Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Pb TR/Dropper.Gen et TR/Rootkit.Gen

Engalère92
 Partager

Messages recommandés

Engalère92 Junior Member

Engalère92

Posté(e)
Posté(e)

Bonjour,

 

J'ai un TR/Rootkit.Gen traine depuis janvier sur mon PC sans que ça gène trop (en apparence). Sauf que en rentrant ce soir, impossible de démarrer Windows...même en mode sans echec! La seule possibilité a été de booter sur la "dernière version du système ayant fonctionné" (Je précise qu'aucune installation n'a été faite sur mon PC depuis 5 jours au moins. Je m'en sers chaque jour)

Au démarrage Antivir me trouve alors un TR/Spy.574464.14, je lui demande de supprimer le fichier, il le fait sans problème visiblement (je n'ai pas rebooté le PC depuis, donc il réapparaitra peut être demain...)

Suite au reboot, je passe un coup d'antivir (voir rapport ci-dessous) et il me trouve un TR/Dropper.Gen (en plus du TR/Rootkit.Gen toujours présent).

J'arrive à supprimer le TR/Dropper.Gen mais pas le TR/Rootkit.Gen, comme à chaque fois depuis janvier.

Je précise que je suis sous Vista.

 

Merci d'avance pour votre aide!

 

Voilà le rapport ANTIVIR:

 

Avira AntiVir Personal

Date de création du fichier de rapport : lundi 10 mai 2010 22:45

 

La recherche porte sur 2107503 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (plain) [6.0.6000]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : PC-DE-ARNAUD

 

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 21/01/2010 21:52:45

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:52:44

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:52:44

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:52:44

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 23:10:26

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 19:17:51

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 17:28:05

VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 17:28:05

VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 17:28:05

VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 17:28:05

VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 17:28:05

VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 17:28:05

VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 17:28:05

VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 17:28:06

VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 17:28:06

VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 17:08:23

VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 17:08:25

VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 17:11:38

VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 18:34:51

VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 21:12:34

VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 21:12:40

VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 22:08:33

VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 16:58:45

VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 19:12:26

VBASE023.VDF : 7.10.7.76 2048 Bytes 10/05/2010 19:12:26

VBASE024.VDF : 7.10.7.77 2048 Bytes 10/05/2010 19:12:26

VBASE025.VDF : 7.10.7.78 2048 Bytes 10/05/2010 19:12:26

VBASE026.VDF : 7.10.7.79 2048 Bytes 10/05/2010 19:12:26

VBASE027.VDF : 7.10.7.80 2048 Bytes 10/05/2010 19:12:27

VBASE028.VDF : 7.10.7.81 2048 Bytes 10/05/2010 19:12:27

VBASE029.VDF : 7.10.7.82 2048 Bytes 10/05/2010 19:12:27

VBASE030.VDF : 7.10.7.83 2048 Bytes 10/05/2010 19:12:27

VBASE031.VDF : 7.10.7.84 28160 Bytes 10/05/2010 19:12:27

Version du moteur : 8.2.1.236

AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 17:11:46

AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 06/05/2010 16:59:00

AESCN.DLL : 8.1.5.0 127347 Bytes 25/02/2010 19:45:31

AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 17:11:47

AERDL.DLL : 8.1.4.6 541043 Bytes 15/04/2010 17:29:27

AEPACK.DLL : 8.2.1.1 426358 Bytes 23/03/2010 23:23:44

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 23/03/2010 23:23:43

AEHEUR.DLL : 8.1.1.27 2670967 Bytes 06/05/2010 16:58:57

AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 21:49:34

AEGEN.DLL : 8.1.3.7 373106 Bytes 15/04/2010 17:28:40

AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 17:11:44

AECORE.DLL : 8.1.15.1 192886 Bytes 06/05/2010 16:58:48

AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 17:11:43

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 21/01/2010 21:52:45

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 18:22:40

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 21/01/2010 21:52:44

RCTEXT.DLL : 9.0.73.0 88321 Bytes 21/01/2010 21:52:44

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:, F:, G:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : lundi 10 mai 2010 22:45

 

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\type

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\start

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\errorcontrol

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\group

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\wp3jay

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\n5yl2u3m

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\rhbu8nmky

[iNFO] L'entrée d'enregistrement n'est pas visible.

