Infection trojan TR/Rootkit.Gen

[papatango]

j'avais oublié le fichier info ci-dessous

 

 

info.txt logfile of random's system information tool 1.06 2010-03-17 19:46:17

 

======Uninstall list======

 

-->MsiExec.exe /I{0394CDC8-FABD-4ed8-B104-03393876DFDF}

-->MsiExec.exe /I{0D330013-4A99-46D6-83C6-2C959C68DBFF}

-->MsiExec.exe /I{0D397393-9B50-4c52-84D5-77E344289F87}

-->MsiExec.exe /I{619CDD8A-14B6-43a1-AB6C-0F4EE48CE048}

-->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}

-->MsiExec.exe /I{83FFCFC7-88C6-41c6-8752-958A45325C82}

-->MsiExec.exe /I{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}

32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete

Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Reader 8.2.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A82000000003}

Adobe Reader 8-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *AdobeReader*

Adobe Shockwave Player-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log

Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE

Carte 802.11g LAN OLITEC-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E91E8912-769D-42F0-8408-0E329443BABC}\setup.exe" -l0x40c -removeonly

Creator 9-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *CREATOR9*

Doc Online NEC PowerMate VL360-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *DOC*

Fichiers de prise en charge de l'installation de Microsoft SQL Server (Français)-->MsiExec.exe /X{3380F354-C5F7-4E71-8F51-EEE6C3F06C62}

Google Chrome-->"C:\Program Files\Google\Chrome\Application\4.0.249.89\Installer\setup.exe" --uninstall --system-level

Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

Google Earth-->MsiExec.exe /X{2EAF7E61-068E-11DF-953C-005056806466}

HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""

HP Customer Participation Program 8.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat

HP Imaging Device Functions 8.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat

HP OCR Software 8.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat

HP Photosmart Essential-->MsiExec.exe /X{EB21A812-671B-4D08-B974-2A347F0D8F70}

HP Photosmart, Officejet, PSC and Deskjet All-In-One Driver Software 8.0.B-->C:\Program Files\HP\Digital Imaging\{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}\setup\hpzscr01.exe -datfile hposcr19.dat -onestop -showdisconnect -forcereboot

HP Solution Center 8.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat

HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}

HPSSupply-->MsiExec.exe /X{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}

Java SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}

Lizardtech DjVu Control-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{105CFC7C-6992-11D5-BD9D-000102C10FD8}\Setup.exe" -l0x40c

Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"

Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}

Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}

Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}

Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe

Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}

Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9111040C-6000-11D3-8CFE-0150048383C9}

Microsoft Office Small Business Connectivity Components-->MsiExec.exe /X{A939D341-5A04-4E0A-BB55-3E65B386432D}

Microsoft SQL Server Native Client-->MsiExec.exe /I{90283F22-0731-43B6-81FD-E6DD911A31FB}

Microsoft SQL Server VSS Writer-->MsiExec.exe /I{C74B273E-DF20-4955-899B-15205119894C}

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}

Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}

Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe

Mozilla Firefox (3.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe

MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}

MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}

MyVirtualHome-->"C:\Program Files\InstallShield Installation Information\{C66FE99D-7C15-40A0-AE4A-A1A3900D9EE3}\setup.exe" -runfromtemp -l0x0009 -removeonly

NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI

Package de pilotes Windows - MobileTop (sshpmdm) Modem (01/26/2008 2.6.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\DPInst.exe /u C:\Windows\System32\DriverStore\FileRepository\mbtmdm.inf_afb0631d\mbtmdm.inf

Package de pilotes Windows - Nokia pccsmcfd (10/12/2007 6.85.4.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\system32\DRVSTORE\pccsmcfd_4A1E30386F4D0DEC8F5DF262CFBD8845EEBAB175\pccsmcfd.inf

PC Connectivity Solution-->MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930}

PowerDVD 7-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *PDVD*

PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall

Programme d'installation OLITEC -->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\Setup.exe" -l0x40c

PVAnalysis 9.1-->"C:\Program Files\PVAnalysis\unins000.exe"

Realtek HD Audio V6.0.1.5334-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *AUDIO_REALTEK*

Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly

ROUTE 66 Sync-->C:\Program Files\InstallShield Installation Information\{9252E63C-2BFF-415B-97D6-8507E8648F64}\setup.exe -runfromtemp -l0x040c

Roxio Activation Module-->MsiExec.exe /I{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}

Roxio Creator 9 LE-->MsiExec.exe /I{B7FB0C86-41A4-4402-9A33-912C462042A0}

SAMSUNG Mobile Composite Device Software-->C:\Windows\system32\Samsung_USB_Drivers\6_old\SSBCUninstall.exe

Samsung Mobile Modem Device Software-->C:\Windows\system32\Samsung_USB_Drivers\7\SSECUninstall.exe

SAMSUNG Mobile Modem Driver Set-->C:\Windows\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe

SAMSUNG Mobile Modem V2 Software-->C:\Windows\system32\Samsung_USB_Drivers\3_6810\SSCEUninstall.exe

Samsung Mobile phone USB driver Software-->C:\Windows\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe

SAMSUNG Mobile USB Modem 1.0 Software-->C:\Windows\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe

SAMSUNG Mobile USB Modem Software-->C:\Windows\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe

Samsung New PC Studio-->"C:\Program Files\InstallShield Installation Information\{F193FC0E-9E18-40FC-A974-509A1BDD240A}\setup.exe" -runfromtemp -l0x040c -removeonly

Samsung New PC Studio-->MsiExec.exe /X{F193FC0E-9E18-40FC-A974-509A1BDD240A}

SAMSUNG SYMBIAN USB Download Driver-->C:\Program Files\SAMSUNG\SYMBIAN USB Download Driver\Uninstall.exe

SAMSUNG USB Mobile Device Software-->C:\Windows\system32\Samsung_USB_Drivers\6\SS_BUninstall.exe

SamsungConnectivityCableDriver-->MsiExec.exe /X{7E84FAC8-C518-40F9-9807-7455301D6D25}

TerraExplorer-->C:\Program Files\Skyline\TerraExplorer\Setup.exe [OP]/U

Vade Retro Outlook, Outlook Express, Windows Mail (Vista)-->C:\Program Files\Goto Software\Vade Retro\uninst.exe

Video NVIDIA v97.34-->"C:\Program Files\NEC Computers\Smart Restore\SmartRestore.exe" /MSADDREM *VIDEO_BOGOTA*

 

======Security center information======

 

AV: AntiVir Desktop

AS: AntiVir Desktop

AS: Windows Defender (outdated)

 

======System event log======

 

Computer Name: PC-de-ACMF

Event Code: 6

Message: IRQARB : le BIOS ACP ne contient pas un IRQ pour le périphérique dans le connecteur PCI 4, fonction 0. Contactez le fabricant de votre ordinateur pour une assistance technique.

Record Number: 39246

Source Name: ACPI

Time Written: 20100317180240.796401-000

Event Type: Erreur

User:

 

Computer Name: PC-de-ACMF

Event Code: 4101

Message: Le pilote d’affichage nvlddmkm ne répondait plus et a été récupéré correctement.

Record Number: 39264

Source Name: Display

Time Written: 20100317180433.000000-000

Event Type: Avertissement

User:

 

Computer Name: PC-de-ACMF

Event Code: 7023

Message: Le service Service HP CUE DeviceDiscovery s'est arrêté avec l'erreur :

Erreur non spécifiée

Record Number: 39318

Source Name: Service Control Manager

Time Written: 20100317180446.000000-000

Event Type: Erreur

User:

 

Computer Name: PC-de-ACMF

Event Code: 7026

Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :

i8042prt

Record Number: 39334

Source Name: Service Control Manager

Time Written: 20100317180446.000000-000

Event Type: Erreur

User:

 

Computer Name: PC-de-ACMF

Event Code: 8003

Message: Le maître explorateur a reçu une annonce de serveur de l'ordinateur MICHEL qui pense qu'il est le maître explorateur sur le domaine pour le transport NetBT_Tcpip_{301156D9-E6D3-47CA-9201-B0CD705773B. Le maître explorateur s'arrête ou une élection est provoquée.

