Rootkit ultra résistant

[SasoriMatsu]

Merci Pear

Voilà :

© CJoint.com, 2008

[pear]

Ce n'est ce que j'attendais.

Un fichier rapport (avz_sysinfo.htm) va être créé et sauvegardé dans le dossier LOG du répertoire AVZ sous le nom virusinfo_syscure.zip

.

 

Je n'ai reçu qu'un fichier log.txt

[SasoriMatsu]

Excusez moi mais je suis incapable de retrouver le répertoire AVZ ayant double cliqué sur le fichier .exe en ouvrant le fichier zip quand j'ai téléchargé l'outil que vous m'avez demandé

[pear]

Ce n'est de votre faute.

J'avais des soucis avec un hébergeur, ce qui a mis du désordre dans ma procédure:

 

La voici refaite:

 

Télécharger AVZ4en.zip

Dézipper le fichier sur le bureau (un dossier nommé avz4en sera créé)

Double cliquer sur AVZ.exe (l'épée sur l'écu) ou clic droit sur AVZ.exe et Exécuter en tant qu'administrateur si vous êtes sous Vista ou Windows7,

Vous arrivez là:

Cochez les 3 cases à gauche

A droite cochez Enable malware removal mode

Choisissez Remove pour les 4 premiers et report pour les 2 derniers

Plus bas cochez Heuristic file detection

Et Copy deleted files to "infected folder"

Faites une mise à jour en cliquant sur le bouton de mise à jour automatique sur la droite de la fenêtre Log.:

Cliquer sur le bouton Start pour commencer la mise à jour

Cliquez sur Search parameters

Déplacer le cuseur de Heuristic detection vers moyen fort

Cochez tout

Cliquez Search scope et sélectionnez les lecteurs à examiner

Pour lLancer AVZ.

Ouvrir"File"--- > "Standard scripts" et cocher la case "Advanced System Analysis with malware removal mode enabled".

Cliquer sur "Execute selected scripts".

Une analyse, un nettoyage et une vérification système vont être effectués automatiquement.

Un fichier rapport (avz_sysinfo.htm) va être créé et sauvegardé dans le dossier LOG du répertoire AVZ sous le nom virusinfo_syscure.zip .

Nettoyage Standard

Relancer AVZ.

Ouvrir"File"--- > "Standard scripts"et , cette fois,cocher la case située devant "Advanced System Analysis".

Cliquer sur "Execute selected scripts".

Une analyse système va être réalisée automatiquement, et le fichier rapport créé (avz_sysinfo.htm) sera sauvegardé dans le dossier LOG du répertoire AVZ sous le nom virusinfo_syscheck.zip.

 

Joindre les deux fichiers virusinfo_syscure.zip et virusinfo_syscheck.zip à votre réponse.

 

Aller sur l'hébergeur gratuit Senduit

Cliquer sur "Parcourir..." pour retrouver et sélectionner le fichier à héberger

Modifier le "Expire in:" (juste au dessous) à "1 week" et ensuite cliquer sur "Upload"

Lorsque l'upload sera complété, une adresse (URL) sera fournie dans la boîte:

copier/coller l'URL ici, dans votre réponse.

 

Il est nécessaire de faire redémarrer votre PC, car AVZ a pu perturber le fonctionnement de certains programmes (comme antivirus et pare-feu) lors de l'analyse système.

Toutes les applications fonctionneront correctement après le redémarrage.

Modifié le 2 août 2010 par pear

[SasoriMatsu]

Bonsoir Pear,

 

je ne trouve pas le fichier virusinfo_syscure.zip dans le répertoire log mais j'ai bien l'autre.

Je vous le joins via le second lien que vous m'aviez proposé, le premier site a toujours des problèmes techniques.

 

© CJoint.com, 2008

 

Je ne sais pas pourquoi le premier ne s'y trouve pas )

 

Si vous m'indiquez que je dois réitérer la première étape pour l'avoir, je le referais mais j'ai besoin de votre aval, craignant de faire des manipulations délétères.

 

Merci

[pear]

ne vous inquiétez pas pour cela.