'110853' objets ont été contrôlés, '7' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'EXCEL.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SkypeNames2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CanalPlayService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SansaDispatch.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CanalPlayer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HpqToaster.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmdSync.exe' - '1' module(s) sont contrôlés

Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WiFiMsg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPWAMain.exe' - '1' module(s) sont contrôlés

Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IAAnotif.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sm56hlpr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IAANTmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'75' processus ont été contrôlés avec '75' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'F:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'G:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '47' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Windows\System32\drivers\lafle.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Recherche débutant dans 'D:\' <HP_RECOVERY>

Recherche débutant dans 'F:\' <Musique et Films>

F:\download\Incoming\OST Quentin Tarantinos Inglorious Basterds 2009\OST-Quentin_Tarantinos_Inglourious_Basterds-2009-CMS\0.bin

[0] Type d'archive: RAR

--> Smart.Photo.Import.v1.8.Regged-F4CG\0.bin

[1] Type d'archive: ZIP

--> CzW.rar

[2] Type d'archive: RAR

--> Keygen\Keygen.exe

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

Recherche débutant dans 'G:\' <Divers>

 

Début de la désinfection :

C:\Windows\System32\drivers\lafle.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.

 

F:\download\Incoming\OST Quentin Tarantinos Inglorious Basterds 2009\OST-Quentin_Tarantinos_Inglourious_Basterds-2009-CMS\0.bin

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4a8c28.qua' !

 

 

Fin de la recherche : mardi 11 mai 2010 00:43

Temps nécessaire: 1:13:24 Heure(s)

 

La recherche a été effectuée intégralement

 

22844 Les répertoires ont été contrôlés

350488 Des fichiers ont été contrôlés

2 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

3 Impossible de contrôler des fichiers

350483 Fichiers non infectés

2545 Les archives ont été contrôlées

3 Avertissements

4 Consignes

110853 Des objets ont été contrôlés lors du Rootkitscan

7 Des objets cachés ont été trouvés

Engalère92 Junior Member

Engalère92

Posté(e)
  • Auteur
Posté(e)

Suite à un redémarrage le lendemain (sans souci, pas comme la veille), j'ai refait un scan avec Antivir (ci-dessous), il reste toujours le TR/Rootkit.Gen. Impossible de s'en débarrasser, si vous pouviez m'aider à trouver la solution, je ne veux pas que le problème prenne d'autres proportions!

Merci d'avance.

 

Voilà le rapport antivir:

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : mercredi 12 mai 2010 00:27

 

La recherche porte sur 2110512 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (plain) [6.0.6000]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : PC-DE-ARNAUD

 