Record Number: 39349

Source Name: bowser

Time Written: 20100317181325.857030-000

Event Type: Erreur

User:

 

=====Application event log=====

 

Computer Name: PC-de-ACMF

Event Code: 4113

Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'!

Record Number: 6233

Source Name: Avira AntiVir

Time Written: 20100317165631.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-ACMF

Event Code: 4113

Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'!

Record Number: 6265

Source Name: Avira AntiVir

Time Written: 20100317180421.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-ACMF

Event Code: 4113

Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'!

Record Number: 6269

Source Name: Avira AntiVir

Time Written: 20100317184332.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-ACMF

Event Code: 4113

Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'!

Record Number: 6270

Source Name: Avira AntiVir

Time Written: 20100317184438.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-ACMF

Event Code: 4113

Message: AntiVir a détecté dans le fichier C:\Users\ACMF\Desktop\rkill.pif un code suspect avec la désignation 'HIDDENEXT/Crypted'!

Record Number: 6271

Source Name: Avira AntiVir

Time Written: 20100317184519.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

=====Security event log=====

 

Computer Name: PC-de-ACMF

Event Code: 4672

Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

 

Privilèges : SeAssignPrimaryTokenPrivilege

SeTcbPrivilege

SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeAuditPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

Record Number: 8392

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100317180406.637830-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-ACMF

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume2\Windows\System32\FsUsbExDisk.Sys

Record Number: 8393

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100317180419.507830-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-de-ACMF

Event Code: 4648

Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : PC-DE-ACMF$

Domaine du compte : WORKGROUP

ID d’ouverture de session : 0x3e7

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Compte dont les informations d’identification ont été utilisées :

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Serveur cible :

Nom du serveur cible : localhost

Informations supplémentaires : localhost

 

Informations sur le processus :

ID du processus : 0x23c

Nom du processus : C:\Windows\System32\services.exe

 

Informations sur le réseau :

Adresse du réseau : -

Port : -

 

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.

Record Number: 8394

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100317181818.403830-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-ACMF

Event Code: 4624

Message: L’ouverture de session d’un compte s’est correctement déroulée.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : PC-DE-ACMF$

Domaine du compte : WORKGROUP

ID d’ouverture de session : 0x3e7

 

Type d’ouverture de session : 5

 

Nouvelle ouverture de session :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Informations sur le processus :

ID du processus : 0x23c

Nom du processus : C:\Windows\System32\services.exe

 

Informations sur le réseau :

Nom de la station de travail :

Adresse du réseau source : -

Port source : -

 

Informations détaillées sur l’authentification :

Processus d’ouverture de session : Advapi

Package d’authentification : Negotiate

Services en transit : -

Nom du package (NTLM uniquement) : -

Longueur de la clé : 0

 

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

 

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

 

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

 

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

 

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

 

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.

- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .

- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.

- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.

- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

Record Number: 8395

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100317181818.403830-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-ACMF

Event Code: 4672

Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

 

Privilèges : SeAssignPrimaryTokenPrivilege

SeTcbPrivilege

SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeAuditPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

Record Number: 8396

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100317181818.403830-000

Event Type: Succès de l'audit

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=15

"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 95 Stepping 2, AuthenticAMD

"PROCESSOR_REVISION"=5f02

"NUMBER_OF_PROCESSORS"=1

"RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\

 

-----------------EOF-----------------

[Apollo]

Re,

 

Ce log nous montre une infection USB en tous cas; il va falloir connecter les supports amovibles USB, c'est indispensable!

 

Si vous êtes sous Vista:Désactiver provisoirement l'UAC

 

:arrow: Télécharge USBFix de Chiquitine29 et C_XX et enregistre le sur ton bureau.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Une fenêtre de commandes va s'ouvrir. Appuie sur F puis sur la touche [Entrée] pour choisir la langue du script.
  