 

Le problème est que, pour l'instant aucun outil ne trouve C:\WINDOWS\System32\Drivers\arkqqsug.SYS.

 

On a essayé Rootrepeal Avenger et Avz qui sont puissants, en vain.

 

Donc , je tatonne.

Si cela peut vous rassurer,des modérateurs surveillent le sujet.

Essayons ceci:

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection,

 

si des nuisibles ("Malicious objects") ont été trouvés,

 

vérifier que l'option est sélectionnée,

 

puis cliquer sur le bouton ,

 

puis sur le bouton

 

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

Télécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

Choisir "Enregistrer la cible du lien..sous....bitruc.com

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir ->bitruc.com

Cliquez enfin sur -> Enregistrer

Lancez bitruc.com et sauvegardez le sur le bureau

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

Modifié le 2 août 2010 par pear

[SasoriMatsu]

Bonjour Pear,

 

Voici le rapport de TDSSKiller :

2010/08/03 11:24:43.0343 TDSS rootkit removing tool 2.4.0.0 Jul 22 2010 16:09:49

2010/08/03 11:24:43.0343 ================================================================================

2010/08/03 11:24:43.0343 SystemInfo:

2010/08/03 11:24:43.0343

2010/08/03 11:24:43.0343 OS Version: 5.1.2600 ServicePack: 3.0

2010/08/03 11:24:43.0343 Product type: Workstation

2010/08/03 11:24:43.0343 ComputerName: OEM

2010/08/03 11:24:43.0359 UserName: Fred

2010/08/03 11:24:43.0359 Windows directory: C:\WINDOWS

2010/08/03 11:24:43.0359 System windows directory: C:\WINDOWS

2010/08/03 11:24:43.0359 Processor architecture: Intel x86

2010/08/03 11:24:43.0359 Number of processors: 2

2010/08/03 11:24:43.0359 Page size: 0x1000

2010/08/03 11:24:43.0359 Boot type: Normal boot

2010/08/03 11:24:43.0359 ================================================================================

2010/08/03 11:25:15.0656 Initialize success

2010/08/03 11:25:24.0375 ================================================================================

2010/08/03 11:25:24.0375 Scan started

2010/08/03 11:25:24.0375 Mode: Manual;

2010/08/03 11:25:24.0375 ================================================================================

2010/08/03 11:25:29.0500 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2010/08/03 11:25:29.0593 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys

2010/08/03 11:25:29.0781 aeaudio (11c04b17ed2abbb4833694bcd644ac90) C:\WINDOWS\system32\drivers\aeaudio.sys

2010/08/03 11:25:29.0968 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2010/08/03 11:25:30.0109 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys

2010/08/03 11:25:30.0234 agp440 (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys

2010/08/03 11:25:30.0718 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2010/08/03 11:25:30.0843 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2010/08/03 11:25:31.0031 ati2mtag (417352592432f5368a8296f7fb73becf) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys

2010/08/03 11:25:31.0203 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2010/08/03 11:25:31.0328 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2010/08/03 11:25:31.0437 AVG Anti-Rootkit (e8054a423e5d2bdae6062bab6da159c4) C:\WINDOWS\system32\DRIVERS\avgarkt.sys

2010/08/03 11:25:31.0546 AvgArCln (ec08d1625f5c6cf2a57b79eb35186f8c) C:\WINDOWS\system32\DRIVERS\AvgArCln.sys

2010/08/03 11:25:31.0625 avgio (f1d43170fdd7399ee17ea32d4f868b0c) C:\Program Files\Avira\AntiVir Desktop\avgio.sys

2010/08/03 11:25:31.0765 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys

2010/08/03 11:25:31.0875 avipbb (ad9bd66a862116e79cb45bb6be46055f) C:\WINDOWS\system32\DRIVERS\avipbb.sys

2010/08/03 11:25:32.0046 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2010/08/03 11:25:32.0140 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2010/08/03 11:25:32.0281 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2010/08/03 11:25:32.0421 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2010/08/03 11:25:32.0562 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2010/08/03 11:25:32.0671 cercsr6 (84853b3fd012251690570e9e7e43343f) C:\WINDOWS\system32\drivers\cercsr6.sys

