Infection trojan TR/Rootkit.Gen

Apollo · le 18 mars 2010

Re,

Ben tant pis hein.

Lance une analyse rapide avec Antivir stp et poste-moi le rapport.

@++

papatango · le 18 mars 2010

Les choses ne s'arrange pas, elles s'aggravent

d'un objet infecté au départ, nous voilà avec deux objets infectés maintenant.

la bestiole est véritablement indéfectible.

bonne lecture Apollo

a+

papatango

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 18 mars 2010 19:29

La recherche porte sur 1866010 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (plain) [6.0.6000]

Mode Boot : Démarré normalement

Identifiant : ACMF

Nom de l'ordinateur : PC-DE-ACMF

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 11/12/2009 12:47:43

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:47:40

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:47:40

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:49:43

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:52:54

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:23:42

VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 13:23:42

VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 13:23:42

VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 13:23:43

VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 13:23:44

VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 13:23:44

VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 13:23:44

VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 13:23:44

VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 13:23:44

VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 08:51:57

VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 08:52:01

VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 08:52:41

VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 07:19:32

VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 20:29:41

VBASE018.VDF : 7.10.5.92 2048 Bytes 15/03/2010 20:29:41

VBASE019.VDF : 7.10.5.93 2048 Bytes 15/03/2010 20:29:41

VBASE020.VDF : 7.10.5.94 2048 Bytes 15/03/2010 20:29:41

VBASE021.VDF : 7.10.5.95 2048 Bytes 15/03/2010 20:29:42

VBASE022.VDF : 7.10.5.96 2048 Bytes 15/03/2010 20:29:42

VBASE023.VDF : 7.10.5.97 2048 Bytes 15/03/2010 20:29:42

VBASE024.VDF : 7.10.5.98 2048 Bytes 15/03/2010 20:29:42

VBASE025.VDF : 7.10.5.99 2048 Bytes 15/03/2010 20:29:42

VBASE026.VDF : 7.10.5.100 2048 Bytes 15/03/2010 20:29:42

VBASE027.VDF : 7.10.5.101 2048 Bytes 15/03/2010 20:29:42

VBASE028.VDF : 7.10.5.102 2048 Bytes 15/03/2010 20:29:42

VBASE029.VDF : 7.10.5.103 2048 Bytes 15/03/2010 20:29:42

VBASE030.VDF : 7.10.5.104 2048 Bytes 15/03/2010 20:29:43

VBASE031.VDF : 7.10.5.116 109056 Bytes 17/03/2010 20:29:44

Version du moteur : 8.2.1.194

AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 13:31:35

AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17/03/2010 20:31:04

AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 09:02:54

AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 20:31:06

AERDL.DLL : 8.1.4.3 541043 Bytes 17/03/2010 20:30:55

AEPACK.DLL : 8.2.1.0 426356 Bytes 04/03/2010 13:18:17

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 20:30:51

AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17/03/2010 20:30:48

AEHELP.DLL : 8.1.10.2 237941 Bytes 17/03/2010 20:30:04

AEGEN.DLL : 8.1.2.2 373107 Bytes 17/03/2010 20:29:57

AEEMU.DLL : 8.1.1.0 393587 Bytes 11/12/2009 12:47:41

AECORE.DLL : 8.1.12.3 188789 Bytes 17/03/2010 20:29:49

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 11/12/2009 12:47:43

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:53:36

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11/12/2009 12:47:39

RCTEXT.DLL : 9.0.73.0 88321 Bytes 11/12/2009 12:47:39

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Début de la recherche : jeudi 18 mars 2010 19:29

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\type

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\start

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\errorcontrol

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\group

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\pi7qtf4p

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\i5ii1u4r4

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\bh8lgaj

[iNFO] L'entrée d'enregistrement n'est pas visible.

'89103' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RoxMediaDB9.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RaUI.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Vaderetro_mgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RoxWatchTray9.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'47' processus ont été contrôlés avec '47' modules

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '43' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <HDD>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

C:\Windows\System32\drivers\wopaoo.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Début de la désinfection :

C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.

C:\Windows\System32\drivers\wopaoo.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.

Fin de la recherche : jeudi 18 mars 2010 20:51

Temps nécessaire: 49:05 Minute(s)

La recherche a été effectuée intégralement

13968 Les répertoires ont été contrôlés

284603 Des fichiers ont été contrôlés

2 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

3 Impossible de contrôler des fichiers

284598 Fichiers non infectés

1286 Les archives ont été contrôlées

4 Avertissements

4 Consignes

89103 Des objets ont été contrôlés lors du Rootkitscan

7 Des objets cachés ont été trouvés

Apollo · le 18 mars 2010

Bon, on va encore essayer avec un script dans ComboFix; il est important de bien respecter la procédure.