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 21/01/2010 21:52:45

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:52:44

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:52:44

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:52:44

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 23:10:26

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 19:17:51

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 17:28:05

VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 17:28:05

VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 17:28:05

VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 17:28:05

VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 17:28:05

VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 17:28:05

VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 17:28:05

VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 17:28:06

VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 17:28:06

VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 17:08:23

VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 17:08:25

VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 17:11:38

VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 18:34:51

VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 21:12:34

VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 21:12:40

VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 22:08:33

VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 16:58:45

VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 19:12:26

VBASE023.VDF : 7.10.7.76 2048 Bytes 10/05/2010 19:12:26

VBASE024.VDF : 7.10.7.77 2048 Bytes 10/05/2010 19:12:26

VBASE025.VDF : 7.10.7.78 2048 Bytes 10/05/2010 19:12:26

VBASE026.VDF : 7.10.7.79 2048 Bytes 10/05/2010 19:12:26

VBASE027.VDF : 7.10.7.80 2048 Bytes 10/05/2010 19:12:27

VBASE028.VDF : 7.10.7.81 2048 Bytes 10/05/2010 19:12:27

VBASE029.VDF : 7.10.7.82 2048 Bytes 10/05/2010 19:12:27

VBASE030.VDF : 7.10.7.83 2048 Bytes 10/05/2010 19:12:27

VBASE031.VDF : 7.10.7.91 71168 Bytes 11/05/2010 22:26:33

Version du moteur : 8.2.1.236

AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 17:11:46

AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 06/05/2010 16:59:00

AESCN.DLL : 8.1.5.0 127347 Bytes 25/02/2010 19:45:31

AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 17:11:47

AERDL.DLL : 8.1.4.6 541043 Bytes 15/04/2010 17:29:27

AEPACK.DLL : 8.2.1.1 426358 Bytes 23/03/2010 23:23:44

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 23/03/2010 23:23:43

AEHEUR.DLL : 8.1.1.27 2670967 Bytes 06/05/2010 16:58:57

AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 21:49:34

AEGEN.DLL : 8.1.3.7 373106 Bytes 15/04/2010 17:28:40

AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 17:11:44

AECORE.DLL : 8.1.15.1 192886 Bytes 06/05/2010 16:58:48

AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 17:11:43

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 21/01/2010 21:52:45

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 18:22:40

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 21/01/2010 21:52:44

RCTEXT.DLL : 9.0.73.0 88321 Bytes 21/01/2010 21:52:44

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:, F:, G:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : mercredi 12 mai 2010 00:27

 

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\type

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\start

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\errorcontrol

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\group

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\wp3jay

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\n5yl2u3m

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet022\Services\lafle\rhbu8nmky

[iNFO] L'entrée d'enregistrement n'est pas visible.

'110466' objets ont été contrôlés, '7' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CanalPlayService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HpqToaster.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SansaDispatch.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmdSync.exe' - '1' module(s) sont contrôlés

Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WiFiMsg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPWAMain.exe' - '1' module(s) sont contrôlés

Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IAAnotif.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sm56hlpr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IAANTmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'75' processus ont été contrôlés avec '75' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'F:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'G:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '47' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Windows\System32\drivers\lafle.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Recherche débutant dans 'D:\' <HP_RECOVERY>

Recherche débutant dans 'F:\' <Musique et Films>

Recherche débutant dans 'G:\' <Divers>

 

Début de la désinfection :

C:\Windows\System32\drivers\lafle.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

 

 

Fin de la recherche : mercredi 12 mai 2010 01:51

Temps nécessaire: 1:18:41 Heure(s)

 

La recherche a été effectuée intégralement

 

22843 Les répertoires ont été contrôlés

349953 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

3 Impossible de contrôler des fichiers

349949 Fichiers non infectés

2475 Les archives ont été contrôlées

3 Avertissements

3 Consignes

110466 Des objets ont été contrôlés lors du Rootkitscan

7 Des objets cachés ont été trouvés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

information.png Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Activer Antivir Guard information.png

  • Fais un clic sur le bouton droit de ta souris ICI
  • Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  • Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> Engalère92.exe
  • Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  • Assure toi que tous les programmes soient fermés avant de lancer le fix!
  • Fait un double clique sur Engalère92.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Tape sur la touche Y (Yes) pour démarrer le scan.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.
  • Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt

Engalère92 Junior Member

Engalère92

Posté(e)
  • Auteur
Posté(e)

Je rallume mon PC pour affectuer la démarche avec ComboFix et au démarrage de windows, je reçois une alerte de windows defender suite à la detection de PWS:Win32/Daurso.A (ça s'arrête jamais!)

 

Voilà le rapport ComboFix:

 

ComboFix 10-05-13.03 - Arnaud 14/05/2010 13:57:51.2.2 - x86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2046.1231 [GMT 2:00]

Lancé depuis: c:\users\Arnaud\Desktop\Engalere92.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

SP: AntiVir Desktop *disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\AbaleZip.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-14 au 2010-05-14 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-14 12:05 . 2010-05-14 12:05 -------- d-----w- c:\users\Arnaud\AppData\Local\temp

2010-05-14 12:05 . 2010-05-14 12:05 -------- d-----w- c:\users\Public\AppData\Local\temp

2010-05-14 12:05 . 2010-05-14 12:05 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-05-01 16:05 . 2010-05-01 16:05 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Malwarebytes

2010-05-01 16:05 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-01 16:05 . 2010-05-01 16:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-01 16:05 . 2010-05-01 16:05 -------- d-----w- c:\programdata\Malwarebytes

2010-05-01 16:05 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-29 16:16 . 2010-02-12 10:49 293376 ----a-w- c:\windows\system32\browserchoice.exe

2010-04-20 18:29 . 2010-04-20 18:29 -------- d-----w- c:\program files\FreeTime

2010-04-19 19:44 . 2006-02-27 07:43 24576 ----a-w- c:\programdata\MAGIX\Photos_sur_CD_DVD_7\Default\Validation.exe

