impossible installer antivirus [résolu]

[mowgli85]

Normalement, si tu cliques sur le lien que je t'ai donné, le téléchargement du fichier CFScript doit se lancer automatiquement: ce n'est pas le cas ?

 

?? à quoi a correspond ? un rapport que tu as fait héberger ? Le lien en question est expiré

 

Clique sur ce lien, et enregistre le fichier sur le Bureau => http://senduit.com/6fcd43

ensuite fais glisser le fichier comme indiqué dans mon précédent message.

Poste le rapport stp.

 

Bonjour Thanos,

Voilà, ça devrait mieux te convenir

A bientôt

ComboFix 10-06-06.01 - mowgli95 07/06/2010 6:02.3.2 - x86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2046.822 [GMT 2:00]

Lancé depuis: c:\users\mowgli95\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\mowgli95\Downloads\CFScript(3).txt

AV: Microsoft Security Essentials *On-access scanning enabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

SP: Microsoft Security Essentials *enabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDE}

SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

 

FILE ::

"c:\windows\system32\dxcombin.exe"

"c:\windows\system32\dxwizard.exe"

"c:\windows\system32\winvercp.exe"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\Alwil Software

c:\programdata\Alwil Software

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_DirectX common

-------\Service_DirectX multi version

-------\Service_Windows sharing object

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-07 au 2010-06-07 ))))))))))))))))))))))))))))))))))))

.

 

2010-06-07 04:10 . 2010-06-07 04:10 -------- d-----w- c:\users\Public\AppData\Local\temp

2010-06-07 04:10 . 2010-06-07 04:10 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-06-06 19:09 . 2010-06-06 19:24 -------- d-----w- C:\mowgli8524127m

2010-06-06 11:56 . 2010-06-06 11:56 -------- d-----w- C:\games

2010-06-06 05:45 . 2010-05-06 20:34 51792 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2010-06-03 16:02 . 2010-06-03 16:02 -------- d-----w- C:\rsit

2010-06-03 16:02 . 2010-06-03 16:02 -------- d-----w- c:\program files\trend micro

2010-06-03 03:42 . 2010-06-06 08:49 -------- d-----w- c:\program files\Microsoft Security Essentials

2010-06-02 04:39 . 2010-06-02 04:39 -------- d-----w- c:\program files\Common Files\BitDefender

2010-06-01 18:32 . 2010-06-01 18:32 -------- d-----w- c:\users\mowgli95\AppData\Roaming\Malwarebytes

2010-06-01 18:32 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-06-01 18:32 . 2010-06-01 18:32 -------- d-----w- c:\programdata\Malwarebytes

2010-06-01 18:32 . 2010-06-01 18:32 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-06-01 18:32 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-31 18:51 . 2010-05-31 18:51 -------- d-----w- c:\users\mowgli95\DoctorWeb

2010-05-30 17:02 . 2010-05-30 17:02 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files

2010-05-29 05:25 . 2010-05-29 05:25 -------- d-----w- c:\users\mowgli95\AppData\Roaming\Icones

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-07 04:15 . 2007-05-20 06:14 60170 ----a-w- c:\users\mowgli95\AppData\Roaming\nvModes.dat

2010-06-07 04:15 . 2009-01-30 17:05 -------- d-----w- c:\programdata\VMware

2010-06-07 04:11 . 2007-06-30 09:43 12 ----a-w- c:\windows\bthservsdp.dat

2010-06-06 19:11 . 2006-11-02 15:48 723492 ----a-w- c:\windows\system32\perfh00C.dat

2010-06-06 19:11 . 2006-11-02 15:48 131792 ----a-w- c:\windows\system32\perfc00C.dat

2010-06-05 20:47 . 2007-03-15 12:13 -------- d-----w- c:\programdata\Microsoft Help

2010-05-30 16:47 . 2008-04-14 18:36 -------- d-----w- c:\users\mowgli95\AppData\Roaming\Uniblue

2010-05-30 15:18 . 2010-04-03 05:58 -------- d-----w- c:\users\mowgli95\AppData\Roaming\OnlineStorage