• Dans le menu suivant, tape 1 puis [Entrée] pour lancer la recherche.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

@++

[papatango]

très résistante la bête

ci de-ssous rapport USBFix

 

############################## | UsbFix V6.099 |

 

User : ACMF (Administrateurs) # PC-DE-ACMF

Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8

Start at: 20:18:12 | 17/03/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Athlon 64 Processor 3800+

Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) #

Internet Explorer 7.0.6000.16945

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 141,04 Go (120,73 Go free) [HDD] # NTFS

D:\ -> Disque CD-ROM

E:\ -> Disque amovible # 1,92 Go (1,82 Go free) # FAT

 

################## | Elements infectieux |

 

 

################## | Registre |

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"

 

################## | Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\{57ae6e35-119a-11df-bc7d-000a789e0478}

shell\AutoRun\command =F:\fk.exe

shell\open\Command =F:\fk.exe

 

HKCU\..\..\Explorer\MountPoints2\{57ae6e3b-119a-11df-bc7d-000a789e0478}

shell\AutoRun\command =E:\LaunchU3.exe -a

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné !

 

################## | ! Fin du rapport # UsbFix V6.099 ! |

[Apollo]

Coriace mais on l'aura!

 

On passe à la désinfection:

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Une fenêtre de commandes va s'ouvrir. Appuie sur F puis sur la touche [Entrée] pour choisir la langue du script.
  
• Dans le menu suivant, tape 2 puis [Entrée] pour lancer le nettoyage.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• L USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

--------------------------------------------------------------

 

Envoi de fichiers: http://chiquitine.changelog.fr/Sample/Upload.php >> envoie le fichier zippé qui se trouvera sur le C:\ stp, pour faire remonter au concepteur de l'outil, merci.

 

@++

 

PS: débarrasse-toi toujours de Rkill et vide la corbeille car il peut être détecté à tort par Antivir comme étant un malware...

Modifié le 17 mars 2010 par Apollo

[papatango]

déroulement impec, rapport de nettoyage ci-dessous

a+

 

############################## | UsbFix V6.099 |

 

User : ACMF (Administrateurs) # PC-DE-ACMF

Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8

Start at: 20:50:46 | 17/03/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Athlon 64 Processor 3800+

Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) #

Internet Explorer 7.0.6000.16945

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 141,04 Go (120,67 Go free) [HDD] # NTFS

D:\ -> Disque CD-ROM

E:\ -> Disque amovible # 1,92 Go (1,82 Go free) # FAT

 

################## | Elements infectieux |

 

Supprimé ! C:\$Recycle.Bin\S-1-5-21-2071845501-249732227-939305529-1005

Supprimé ! C:\$Recycle.Bin\S-1-5-21-574748197-3223430953-2639506810-500

Supprimé ! C:\$Recycle.Bin\S-1-5-21-918056312-2952985149-2686913973-500

 

################## | Registre |

 

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"

 

################## | Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\{57ae6e35-119a-11df-bc7d-000a789e0478}\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{57ae6e3b-119a-11df-bc7d-000a789e0478}\Shell\AutoRun\Command

 

################## | Listing des fichiers présent |

 

[18/09/2006 22:43|--a------|24] C:\autoexec.bat

[02/11/2006 10:53|-rahs----|438840] C:\bootmgr

[21/03/2007 19:53|-ra-s----|8192] C:\BOOTSECT.BAK

[18/01/2010 10:24|--a------|875] C:\cleannavi.txt

[18/09/2006 22:43|--a------|10] C:\config.sys

[?|?|?] C:\hiberfil.sys

[?|?|?] C:\pagefile.sys

[17/03/2010 14:54|--a------|416] C:\rkill.log

[18/01/2010 10:04|--a------|19406] C:\TDSSKiller.2.2.2_18.01.2010_10.04.29_log.txt

[18/01/2010 10:27|--a------|19402] C:\TDSSKiller.2.2.2_18.01.2010_10.27.26_log.txt