2010-04-19 19:42 . 2003-11-04 16:20 6144 ----a-w- c:\programdata\MAGIX\Photos_sur_CD_DVD_7\DVD\WMV_DISC\components\videowritetest.exe

2010-04-19 19:42 . 1997-10-15 20:03 18944 ----a-w- c:\programdata\MAGIX\Photos_sur_CD_DVD_7\DVD\WMV_DISC\components\shelexec.exe

2010-04-19 19:42 . 2004-09-13 11:29 200704 ----a-w- c:\programdata\MAGIX\Photos_sur_CD_DVD_7\DVD\WMV_DISC\licgen.exe

2010-04-19 19:42 . 2003-10-09 09:56 513088 ----a-w- c:\programdata\MAGIX\Photos_sur_CD_DVD_7\DVD\WMV_DISC\WMDS.dll

2010-04-19 19:41 . 2005-10-08 15:14 40960 ----a-w- c:\programdata\MAGIX\Photos_sur_CD_DVD_7\Default\fcdummy.exe

2010-04-14 17:35 . 2010-04-25 22:04 -------- d-----w- c:\users\Arnaud\AppData\Local\Spotify

2010-04-14 17:35 . 2010-04-25 20:34 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Spotify

2010-04-14 17:34 . 2010-04-14 17:34 -------- d-----w- c:\program files\Spotify

2010-04-14 17:29 . 2010-02-23 13:14 211968 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys

2010-04-14 17:29 . 2010-02-23 13:14 58368 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys

2010-04-14 17:29 . 2010-02-23 13:14 102400 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-04-14 17:29 . 2010-02-18 14:54 3502480 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-04-14 17:29 . 2010-02-18 14:54 3468168 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-04-14 17:28 . 2010-03-04 19:24 434176 ----a-w- c:\windows\system32\vbscript.dll

2010-04-14 17:27 . 2010-02-18 12:05 815104 ----a-w- c:\windows\system32\drivers\tcpip.sys

2010-04-14 17:27 . 2010-02-18 14:19 179712 ----a-w- c:\windows\system32\iphlpsvc.dll

2010-04-14 17:27 . 2010-02-18 12:04 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys

2010-04-14 17:27 . 2010-02-18 14:22 167424 ----a-w- c:\windows\system32\tcpipcfg.dll

2010-04-14 17:27 . 2010-02-18 12:04 22016 ----a-w- c:\windows\system32\netiougc.exe

2010-04-14 17:27 . 2010-02-18 12:04 15360 ----a-w- c:\windows\system32\drivers\TUNMP.SYS

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-14 11:52 . 2010-02-24 19:49 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Skype

2010-05-14 11:48 . 2006-11-02 15:48 690832 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-14 11:48 . 2006-11-02 15:48 117572 ----a-w- c:\windows\system32\perfc00C.dat

2010-05-12 17:15 . 2007-06-25 20:49 -------- d-----w- c:\programdata\Microsoft Help

2010-05-10 22:00 . 2010-02-24 19:54 -------- d-----w- c:\users\Arnaud\AppData\Roaming\skypePM

2010-05-10 19:52 . 2009-06-26 23:31 -------- d-----w- c:\users\Arnaud\AppData\Roaming\dvdcss

2010-05-06 08:36 . 2009-10-02 17:24 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-05-03 18:31 . 2010-03-07 18:29 443912 ----a-w- c:\users\Arnaud\AppData\Roaming\Real\Update\setup3.10\setup.exe

2010-05-02 18:24 . 2009-02-25 19:04 -------- d-----w- c:\users\Arnaud\AppData\Roaming\FileZilla

2010-04-19 19:48 . 2009-08-28 18:50 -------- d-----w- c:\users\Arnaud\AppData\Roaming\MAGIX

2010-04-19 19:47 . 2009-08-28 18:47 -------- d-----w- c:\programdata\MAGIX

2010-04-19 19:47 . 2009-08-28 18:47 -------- d-----w- c:\program files\MAGIX

2010-04-19 19:47 . 2009-08-28 18:49 -------- d-----w- c:\program files\Common Files\MAGIX Shared

2010-04-10 20:12 . 2007-11-15 18:54 116518 ----a-w- c:\users\Arnaud\AppData\Roaming\nvModes.dat

2010-03-09 16:54 . 2010-03-31 18:37 832512 ----a-w- c:\windows\system32\wininet.dll

