Pb écran bleu après TR/Rootkit détecté

elodiee · le 25 mai 2010

Bonjour,

Je lance un appel au secours ^^

Mon ordinateur a du subir une attaque car mon fond d'écran à été remplacé par un fond vert ainsi qu'un texte sur fond noir comme quoi mon système avait été infecté. Suite à la suppression du virus, mon fond est redevenu bleu, mais je n'ai toujours pas la possibilité de modifier le fond d'écran.

J'ai fait plusieurs analyses avec Antivir (j'avais Avast mais je l'ai remplacé) et avec malwarebytes. Un virus TR/Rootkit a été détecté. Je l'ai mis en quarantaine puis supprimé. Mais le lendemain, au démarrage de Windows XP, j'ai eu droit à un écran bleu (erreur windows). Je n'arrive à accéder à mon bureau qu'une fois de temps en temps, mais ma connexion à mon réseau ainsi qu'à Internet est bloquée (j'écris d'un autre ordinateur).

Pouvez-vous m'aider?

Merci d'avance!

Apollo · le 25 mai 2010

Bonjour,

Qui a détecté le rootkit? Avast ou MalwareBytes AM?

As-tu accès au mode sans échec et peux-tu poster le rapport en question stp?

http://www.vista-xp.fr/forum/topic93.html

Quel est on système? (xp, vista, seven, 32 ou 64 Bits?)

@++

Modifié le 25 mai 2010 par Apollo

elodiee · le 27 mai 2010

Bonjour et merci pour votre réponse.

Je suis sur XP.

J'ai pu grace à Malwarebytes, régler les problèmes d'écran bleu et l'impossibilité de modifier mon fond d'écran. Néanmoins, il reste certaines infections qui ont réussi à contaminer mon site Internet via mon logiciel FTP. J'ai donc coupé l'accès à Internet de mon ordinateur pour pouvoir le désinfecter sans risques.

Voici mon dernier rapport Malwarebytes'. Il me dit, lors de la fin de mon rapport, que certains fichiers ne peuvent pas être supprimés:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4116

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

27/05/2010 09:10:00

mbam-log-2010-05-27 (09-10-00).txt

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 215561

Temps écoulé: 1 heure(s), 11 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\WINDOWS\system32\drivers\bfscqva.sys (Rootkit.Agent) -> Delete on reboot.

C:\Documents and Settings\elodie\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

elodiee · le 27 mai 2010

Voici mon rapport d'Antivir :

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 27 mai 2010 09:17

La recherche porte sur 2159760 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : VOSTROELODIE

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/05/2010 11:20:47

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 11:20:46

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 11:20:46

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 11:20:46

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 11:20:46

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:20:46

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 11:20:46

VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 11:20:46

VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 11:20:46

VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 11:20:46

VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 11:20:46

VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 11:20:46

VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 11:20:46

VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 11:20:46

VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 11:20:46

VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 11:20:46

VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 11:20:46

VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 11:20:46

VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 11:20:46

VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 11:20:46

VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 11:20:46

VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 11:20:46

VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 11:20:46

VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 11:20:46

VBASE023.VDF : 7.10.7.100 125440 Bytes 13/05/2010 11:20:46

VBASE024.VDF : 7.10.7.119 177664 Bytes 17/05/2010 11:20:46

VBASE025.VDF : 7.10.7.139 129024 Bytes 19/05/2010 13:19:43

VBASE026.VDF : 7.10.7.157 145920 Bytes 21/05/2010 13:19:47

VBASE027.VDF : 7.10.7.173 147456 Bytes 25/05/2010 11:24:46

VBASE028.VDF : 7.10.7.174 2048 Bytes 25/05/2010 11:24:46

VBASE029.VDF : 7.10.7.175 2048 Bytes 25/05/2010 11:24:46

VBASE030.VDF : 7.10.7.176 2048 Bytes 25/05/2010 11:24:46

VBASE031.VDF : 7.10.7.178 21504 Bytes 26/05/2010 11:24:46

Version du moteur : 8.2.1.242

AEVDF.DLL : 8.1.2.0 106868 Bytes 19/05/2010 11:20:47

AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 19/05/2010 11:20:47

AESCN.DLL : 8.1.6.1 127347 Bytes 19/05/2010 11:20:47

AESBX.DLL : 8.1.3.1 254324 Bytes 19/05/2010 11:20:47

AERDL.DLL : 8.1.4.6 541043 Bytes 19/05/2010 11:20:47

AEPACK.DLL : 8.2.1.1 426358 Bytes 19/05/2010 11:20:47

AEOFFICE.DLL : 8.1.1.0 201081 Bytes 19/05/2010 11:20:47

AEHEUR.DLL : 8.1.1.27 2670967 Bytes 19/05/2010 11:20:47

AEHELP.DLL : 8.1.11.3 242039 Bytes 19/05/2010 11:20:46

AEGEN.DLL : 8.1.3.9 377203 Bytes 19/05/2010 11:20:46

AEEMU.DLL : 8.1.2.0 393588 Bytes 19/05/2010 11:20:46

AECORE.DLL : 8.1.15.3 192886 Bytes 19/05/2010 11:20:46

AEBB.DLL : 8.1.1.0 53618 Bytes 19/05/2010 11:20:46

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 19/05/2010 11:20:47

AVREP.DLL : 8.0.0.7 159784 Bytes 19/05/2010 11:20:48

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 19/05/2010 11:20:44

RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/05/2010 11:20:44

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, H:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Début de la recherche : jeudi 27 mai 2010 09:17

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bfscqva\type