programme malveillant détecté par Avast et Adaware?

[guy31]

Bonjour,

 

depis quelques temps, au démarrage de mon PC, avast détecte un rootkit. de plus à chaque démarrage, une icone d' avast dans la barre des tâches apparait "gyrophare bleu au milieu de 2 pages".

 

je joins ci desssous un rapport Hijackthis

pouvez-vous vous SVP le regrder et me proposer une marche à suivre ?

 

cordialement,

Guy31

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:23:38, on 03/05/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe

C:\PROGRA~1\Magentic\bin\MgApp.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

O24 - Desktop Component 0: (no name) - http://www.magentic.com/gallery/gallery.as...ational%20Parks

 

--

End of file - 6539 bytes

[pear]

Bonjour,

 

au démarrage de mon PC, avast détecte un rootkit.

 

Postez en le rapport,svp, que l'on sache de quoi il s'agit.

Modifié le 3 mai 2010 par pear

[guy31]

Bonjour,

 

 

 

Postez en le rapport,svp, que l'on sache de quoi il s'agit.

 

 

bonsoir et désolé pour le retard cause boulot!!

voici ce que me dit avast :

 

nom du malware : win32 : Qandr[rtk]

services cachés

c:\windows\system32\drivers\tbim.sys

 

merci

[pear]

Ok,

 

 

 

 

Télécharger gmer

 

- Cliquer sur le bouton "Download EXE"

- Sauvegardez sur le Bureau.

- Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les, car il faudra fermer le navigateur.

Avant toute utilisation de GMER, veuillez désactiver votre antivirus, antispyware sous peine de crash.

 

- Fermez les fenêtres de navigateur ouvertes.

- Lancez le fichier téléchargé par double clic(le nom comporte 8 chiffres/lettres aléatoires) ;

- Si l'outil lance un warning d'activité de rootkit et demande de faire un scan ; cliquez "NO"

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées les options suivantes :

Show All

- Cliquez sur le bouton "Scan" et patientez (cela peut prendre 10 minutes ou +)

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

 

Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.

Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.

[guy31]

Ok,

 

 

 

 

Télécharger gmer

 

- Cliquer sur le bouton "Download EXE"

- Sauvegardez sur le Bureau.

- Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les, car il faudra fermer le navigateur.

Avant toute utilisation de GMER, veuillez désactiver votre antivirus, antispyware sous peine de crash.

 

- Fermez les fenêtres de navigateur ouvertes.

- Lancez le fichier téléchargé par double clic(le nom comporte 8 chiffres/lettres aléatoires) ;

- Si l'outil lance un warning d'activité de rootkit et demande de faire un scan ; cliquez "NO"

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées les options suivantes :

Show All

- Cliquez sur le bouton "Scan" et patientez (cela peut prendre 10 minutes ou +)

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

 

Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.

Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.

 

 

 

 

 

bonjour pear,

 

ci dessous le rapport gmer que vous m'avez demandé avec des infections

confirmez moi que les lignes en rouge aparaissent (type SSDT), car j'ai un doute

 

merci a vous

cordialement

 

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-06 17:21:29

Windows 5.1.2600 Service Pack 3

Running: 4zhq86zx[1].exe; Driver: C:\DOCUME~1\COMPAQ~1.ALA\LOCALS~1\Temp\axlirpod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB50EC6B8] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB50EC574] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB50ECA52] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB50EC14C] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB50EC64E] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB50EC08C] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB50EC0F0] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB50EC76E] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB50EC72E] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB50EC8AE] <-- ROOTKIT !!!

 

---- Kernel code sections - GMER 1.0.15 ----

 

.pak2 C:\WINDOWS\system32\drivers\tbirn.sys entry point in ".pak2" section [0xBA6FA1CD]

? C:\WINDOWS\system32\drivers\tbirn.sys Un périphérique attaché au système ne fonctionne pas correctement.

PAGE Ntfs.sys BA543E55 4 Bytes CALL 89A3A7C9

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe[820] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 00454E05 C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe (a-squared Service/Emsi Software GmbH)

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\WINDOWS\system32\services.exe[772] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002

IAT C:\WINDOWS\system32\services.exe[772] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 89987200

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

 

Device \FileSystem\Cdfs \Cdfs BAB08400

 

---- Services - GMER 1.0.15 ----

 

Service (*** hidden *** ) [bOOT] tbirn <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbirn@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbirn@Start 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbirn@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbirn@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet002\Services\tbirn@Type 1

Reg HKLM\SYSTEM\ControlSet002\Services\tbirn@Start 0

Reg HKLM\SYSTEM\ControlSet002\Services\tbirn@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\tbirn@Group Boot Bus Extender

 

---- EOF - GMER 1.0.15 ----

[guy31]

bonjour pear,

 

ci dessous le rapport gmer que vous m'avez demandé avec des infections

confirmez moi que les lignes en rouge aparaissent (type SSDT), car j'ai un doute

 

merci a vous

cordialement

 

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-06 17:21:29

Windows 5.1.2600 Service Pack 3

Running: 4zhq86zx[1].exe; Driver: C:\DOCUME~1\COMPAQ~1.ALA\LOCALS~1\Temp\axlirpod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB50EC6B8] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB50EC574] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB50ECA52] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB50EC14C] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB50EC64E] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB50EC08C] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB50EC0F0] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB50EC76E] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB50EC72E] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB50EC8AE] <-- ROOTKIT !!!

 

---- Kernel code sections - GMER 1.0.15 ----

 

.pak2 C:\WINDOWS\system32\drivers\tbirn.sys entry point in ".pak2" section [0xBA6FA1CD]

? C:\WINDOWS\system32\drivers\tbirn.sys Un périphérique attaché au système ne fonctionne pas correctement.

PAGE Ntfs.sys BA543E55 4 Bytes CALL 89A3A7C9

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe[820] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 00454E05 C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe (a-squared Service/Emsi Software GmbH)

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\WINDOWS\system32\services.exe[772] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002

IAT C:\WINDOWS\system32\services.exe[772] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 89987200

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

 

Device \FileSystem\Cdfs \Cdfs BAB08400

 

---- Services - GMER 1.0.15 ----

 

Service (*** hidden *** ) [bOOT] tbirn <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbirn@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbirn@Start 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbirn@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbirn@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet002\Services\tbirn@Type 1

Reg HKLM\SYSTEM\ControlSet002\Services\tbirn@Start 0

Reg HKLM\SYSTEM\ControlSet002\Services\tbirn@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\tbirn@Group Boot Bus Extender

 

---- EOF - GMER 1.0.15 ----

 

 

 

je vous joint aussi le rapport malwarebytes

merci de votre aide

 

 

 

 

Version de la base de données: 4073

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

07/05/2010 09:54:58

mbam-log-2010-05-07 (09-54-58).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 18416

Temps écoulé: 6 minute(s), 7 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\drivers\tbirn.sys (Rootkit.Agent) -> Delete on reboot.

[pear]

Bonjour,

Vos doutes étaient fondés, les lignes rouges n'apparaissent pas.

 

Clic droit de souris sur le bureau > Nouveau > Document Texte, et y copier/coller les lignes suivantes en vert.

 

echo off

cls

4zhq86zx -killall

4zhq86zx -del service tbirn

4zhq86zx -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tbirn"

4zhq86zx -del file "C:\Windows\system32\Drivers\tbirn.sys"

echo APPUYEZ SUR UNE TOUCHE POUR REDEMARRER

pause

gmer -reboot

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.

Choisir le bureau comme lieu d'enregistrement, puis dans:

Type -> choisir "tous les fichiers"

Nom du fichier -> taper rootkit.bat.

Clic sur enregistrer.

- Double clic sur le fichier pour le lancer.

Relancez Mbam

[guy31]

Bonjour,

Vos doutes étaient fondés, les lignes rouges n'apparaissent pas.

 

Clic droit de souris sur le bureau > Nouveau > Document Texte, et y copier/coller les lignes suivantes en vert.

 

echo off

cls

4zhq86zx -killall

4zhq86zx -del service tbirn

4zhq86zx -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tbirn"

4zhq86zx -del file "C:\Windows\system32\Drivers\tbirn.sys"

echo APPUYEZ SUR UNE TOUCHE POUR REDEMARRER

pause

gmer -reboot

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.

Choisir le bureau comme lieu d'enregistrement, puis dans:

Type -> choisir "tous les fichiers"

Nom du fichier -> taper rootkit.bat.

Clic sur enregistrer.

- Double clic sur le fichier pour le lancer.

Relancez Mbam

 

 

 

 

bonjour,

en fait les lignes rouges n'apparaissent pas, mais à la fin de celles-ci est marqué : ROOTKIT!

 

de plus j'ai fait ce que vous me demandiez, mais quand je double clique sur le fichier pour le lancer,

la réponse est : rootkit.bat n'est pas une application win32 valide ???????

[pear]

Faites comme ceci:

 

Télécharger The Avenger par Swandog46 sur le Bureau.

 

Cliquez Enregistrer

Cliquer sur Bureau

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

Vérifiez que la case "Scan for rootkits" est bien décochée.( Elle est cochée par défaut).

 

***Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

drivers:

tbirn

Drivers to disable:

tbirn

drivers to delete:

tbirn

Files to Delete:

C:\Windows\system32\Drivers\tbirn.sys

Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\tbirn

Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

* Dans cette fenêtre "Input Script here" , coller le texte précédemment copié sur le bureau par les touches (Ctrl+V).

CliquerExecute

 

le système va redémarrer. (Si le script contient un/des "Drivers to Unload", The Avenger redémarrera une seconde fois.)

Pendant le re-démarrage, une fenêtre de commande de windows noire apparaitra brièvement sur votre bureau, c'est NORMAL.

Après le redémarrage, un fichier log s'ouvrira que vous retrouverez ici : C:\avenger.txt

Modifié le 8 mai 2010 par pear

[guy31]

Faites comme ceci:

 

Télécharger The Avenger par Swandog46 sur le Bureau.

 

Cliquez Enregistrer

Cliquer sur Bureau

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

Vérifiez que la case "Scan for rootkits" est bien décochée.( Elle est cochée par défaut).

 

***Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

drivers:

tbirn

Drivers to disable:

tbirn

drivers to delete:

tbirn

Files to Delete:

C:\Windows\system32\Drivers\tbirn.sys

Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\tbirn

Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

* Dans cette fenêtre "Input Script here" , coller le texte précédemment copié sur le bureau par les touches (Ctrl+V).

CliquerExecute

 

le système va redémarrer. (Si le script contient un/des "Drivers to Unload", The Avenger redémarrera une seconde fois.)

Pendant le re-démarrage, une fenêtre de commande de windows noire apparaitra brièvement sur votre bureau, c'est NORMAL.

Après le redémarrage, un fichier log s'ouvrira que vous retrouverez ici : C:\avenger.txt

 

 

 

 

bonsoir

 

j'ai bien suivi vos instructions, mais quand je clique sur "execute" le message d'erreur suivant apparait :

error : invalid script.a valid script must begin with a commande directive