2010-03-09 16:50 . 2010-03-31 18:37 56320 ----a-w- c:\windows\system32\iesetup.dll

2010-03-09 16:50 . 2010-03-31 18:37 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-03-09 16:50 . 2010-03-31 18:37 52736 ----a-w- c:\windows\AppPatch\iebrshim.dll

2010-03-09 16:48 . 2010-03-31 18:37 72704 ----a-w- c:\windows\system32\admparse.dll

2010-03-09 14:17 . 2010-03-31 18:37 26624 ----a-w- c:\windows\system32\ieUnatt.exe

2010-03-09 12:43 . 2010-03-31 18:37 48128 ----a-w- c:\windows\system32\mshtmler.dll

2010-03-08 18:02 . 2010-03-08 18:02 118784 ----a-w- c:\users\Arnaud\AppData\Roaming\Real\Update\setup3.10\RUP\inst_config\compat.dll

2010-02-25 18:29 . 2009-12-04 18:21 439816 ----a-w- c:\users\Arnaud\AppData\Roaming\Real\Update\setup3.09\setup.exe

2010-02-24 19:54 . 2010-02-24 19:54 56 ---ha-w- c:\programdata\ezsidmv.dat

2010-02-20 23:54 . 2010-03-11 17:45 24064 ----a-w- c:\windows\system32\nshhttp.dll

2010-02-20 23:51 . 2010-03-11 17:45 31232 ----a-w- c:\windows\system32\httpapi.dll

2010-02-20 21:30 . 2010-03-11 17:45 396800 ----a-w- c:\windows\system32\drivers\http.sys

2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll

2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-10 1232896]

"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-08 39408]

"CanalPlayer"="c:\program files\Lecteur CANALPLAY\CanalPlayer.exe" [2009-11-02 2156416]

"SansaDispatch"="c:\users\Arnaud\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe" [2010-02-12 79872]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-02 1004136]

"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 729088]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]

"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]

"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-04-23 176128]

"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-02-13 159744]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]

"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-05-01 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-01 8429568]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-01 81920]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2007-06-25 77824]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-11-14 286720]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-11-15 267048]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-03-02 185896]

"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiSpywareOverride"=dword:00000001

 

R2 gupdate1ca33e1c0696b0f;Service Google Update (gupdate1ca33e1c0696b0f);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-12 133104]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]

R3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);c:\windows\system32\DRIVERS\v800bus.sys [2004-08-09 52416]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-01-21 108289]

S3 Service CANALPLAY;Service CANALPLAY;c:\program files\Lecteur CANALPLAY\CanalPlayService.exe [2009-11-02 444288]

 

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - lafle

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-12 19:46]

 

2010-05-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-12 19:46]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=Pavilion&pf=laptop

mWindow Title =

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

Trusted Zone: canalplay.com

Trusted Zone: canalplusactive.com

Trusted Zone: canalplay.com

Trusted Zone: canalplusactive.com

FF - ProfilePath - c:\users\Arnaud\AppData\Roaming\Mozilla\Firefox\Profiles\pktkj5zn.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - www.google.fr

FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=vmn&type=vendio&p=

FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll

FF - component: c:\users\Arnaud\AppData\Roaming\Mozilla\Firefox\Profiles\pktkj5zn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-14 14:05

Windows 6.0.6000 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

SansaDispatch = c:\users\Arnaud\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe?lnk?y7V7Z7R77777?7d7V7Y7D7V7s7^7D7G7V7C7T7_77777 7<767g7E7X7S7B7T7C7a7R7

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet022\Services\lafle]

 

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\system\ControlSet022\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

Heure de fin: 2010-05-14 14:08:13

ComboFix-quarantined-files.txt 2010-05-14 12:08

 

Avant-CF: 10 749 083 648 octets libres

Après-CF: 10 416 521 216 octets libres

 

- - End Of File - - AD22F7E93C08F83295233B5C59902760

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Désolé pour l'attente! Engalère92, tu as lancé deux fois ComboFix ? Il faudrait que tu me poste le rapport nommé ComboFix-quarantined-files.txt

Tu trouveras ce rapport dans le dossier suivant => C:\Qoobox

 

Poste aussi ce rapport stp =>

 

Il faut que tu désactives le bouclier d'Antivir avant de faire le scan: Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Activer Antivir Guard. Le parapluie rouge doit être plié après ca.