Si cela devait encore foirer, je te ferais installer un autre outil que tu devrais lancer pendant le nuit car cela risque de dure encore plus longtemps que DrWeb CureIt...

Jamais vu ça!

Désinstalle ComboFix de la manière suivante:

Clique sur Démarrer > Exécuter et copie/colle le texte en gras ci-dessous dans la zone de saisie Ouvrir puis cliquer sur OK

ComboFix /Uninstall

Supprimer les dossiers c:\Qoobox et c:\ComboFix s'ils étaient encore présents sur le C:\

Vider la corbeille.

*****************

Télécharge une nouvelle copie de ComboFix à renommer:

Fais un clic droit ICI

Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci panpan
On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
Clique enfin sur le bouton Enregistrer en bas de page à droite.

Ne lance pas encore ComboFix!

********************************

Ce script a été rédigé spécialement pour cet utilisateur; ne pas l'utiliser sur une autre machine: dangereux!

Télécharge et enregistre CFScript.txt sur le BUREAU.

http://senduit.com/e7e48f

1. Ferme tous les navigateurs ouverts.

2. Désactive provisoirement l'antivirus.

--> connecte les supports amovibles!

2. Ferme/désactive tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Comme sur l'image ci-dessus, fais glisser CFScript puis dépose-le sur ComboFix.exe

Lorsque l'outil aura terminé, il t'affichera un rapport nommé C:\ComboFix.txt que tu devras m'envoyer dans ton prochain message.

@++

papatango · le 18 mars 2010

je n'ai pas la commande exécuter, mais avec "rechercher" je trouve le fichier.

lorsque je clique dessus, j'ai un message windows ne trouve pas "panpan.exe

Apollo · le 18 mars 2010

Tout le monde a la commande exécuter: presse les touches Windows et R et tu la verras.

Si cela ne marche quand-même pas, supprime les dossiers cités et l'icône de ComboFix (panpan) manuellement puis vide la corbeille.

@+

papatango · le 18 mars 2010

désinstall combofix ok. désolé mais la commande "exécuter" n'apparait pas sous vista, mais Win+R parfait

installation de CFScript sur panpan ok

plantage du systeme une minute après le démarrage de combofix. page bleue et redémarrage.

A+

Apollo · le 18 mars 2010

Alors là, je ne sais plus quoi penser...

pour la commande exécuter: http://www.zebulon.fr/astuces/219-option-e...r-de-vista.html

Reste AVP Tool, le tuto ci-après n'a plus exactement les mêmes interfaces mais le principe est le même, c'est juste l'outil qui a évolué et on n'a pas encore de nouvelle procédure.

Pour qu'AVP Tool fasse correctement son travail de nettoyage et de désinfection, il ne faut pas que le pc se mette en veille!

Aller par le panneau de configuration à Options d'alimentation: régler tous les paramètres sur "Jamais", Appliquer/Ok. Comme le montre cette capture d'écran:

Télécharger ATF Cleaner par Atribune.

Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)

Double-clique ATF-Cleaner.exe afin de lancer le programme.
--> Sous Vista: Clic droit/exécuter en temps qu'administrateur.

Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Cliquer le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Cliquer le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

*************************

Adresse où récupérer la dernière version d'AVP Tool:

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

SCANNER AVEC AVP TOOL

Le scan va s'effectuer en Mode Sans Echec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL (sélectionne-la à partir des dates) en cliquant sur cette image:

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Connecte éventuellement tes clés USB et disques externes.
Lance l'exécutable intitulé "setup_9.0xxxxx" en double-cliquant dessus
Réponds "Oui" à la question "Do you want to continue installation?"
Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...)
L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image:
Valide avec "Apply" puis "OK"
L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Disinfect"
Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES"
Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:

A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en Mode normal.
Poste le contenu du rapport dans ta prochaine réponse

*** Le rapport étant très lourd, je te demanderais de bien vouloir l'héberger ici: http://www.senduit.com/ choisis de le laisser disponible 4 ou 5 jours afin que l'on puisse le consulter pendant quelques jours.

Récupère le lien et transmets-le dans ta réponse stp.

Bon courage.

@++

papatango · le 19 mars 2010

bonjour Apollo,

la machine a tournée toute la nuit 8h de travail

Ce matin j'étais de retour à la page de lancement de AVP. aucune fenetre demandant le nettoyage.

en bas j'ai cliqué sur un onglet report pour connaitre le résultat et deux lignes se sont affichées concernant 2 fichiers infectés.

Aucune invite à nettoyer ou à sauvegarder le rapport.

J'ai l'impression de n'avoir pas la même version que toi.

j'ai pourtant télécharger à partir du lien qui indiquait la dernière version.