[17/03/2010 20:55|--a------|1912] C:\UsbFix.txt

[06/02/2010 13:45|--a------|442669] E:\plan la motte.jpg

[01/01/2001 00:00|--a------|665345] E:\002.JPG

[18/02/2010 18:42|--a------|5257276] E:\la mottte extension4.sh3d

[01/01/2001 00:00|--a------|638953] E:\003.JPG

[01/01/2001 00:00|--a------|634633] E:\004.JPG

[01/01/2001 00:00|--a------|736781] E:\005.JPG

[01/01/2001 00:00|--a------|753741] E:\006.JPG

[01/01/2001 00:00|--a------|689778] E:\007.JPG

[01/01/2001 00:00|--a------|690273] E:\008.JPG

[01/01/2001 00:00|--a------|601587] E:\009.JPG

[01/01/2001 00:00|--a------|704235] E:\010.JPG

[01/01/2001 00:00|--a------|575569] E:\011.JPG

[01/01/2001 00:00|--a------|603649] E:\012.JPG

[01/01/2001 00:00|--a------|630385] E:\013.JPG

[01/01/2001 00:00|--a------|746201] E:\014.JPG

[01/01/2001 00:00|--a------|608732] E:\015.JPG

[01/01/2001 00:00|--a------|582421] E:\016.JPG

[01/01/2001 00:00|--a------|563942] E:\017.JPG

[01/01/2001 00:00|--a------|677015] E:\018.JPG

[01/01/2001 00:00|--a------|644393] E:\019.JPG

[01/01/2001 00:00|--a------|641122] E:\020.JPG

[01/01/2001 00:00|--a------|667716] E:\001.JPG

[01/01/2001 00:00|--a------|650738] E:\021.JPG

[01/01/2001 00:00|--a------|631813] E:\022.JPG

[01/01/2001 00:00|--a------|648574] E:\023.JPG

[05/12/2008 10:14|---h-----|73728] E:\~WRL3389.tmp

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-ACMF.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.099 ! |

[Apollo]

Ok,

 

Si tu as envoyé le fichier demandé dans le dernier rapport USBFIX, tu peux désinstaller l'outil en le lançant avec son option 6, valide par Enter.

 

Supprime aussi Rkill et vide la corbeille.

 

Installe Explorer 8 , beaucoup plus sécurisé qu'IE6 ou IE7, même si Firefox ou un autre navigateur est utilisé.

 

Après installation d'IE8:

 

Pour éviter des problèmes de compatibilité de certains sites web avec IE8, cliquer sur "Page" (ou outils) au-dessus de la page web puis sur Paramètres d'affichage de compatibilité.

 

Cocher la case "Afficher tous les sites web dans Affichage de compatibilité". Fermer.

 

FAQ IE8

 

***********************

 

Mets ton Antivir à jour puis lance une analyse complète du pc.

 

Poste le rapport d'analyse stp. (voir ma signature pour trouver le rapport).

 

Si tu éprouvais des difficultés pour le mettre à jour: Mises à jour manuelles d'Antivir

 

@++

[Apollo]

Précision importante:

 

Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

++

[papatango]

Bonjour Apollo,

La bestiole est plus que résistante et surtout elle déjoue nos actions.

Rootkit est toujours là et impossible de déplacer le fichier en quarantaine.

seule action possible la suppression : réponse impossible de repérer le fichier pour sa suppression

désolant

papatango

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 18 mars 2010 08:43

 

La recherche porte sur 1866010 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (plain) [6.0.6000]

Mode Boot : Démarré normalement

Identifiant : ACMF

Nom de l'ordinateur : PC-DE-ACMF

 