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes.

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

  • **Assure-toi que "Show All" est décoché**

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

 

Relance la protection d'Antivir après ca.

Engalère92 Junior Member

Engalère92

Posté(e)
  • Auteur
Posté(e)

Non j'ai lancé Combofix une seule fois, par contre il a visiblement démarré le scan tout seul parce que je n'ai pas eu à appuyer sur 'Y' (je me suis absenté 2min donc je n'ai pas vu ce qui s'était passé.

Voici le rapport ComboFix-quarantined-files.txt:

 

2010-05-14 12:03:22 . 2010-05-14 12:03:22 8,929 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2010-05-14 11:55:26 . 2010-05-14 11:57:51 62 ----a-w- C:\Qoobox\Quarantine\catchme.log

2007-01-26 08:08:58 . 2007-01-26 08:08:58 287,256 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\AbaleZip.dll.vir

 

J'ai ensuite effectué un scan avec GMER Rootkit Scanner, mais j'ai eu de gros problèmes:

- La 1ere fois durant le scan j'ai eu un ecran noir, plus moyen de récupérer la main

- La 2eme fois, le scan a fonctionné puis au moment de sauvegarder, tout a planté comme la première fois

- Les 3eme et 4eme fois c'est au démarrage du programme que ça a planté.

Bref à chaque fois j'ai du arrêter le PC salement (bouton physique "arret")

Et la conséquence de tout ça a été que au bout des 4 fois, Windows ne voulait plus redémarrer. Aucun ecran bleu ou msg d'erreur, au démarrage ça passe direct a l'ecran avec proposition de réparation ou démarrage normal. Que je démarre windows en mode sans echec, que j'utilise la derniere version système ayant correctement démarré, que j'utilise un point de restauration système, que je lance l'outil de réparation windows (qui plante!!!!!) le résultat est le même, windows ne boot plus!

J'ai attendu 1h que tout refroidisse puis j'ai redémarré, sans succès. Mais cette fois-ci l'outil de réparation windows a réussi non seulement a fonctionner correctement mais aussi à réparer tout seul le problème (j'ai pas vu ce qu'il a fait). Windows a donc correctement démarré, et j'observe que GMER Rootkit Scanner a disparu de mon bureau.

 

Serait-il possible de scanner avec un autre outil, parce que là il m'a mis un sacré bordel!!!! J'ai eu peur.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut,

 

C'est bien la première fois que GMER mets un tel boxon...! en fait si je t'ai demandé de lancer le scan avec GMER c'est parce que je soupçonne le rootkit d'être encore présent. (c'est la raison pour laquelle le scan a planté Windows)

Désolé pour la frayeur!

 

On va utiliser un script dans un premier temps =>

 

 

Rends toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/9668d3

Patiente une seconde: le téléchargement va se lancer automatiquement.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (Engalère92.exe) comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de Engalère92 : Vous ne devez en aucun cas l'utiliser sur votre pc!

Engalère92 Junior Member

Engalère92

Posté(e)
  • Auteur
Posté(e)

Voilà le nouveau rapport ComboFix:

 

ComboFix 10-05-13.03 - Arnaud 16/05/2010 21:21:19.3.2 - x86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2046.1357 [GMT 2:00]

Lancé depuis: c:\users\Arnaud\Desktop\Engalere92.exe

Commutateurs utilisés :: c:\users\Arnaud\Desktop\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

SP: AntiVir Desktop *disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_LAFLE

-------\Service_lafle

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-16 au 2010-05-16 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-16 19:29 . 2010-05-16 19:35 -------- d-----w- c:\users\Arnaud\AppData\Local\temp

2010-05-16 19:29 . 2010-05-16 19:29 -------- d-----w- c:\users\Public\AppData\Local\temp

2010-05-16 19:29 . 2010-05-16 19:29 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-05-14 11:55 . 2010-05-14 12:08 -------- d-----w- C:\Engalere92

2010-05-01 16:05 . 2010-05-01 16:05 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Malwarebytes

2010-05-01 16:05 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-01 16:05 . 2010-05-01 16:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-01 16:05 . 2010-05-01 16:05 -------- d-----w- c:\programdata\Malwarebytes