2010-05-26 17:07 . 2008-11-25 16:01 -------- d-----w- c:\programdata\HP Product Assistant

2010-05-25 11:28 . 2007-08-15 06:53 -------- d-----w- c:\users\mowgli95\AppData\Roaming\OpenOffice.org2

2010-05-15 13:46 . 2010-03-17 19:27 -------- d-----w- c:\users\mowgli95\AppData\Roaming\vlc

2010-05-15 13:46 . 2009-02-14 07:31 -------- d-----w- c:\users\mowgli95\AppData\Roaming\dvdcss

2010-05-12 09:21 . 2009-10-03 17:05 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-05-02 04:42 . 2009-10-26 17:16 -------- d-----w- c:\users\mowgli95\AppData\Roaming\HpUpdate

2010-04-19 16:12 . 2007-05-19 17:58 131664 ----a-w- c:\users\mowgli95\AppData\Local\GDIPFONTCACHEV1.DAT

2010-04-19 14:25 . 2008-07-27 10:20 -------- d-----w- c:\program files\Common Files\Adobe

2010-03-20 09:55 . 2010-03-20 09:56 411368 ----a-w- c:\windows\system32\deploytk.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OSDOverLayIcon]

@="{8129812F-4AF8-4A47-85A5-D995B505880C}"

[HKEY_CLASSES_ROOT\CLSID\{8129812F-4AF8-4A47-85A5-D995B505880C}]

2009-04-16 14:32 53248 ----a-w- d:\mes données\OSDExtension.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-10 1232896]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

"SpriteService"="c:\program files\Sprite Software\Sprite Backup\SpriteService.exe" [2006-08-15 544768]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

"OnlineStorage"="d:\mes données\OrangeDrvHome.exe" [2009-04-16 217088]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="RtHDVCpl.exe" [2007-01-18 4349952]

"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2006-12-19 411768]

"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416]

"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2007-02-06 509496]

"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-01-17 534648]

"KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]

"HWSetup"="c:\program files\TOSHIBA\Utilities\HWSetup.exe" [2006-11-01 413696]

"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-11-01 438272]

"NDSTray.exe"="NDSTray.exe" [bU]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-01-13 90191]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-01-13 7766016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-01-13 81920]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-07 894512]

"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024]

"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-02-13 405504]

"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]

"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]

"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]

"VMware hqtray"="c:\program files\VMware\VMware Player\hqtray.exe" [2008-10-28 64048]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-05-07 75048]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"OrangePlayer"="d:\media player\Media Player.exe" [2008-12-02 319488]

 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders credssp.dll, append.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]

R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]

R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]

R3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys [x]

R4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\common\Database\bin\fbserver.exe [2005-11-17 1527900]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2007-08-25 685816]

S1 CbFs;CbFs;c:\windows\system32\drivers\cbfs32.sys [2009-01-21 137384]

S2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/08/15 13:24];d:\powerdvd9\000.fcl [2009-05-07 19:05 87536]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-05-06 51792]

S2 SCPDFReadSpool;SolidConverterPDFReadSpool;c:\windows\Installer\MSI239D.tmp [2009-05-12 189696]

S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-11-13 92008]

S2 vmci;VMware vmci;c:\windows\system32\Drivers\vmci.sys [2008-10-28 54960]

S3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2009-12-02 42368]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

bthsvcs REG_MULTI_SZ BthServ

.

Contenu du dossier 'Tâches planifiées'

 

2010-06-07 c:\windows\Tasks\User_Feed_Synchronization-{DAABF963-70E0-4DAE-9E5A-49A072EE60F7}.job

- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com/

mStart Page = hxxp://www.foozir.com/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: {{C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR

LSP: c:\program files\VMware\VMware Player\vsocklib.dll

TCP: {FB818685-DB53-4601-80BE-1E9D67220C25} = 192.168.1.1

FF - ProfilePath - c:\users\mowgli95\AppData\Roaming\Mozilla\Firefox\Profiles\po29tz47.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com

FF - plugin: c:\program files\Common Files\fluxDVD\APIX\NPAPIX.dll

FF - plugin: c:\program files\Common Files\fluxDVD\BrowserIntegration\NPFluxBrowserHelper.dll