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 11/12/2009 12:47:43

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:47:40

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:47:40

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:49:43

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:52:54

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:23:42

VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 13:23:42

VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 13:23:42

VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 13:23:43

VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 13:23:44

VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 13:23:44

VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 13:23:44

VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 13:23:44

VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 13:23:44

VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 08:51:57

VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 08:52:01

VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 08:52:41

VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 07:19:32

VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 20:29:41

VBASE018.VDF : 7.10.5.92 2048 Bytes 15/03/2010 20:29:41

VBASE019.VDF : 7.10.5.93 2048 Bytes 15/03/2010 20:29:41

VBASE020.VDF : 7.10.5.94 2048 Bytes 15/03/2010 20:29:41

VBASE021.VDF : 7.10.5.95 2048 Bytes 15/03/2010 20:29:42

VBASE022.VDF : 7.10.5.96 2048 Bytes 15/03/2010 20:29:42

VBASE023.VDF : 7.10.5.97 2048 Bytes 15/03/2010 20:29:42

VBASE024.VDF : 7.10.5.98 2048 Bytes 15/03/2010 20:29:42

VBASE025.VDF : 7.10.5.99 2048 Bytes 15/03/2010 20:29:42

VBASE026.VDF : 7.10.5.100 2048 Bytes 15/03/2010 20:29:42

VBASE027.VDF : 7.10.5.101 2048 Bytes 15/03/2010 20:29:42

VBASE028.VDF : 7.10.5.102 2048 Bytes 15/03/2010 20:29:42

VBASE029.VDF : 7.10.5.103 2048 Bytes 15/03/2010 20:29:42

VBASE030.VDF : 7.10.5.104 2048 Bytes 15/03/2010 20:29:43

VBASE031.VDF : 7.10.5.116 109056 Bytes 17/03/2010 20:29:44

Version du moteur : 8.2.1.194

AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 13:31:35

AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17/03/2010 20:31:04

AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 09:02:54

AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 20:31:06

AERDL.DLL : 8.1.4.3 541043 Bytes 17/03/2010 20:30:55

AEPACK.DLL : 8.2.1.0 426356 Bytes 04/03/2010 13:18:17

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 20:30:51

AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17/03/2010 20:30:48

AEHELP.DLL : 8.1.10.2 237941 Bytes 17/03/2010 20:30:04

AEGEN.DLL : 8.1.2.2 373107 Bytes 17/03/2010 20:29:57

AEEMU.DLL : 8.1.1.0 393587 Bytes 11/12/2009 12:47:41

AECORE.DLL : 8.1.12.3 188789 Bytes 17/03/2010 20:29:49

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 11/12/2009 12:47:43

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:53:36

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11/12/2009 12:47:39

RCTEXT.DLL : 9.0.73.0 88321 Bytes 11/12/2009 12:47:39

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : jeudi 18 mars 2010 08:43

 

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\type

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\start

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\errorcontrol

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\group

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\pi7qtf4p

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\i5ii1u4r4

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\bh8lgaj

[iNFO] L'entrée d'enregistrement n'est pas visible.

'84366' objets ont été contrôlés, '7' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RoxMediaDB9.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RaUI.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Vaderetro_mgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RoxWatchTray9.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'51' processus ont été contrôlés avec '51' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '43' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <HDD>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Windows\System32\drivers\wopaoo.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

 

Début de la désinfection :

C:\Windows\System32\drivers\wopaoo.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.

 

 

 

Fin de la recherche : jeudi 18 mars 2010 09:53

Temps nécessaire: 1:06:59 Heure(s)

 

La recherche a été effectuée intégralement

 

13543 Les répertoires ont été contrôlés

275035 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

3 Impossible de contrôler des fichiers

275031 Fichiers non infectés

1257 Les archives ont été contrôlées

3 Avertissements

3 Consignes

84366 Des objets ont été contrôlés lors du Rootkitscan

7 Des objets cachés ont été trouvés

[Apollo]

Bonjour,

 

C'est ce qu'on va voir, il a la peau dure mais on va la lui faire quand-même.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci panpan
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur panpan.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

[papatango]

Incident lors de l'émission du rapport combofix, l'ordi s'est arrêté avec page bleue et erreur systeme.

Au redémarrage, aucun rapport de combofix dans c:/

ci-dessous le détail de cet arrêt non planifié décrit par windows

papatango

 

Signature du problème :

Nom d’événement de problème: BlueScreen

Version du système: 6.0.6000.2.0.0.256.6

Identificateur de paramètres régionaux: 1036

 

Informations supplémentaires sur le problème :

BCCode: 50

BCP1: 93480000

BCP2: 00000000

BCP3: 85DB408D

BCP4: 00000000

OS Version: 6_0_6000

Service Pack: 0_0

Product: 256_1

 

Fichiers aidant à décrire le problème :

C:\Windows\Minidump\Mini031810-01.dmp

C:\Users\ACMF\AppData\Local\Temp\WER-253907-0.sysdata.xml

C:\Users\ACMF\AppData\Local\Temp\WERF92C.tmp.version.txt

 

Lire notre déclaration de confidentialité :

http://go.microsoft.com/fwlink/?linkid=501...mp;clcid=0x040c