2010-05-01 16:05 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-29 16:16 . 2010-02-12 10:49 293376 ----a-w- c:\windows\system32\browserchoice.exe

2010-04-20 18:29 . 2010-04-20 18:29 -------- d-----w- c:\program files\FreeTime

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-16 19:30 . 2010-01-18 22:57 802304 ----a-w- c:\windows\system32\drivers\lafle.sys

2010-05-16 18:43 . 2006-11-02 15:48 690832 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-16 18:43 . 2006-11-02 15:48 117572 ----a-w- c:\windows\system32\perfc00C.dat

2010-05-16 16:17 . 2010-02-24 19:49 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Skype

2010-05-15 18:31 . 2010-03-07 18:29 443912 ----a-w- c:\users\Arnaud\AppData\Roaming\Real\Update\setup3.10\setup.exe

2010-05-12 17:15 . 2007-06-25 20:49 -------- d-----w- c:\programdata\Microsoft Help

2010-05-10 22:00 . 2010-02-24 19:54 -------- d-----w- c:\users\Arnaud\AppData\Roaming\skypePM

2010-05-10 19:52 . 2009-06-26 23:31 -------- d-----w- c:\users\Arnaud\AppData\Roaming\dvdcss

2010-05-06 08:36 . 2009-10-02 17:24 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-05-02 18:24 . 2009-02-25 19:04 -------- d-----w- c:\users\Arnaud\AppData\Roaming\FileZilla

2010-04-25 20:34 . 2010-04-14 17:35 -------- d-----w- c:\users\Arnaud\AppData\Roaming\Spotify

2010-04-19 19:48 . 2009-08-28 18:50 -------- d-----w- c:\users\Arnaud\AppData\Roaming\MAGIX

2010-04-19 19:47 . 2009-08-28 18:47 -------- d-----w- c:\programdata\MAGIX

2010-04-19 19:47 . 2009-08-28 18:47 -------- d-----w- c:\program files\MAGIX

2010-04-19 19:47 . 2009-08-28 18:49 -------- d-----w- c:\program files\Common Files\MAGIX Shared

2010-04-14 17:34 . 2010-04-14 17:34 -------- d-----w- c:\program files\Spotify

2010-04-10 20:12 . 2007-11-15 18:54 116518 ----a-w- c:\users\Arnaud\AppData\Roaming\nvModes.dat

2010-03-09 16:54 . 2010-03-31 18:37 832512 ----a-w- c:\windows\system32\wininet.dll

2010-03-09 16:50 . 2010-03-31 18:37 56320 ----a-w- c:\windows\system32\iesetup.dll

2010-03-09 16:50 . 2010-03-31 18:37 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-03-09 16:50 . 2010-03-31 18:37 52736 ----a-w- c:\windows\AppPatch\iebrshim.dll

2010-03-09 16:48 . 2010-03-31 18:37 72704 ----a-w- c:\windows\system32\admparse.dll

2010-03-09 14:17 . 2010-03-31 18:37 26624 ----a-w- c:\windows\system32\ieUnatt.exe

2010-03-09 12:43 . 2010-03-31 18:37 48128 ----a-w- c:\windows\system32\mshtmler.dll

2010-03-08 18:02 . 2010-03-08 18:02 118784 ----a-w- c:\users\Arnaud\AppData\Roaming\Real\Update\setup3.10\RUP\inst_config\compat.dll

2010-03-04 19:24 . 2010-04-14 17:28 434176 ----a-w- c:\windows\system32\vbscript.dll

2010-02-25 18:29 . 2009-12-04 18:21 439816 ----a-w- c:\users\Arnaud\AppData\Roaming\Real\Update\setup3.09\setup.exe

2010-02-24 19:54 . 2010-02-24 19:54 56 ---ha-w- c:\programdata\ezsidmv.dat

2010-02-23 13:14 . 2010-04-14 17:29 211968 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys

2010-02-23 13:14 . 2010-04-14 17:29 58368 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys

2010-02-23 13:14 . 2010-04-14 17:29 102400 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-02-20 23:54 . 2010-03-11 17:45 24064 ----a-w- c:\windows\system32\nshhttp.dll

2010-02-20 23:51 . 2010-03-11 17:45 31232 ----a-w- c:\windows\system32\httpapi.dll

2010-02-20 21:30 . 2010-03-11 17:45 396800 ----a-w- c:\windows\system32\drivers\http.sys