En revanche je n'ai pas saisi le clic sur le logo et les dates!!!

A te lire

papatango

Apollo · le 19 mars 2010

Bonjour,

Oui, les captures sont anciennes car la version a évolué depuis.

Je ne me sers pas personnellement d'avp tool pour la simple raison que j'ai déjà Kaspersky sur mon pc.

Je ne sais plus trop quoi entreprendre puisque ComboFix ne veut pas fonctionner sur ta machine et que semble-t-il aucun outil, aussi puissant soit-il ne parvient à liquider cette sale bête.

Je te suggère de mettre MBAM à jour, et de lancer une analyse rapide pour voir où nous en sommes.

Je pensais également à te faire relancer la dernière manoeuvre demandée avec ComboFix mais cette fois en mode sans échec, pour voir si le pc planterait aussi dans ce mode.

Sinon, à part ça, je devrais m'avouer vaincu et cela ne me plait guère, tu peux me croire...

Bonne journée.

papatango · le 19 mars 2010

je viens d'effectuer un controle avec Antivir, lançé avant ton message.

il ne trouve plus qu'un fichier infecté, contrairement à hier soir, mais rien n'est règlé

souhaites-tu également que je lance Mbam

A+

Avira AntiVir Personal

Date de création du fichier de rapport : vendredi 19 mars 2010 08:34

La recherche porte sur 1866010 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (plain) [6.0.6000]

Mode Boot : Démarré normalement

Identifiant : ACMF

Nom de l'ordinateur : PC-DE-ACMF

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 11/12/2009 12:47:43

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:47:40

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:47:40

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:49:43

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:52:54

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:23:42

VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 13:23:42

VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 13:23:42

VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 13:23:43

VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 13:23:44

VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 13:23:44

VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 13:23:44

VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 13:23:44

VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 13:23:44

VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 08:51:57

VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 08:52:01

VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 08:52:41

VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 07:19:32

VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 20:29:41

VBASE018.VDF : 7.10.5.92 2048 Bytes 15/03/2010 20:29:41

VBASE019.VDF : 7.10.5.93 2048 Bytes 15/03/2010 20:29:41

VBASE020.VDF : 7.10.5.94 2048 Bytes 15/03/2010 20:29:41

VBASE021.VDF : 7.10.5.95 2048 Bytes 15/03/2010 20:29:42

VBASE022.VDF : 7.10.5.96 2048 Bytes 15/03/2010 20:29:42

VBASE023.VDF : 7.10.5.97 2048 Bytes 15/03/2010 20:29:42

VBASE024.VDF : 7.10.5.98 2048 Bytes 15/03/2010 20:29:42

VBASE025.VDF : 7.10.5.99 2048 Bytes 15/03/2010 20:29:42

VBASE026.VDF : 7.10.5.100 2048 Bytes 15/03/2010 20:29:42

VBASE027.VDF : 7.10.5.101 2048 Bytes 15/03/2010 20:29:42

VBASE028.VDF : 7.10.5.102 2048 Bytes 15/03/2010 20:29:42

VBASE029.VDF : 7.10.5.103 2048 Bytes 15/03/2010 20:29:42

VBASE030.VDF : 7.10.5.104 2048 Bytes 15/03/2010 20:29:43

VBASE031.VDF : 7.10.5.116 109056 Bytes 17/03/2010 20:29:44

Version du moteur : 8.2.1.194

AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 13:31:35

AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17/03/2010 20:31:04

AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 09:02:54

AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 20:31:06

AERDL.DLL : 8.1.4.3 541043 Bytes 17/03/2010 20:30:55

AEPACK.DLL : 8.2.1.0 426356 Bytes 04/03/2010 13:18:17

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 20:30:51

AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17/03/2010 20:30:48

AEHELP.DLL : 8.1.10.2 237941 Bytes 17/03/2010 20:30:04

AEGEN.DLL : 8.1.2.2 373107 Bytes 17/03/2010 20:29:57

AEEMU.DLL : 8.1.1.0 393587 Bytes 11/12/2009 12:47:41

AECORE.DLL : 8.1.12.3 188789 Bytes 17/03/2010 20:29:49

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 11/12/2009 12:47:43

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:53:36

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11/12/2009 12:47:39

RCTEXT.DLL : 9.0.73.0 88321 Bytes 11/12/2009 12:47:39

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Début de la recherche : vendredi 19 mars 2010 08:34

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\type

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\start

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\errorcontrol

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\group

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\pi7qtf4p

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\i5ii1u4r4

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo\bh8lgaj

[iNFO] L'entrée d'enregistrement n'est pas visible.

'89273' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WMIADAP.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mobsync.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RoxMediaDB9.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés