_Synchronization-{D2664CD5-270A-4CCE-9BA5-188ABF8442CF}.job

- c:\windows\system32\msfeedssync.exe [2010-01-22 04:56]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com/

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Presario&pf=cndt

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Toolbar-Locked - (no file)

AddRemove-eBay Icon - c:\users\jelo66\AppData\Roaming\Desktopicon\uninst.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-23 21:47

Windows 6.0.6002 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ocnqoa]

 

.

Heure de fin: 2010-02-23 21:49:08

ComboFix-quarantined-files.txt 2010-02-23 20:49

 

Avant-CF: 382 471 602 176 octets libres

Après-CF: 382 460 030 976 octets libres

 

Current=1 Default=1 Failed=0 LastKnownGood=10 Sets=1,2,3,4,5,6,7,8,9,10

- - End Of File - - A4069AB51930D14E460BB026D19333BA