2010-02-18 14:54 . 2010-04-14 17:29 3502480 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-02-18 14:54 . 2010-04-14 17:29 3468168 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-02-18 14:22 . 2010-04-14 17:27 167424 ----a-w- c:\windows\system32\tcpipcfg.dll

2010-02-18 14:19 . 2010-04-14 17:27 179712 ----a-w- c:\windows\system32\iphlpsvc.dll

2010-02-18 12:05 . 2010-04-14 17:27 815104 ----a-w- c:\windows\system32\drivers\tcpip.sys

2010-02-18 12:04 . 2010-04-14 17:27 22016 ----a-w- c:\windows\system32\netiougc.exe

2010-02-18 12:04 . 2010-04-14 17:27 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys

2010-02-18 12:04 . 2010-04-14 17:27 15360 ----a-w- c:\windows\system32\drivers\TUNMP.SYS

2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll

2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-10 1232896]

"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-08 39408]

"CanalPlayer"="c:\program files\Lecteur CANALPLAY\CanalPlayer.exe" [2009-11-02 2156416]

"SansaDispatch"="c:\users\Arnaud\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe" [2010-02-12 79872]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-02 1004136]

"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 729088]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]

"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]

"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-04-23 176128]

"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-02-13 159744]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]

"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-05-01 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-01 8429568]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-01 81920]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2007-06-25 77824]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-11-14 286720]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-11-15 267048]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-03-02 185896]

"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiSpywareOverride"=dword:00000001

 

R2 gupdate1ca33e1c0696b0f;Service Google Update (gupdate1ca33e1c0696b0f);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-12 133104]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-01-21 108289]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-12 19:46]

 

2010-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-12 19:46]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=Pavilion&pf=laptop

mWindow Title =

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

Trusted Zone: canalplay.com

Trusted Zone: canalplusactive.com

Trusted Zone: canalplay.com

Trusted Zone: canalplusactive.com

FF - ProfilePath - c:\users\Arnaud\AppData\Roaming\Mozilla\Firefox\Profiles\pktkj5zn.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - www.google.fr

FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=vmn&type=vendio&p=

FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll

FF - component: c:\users\Arnaud\AppData\Roaming\Mozilla\Firefox\Profiles\pktkj5zn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll

FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-16 21:35

Windows 6.0.6000 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

SansaDispatch = c:\users\Arnaud\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe?lnk?y7V7Z7R77777?7d7V7Y7D7V7s7^7D7G7V7C7T7_77777 7<767g7E7X7S7B7T7C7a7R7

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\system\ControlSet022\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\HP\QuickPlay\Kernel\TV\CLSched.exe

c:\windows\system32\conime.exe

c:\windows\RtHDVCpl.exe

c:\windows\System32\rundll32.exe

c:\windows\System32\rundll32.exe

c:\windows\system32\wbem\unsecapp.exe

c:\program files\Hewlett-Packard\Shared\HpqToaster.exe

c:\program files\Lecteur CANALPLAY\CanalPlayService.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe

.

**************************************************************************

.

Heure de fin: 2010-05-16 21:42:00 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-05-16 19:41

ComboFix2.txt 2010-05-14 12:08

 

Avant-CF: 10 202 021 888 octets libres

Après-CF: 10 756 640 768 octets libres

 

- - End Of File - - 4B932A835990F58D6D9CA3E4CC5664F1

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> c:\windows\system32\drivers\lafle.sys

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

Engalère92: Il est fort possible qu'Antivir réagisse lorsque tu voudras envoer le fichier. Il faudra alors que tu désactives le bouclier d'Antivir: Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Activer Antivir Guard. Le parapluie rouge doit être plié après ca.

N'oublie pas de le réactiver après.

 

Par ailleurs, j'aimerai que tu m'expédie un fichier stp >>

  • Fais un clic droit sur le dossier C:\Qoobox
  • Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé
  • Un fichier nommé QooBox.zip doit apparaitre dans le même répertoire (C:\)
  • Rend toi ensuite sur cette page > http://www.sendspace.com
  • Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\QooBox.zip
  • Clique maintenant sur "ouvrir" en bas de la fenêtre.
  • Coche la case "I have read and agree to the terms of service."
  • Clique enfin sur le bouton Upload File .
  • Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...