FF - plugin: c:\program files\Common Files\mpDRM\NPMPDRM.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll

FF - plugin: c:\users\mowgli95\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll

FF - plugin: d:\divx\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: d:\divx\DivX Web Player\npdivx32.dll

FF - plugin: d:\program files\Netscape6\nppl3260.dll

FF - plugin: d:\program files\Netscape6\nprjplug.dll

FF - plugin: d:\program files\Netscape6\nprpjplug.dll

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-06-07 06:15

Windows 6.0.6000 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84C531E8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0x82e61d1f

\Driver\ACPI -> acpi.sys @ 0x804479d6

\Driver\atapi -> 0x84c531e8

IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SCPDFReadSpool]

"ImagePath"="c:\windows\Installer\MSI239D.tmp"

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]

"ImagePath"="\??\d:\powerdvd9\000.fcl"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-3940065221-2280737029-732981558-1000\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]

"Name"="ActiveSync"

"DisplayName"="Microsoft ActiveSync"

"Param1"="ActiveSync"

"Type"="wellknown"

"Order"=dword:00000001

"State"=dword:00000020

 

[HKEY_USERS\S-1-5-21-3940065221-2280737029-732981558-1000\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]

"Name"="IESettings"

"Type"="IESettings"

"Order"=dword:00000003

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-3940065221-2280737029-732981558-1000\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]

"Name"="MediaFiles"

"Type"="MediaFiles"

"Order"=dword:00000002

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-3940065221-2280737029-732981558-1000\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]

"Name"="Outlook"

"DisplayName"="Microsoft Outlook"

"Param1"="Outlook"

"Type"="wellknown"

"Order"=dword:00000000

"State"=dword:00000020

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'Explorer.exe'(4148)

d:\mes données\OSDExtension.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe

c:\program files\Microsoft Security Essentials\MsMpEng.exe

c:\windows\RtHDVCpl.exe

c:\program files\TOSHIBA\ConfigFree\NDSTray.exe

c:\windows\System32\rundll32.exe

c:\program files\Synaptics\SynTP\SynToshiba.exe

c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe

c:\windows\system32\agrsmsvc.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\windows\ehome\ehmsas.exe

c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe

c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

c:\program files\Cyberlink\Shared files\RichVideo.exe

c:\windows\system32\TODDSrv.exe

c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe

c:\windows\system32\vmnat.exe

c:\program files\VMware\VMware Player\vmware-authd.exe

c:\windows\system32\WUDFHost.exe

c:\windows\system32\vmnetdhcp.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\program files\TOSHIBA\ConfigFree\CFSwMgr.exe

c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe

c:\program files\HP\Digital Imaging\bin\hpqbam08.exe

c:\windows\system32\conime.exe

c:\program files\Microsoft Security Essentials\MpCmdRun.exe

c:\\?\c:\windows\system32\wbem\WMIADAP.EXE

c:\windows\system32\wbem\unsecapp.exe

.

**************************************************************************

.

Heure de fin: 2010-06-07 06:21:04 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-06-07 04:20

ComboFix2.txt 2010-06-06 19:24

ComboFix3.txt 2010-06-06 16:35

 

Avant-CF: 33 112 862 720 octets libres

Après-CF: 33 037 103 104 octets libres

 

- - End Of File - - A00C68F969FAB5E78C2E2CF7619FC997

[Thanos]

salut

 

Ok, merci pour le rapport: les services infectieux ont été supprimés.

On va faire une analyse supplémentaire car il y a suspection d'infection du MBR (Master Boot Record) =>

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes.

- Fais un clic droit sur le fichier téléchargé puis choisis Exécuter en tant qu'administrateur). (le nom comporte 8 chiffres/lettres aléatoires)

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

 

Si ca ne fonctionne pas, recommence le scan, mais dans la section de droite de la fenêtre de l'outil, décoche l'option suivante : Sections

[mowgli85]

Bonsoir Thanos,

j'ai bien pratiqué comme tu me l'as dit, mais après "executer en tant qu'admisitrateur", le programme se lance directement et se bloque aprés quelques minutes.

Impossible de "décocher" Sections

microsoft security essentials fonctionne bien apparemment

A bientôt

[Thanos]

re!

 

Tente de recommencer le scan, mais avec juste "Sections" et "Files" cochés: poste le rapport.

Si ca bloque, tente celui ci =>

 

Étape 1: RootRepeal (de AD)

Télécharger RootRepeal via un clic droit sur l'un des liens ci-dessous:

http://ad13.geekstogo.com/RootRepeal.zip

http://rootrepeal.googlepages.com/RootRepeal.zip

http://rootrepeal.psikotick.com/RootRepeal.zip

Enregistrer le fichier sur le Bureau.

Créer un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)

 

Décompresser l'archive téléchargée dans ce nouveau dossier RootRepeal

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

Avira Antivir: clic droit sur l'icône dans la barre des tâches (à coté de l'horloge), décocher "Activer Antivir Guard/AntiVir Guard enable"

 

 

 

Étape 3: RootRepeal (de AD)

Dans l'Explorateur, ouvrir le dossier RootRepeal

Sous Windows Vista, faire un clic droit sur RootRepeal.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Cliquer sur l'onglet Report (en bas de la fenêtre) comme ceci:

 

Cliquer sur le bouton Scan

 

Dans la nouvelle fenêtre Select Scan, cocher:

+ Drivers

+ Files

+ Processes

+ SSDT

+ Stealth Objects

+ Hidden Services

+ Shadow SSDT

 

Cliquer sur le bouton OK

Dans la nouvelle fenêtre Select Drives, cocher le lecteur système (généralement C:\)

 

Cliquer sur le bouton OK pour lancer l'analyse

 

Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.

 

Lorsque l'analyse est terminée, le bouton Save Report sera disponible.

 

Cliquer sur ce bouton Save Report et enregistrer le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal-$$$$$$.txt

 

Ouvrir le menu File, cliquer sur Exit pour fermer le programme.

 

 

Étape 4: Processus de contrôle en temps réel

Important: Réactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 5: Résultats

Envoyer en réponse:

*- le rapport de RootRepeal (contenu du fichier RootRepeal-$$$$$$.txt)

Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

[mowgli85]

Bonjour Thanos,

désolé mais ce nouveau programme ne fonctionne pas non plus

ROOTREPEAL CRASH REPORT

-------------------------

Windows Version: Windows Vista SP0

Exception Code: 0xc0000005

Exception Address: 0x00422bf2

Attempt to read from address: 0x00000004

a bientôt

[Thanos]

salut

 

Est ce que tu as retenté GMER comme ceci ? => Tente de recommencer le scan, mais avec juste "Sections" et "Files" cochés: poste le rapport.

[mowgli85]

salut

 

Est ce que tu as retenté GMER comme ceci ? => Tente de recommencer le scan, mais avec juste "Sections" et "Files" cochés: poste le rapport.

 

Thanos,

impossible de cocher ou décocher quoi que ce soit

le programme démarre de suite et quelques seconde après il bloque

je joins une capture qui peut t'aider peut-etre

A bientôt

 

http://img204.imageshack.us/img204/3219/gmererroru.jpg

[Thanos]

salut

 

Ok tu vas tenter ceci stp =>

 

Télécharge MBR Rootkit Detector de gmer et enregistre-le sur le bureau.

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

 

Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

Un rapport sera généré : mbr.log.

 

Copie/colle le résultat de ce log dans ta réponse.

[mowgli85]

Thanos,

voici le log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

[Thanos]

salut

 

Ok le MBR est propre.

Dis moi: est ce que tu parviens à installer des programmes (autres qu'un antivirus) ?

On va tenter de réparer réparer Microsoft Security Essentials comme ceci afin qu'il puisse se mettre à jour correctement =>

 

Télécharge MSE Update Utility Installer sur le Bureau.

Une fois l'application installée, lance le programme.

Configure l'utilitaire comme sur cette image =>

(capture source)

Redémarre le pc et dis moi si le programme se met bien à jour.