2010/08/03 11:25:32.0859 CO_Mon (6be1d6403727bdd8a2b2568dbe6bfb8b) C:\WINDOWS\system32\Drivers\CO_Mon.sys

2010/08/03 11:25:33.0140 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2010/08/03 11:25:33.0296 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys

2010/08/03 11:25:33.0453 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys

2010/08/03 11:25:33.0578 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2010/08/03 11:25:33.0734 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2010/08/03 11:25:33.0953 driverhardwarev2 (a694d8db6d360a3bbb0bd1517f1c1aee) C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys

2010/08/03 11:25:34.0078 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2010/08/03 11:25:34.0203 drvmcdb (e807f83e239c734173c14740787045f5) C:\WINDOWS\system32\DRIVERS\drvmcdb.sys

2010/08/03 11:25:34.0312 drvnddm (1baa922d627a59a6542acfa6fd7dc40a) C:\WINDOWS\system32\drivers\drvnddm.sys

2010/08/03 11:25:34.0437 E100B (98b46b331404a951cabad8b4877e1276) C:\WINDOWS\system32\DRIVERS\e100b325.sys

2010/08/03 11:25:34.0531 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2010/08/03 11:25:34.0687 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys

2010/08/03 11:25:34.0859 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys

2010/08/03 11:25:35.0015 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys

2010/08/03 11:25:35.0125 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2010/08/03 11:25:35.0265 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2010/08/03 11:25:35.0406 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2010/08/03 11:25:35.0531 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2010/08/03 11:25:35.0671 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

2010/08/03 11:25:35.0843 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys

2010/08/03 11:25:36.0078 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

2010/08/03 11:25:36.0218 ialm (9a883c3c4d91292c0d09de7c728e781c) C:\WINDOWS\system32\DRIVERS\ialmnt5.sys

2010/08/03 11:25:36.0437 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2010/08/03 11:25:36.0625 IntelIde (4b6da2f0a4095857a9e3f3697399d575) C:\WINDOWS\system32\DRIVERS\intelide.sys

2010/08/03 11:25:36.0718 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys

2010/08/03 11:25:36.0828 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2010/08/03 11:25:36.0968 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2010/08/03 11:25:37.0093 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2010/08/03 11:25:37.0187 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2010/08/03 11:25:37.0281 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2010/08/03 11:25:37.0406 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2010/08/03 11:25:37.0531 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2010/08/03 11:25:37.0640 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2010/08/03 11:25:37.0781 klmd24 (6485ad0a17a0d6286b4d44c652adabb2) C:\WINDOWS\system32\drivers\klmd.sys

2010/08/03 11:25:37.0875 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2010/08/03 11:25:37.0984 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys

2010/08/03 11:25:38.0156 MHNDRV (7f2f1d2815a6449d346fcccbc569fbd6) C:\WINDOWS\system32\DRIVERS\mhndrv.sys

2010/08/03 11:25:38.0296 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2010/08/03 11:25:38.0406 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys

2010/08/03 11:25:38.0515 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2010/08/03 11:25:38.0687 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys

2010/08/03 11:25:38.0843 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2010/08/03 11:25:39.0078 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2010/08/03 11:25:39.0265 MRxSmb (60ae98742484e7ab80c3c1450e708148) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2010/08/03 11:25:39.0453 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2010/08/03 11:25:39.0546 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2010/08/03 11:25:39.0687 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2010/08/03 11:25:39.0843 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2010/08/03 11:25:39.0968 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2010/08/03 11:25:40.0062 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

2010/08/03 11:25:40.0203 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2010/08/03 11:25:40.0328 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2010/08/03 11:25:40.0437 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2010/08/03 11:25:40.0562 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2010/08/03 11:25:40.0718 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys

2010/08/03 11:25:40.0875 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2010/08/03 11:25:41.0046 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2010/08/03 11:25:41.0296 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2010/08/03 11:25:41.0421 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2010/08/03 11:25:41.0593 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2010/08/03 11:25:41.0765 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2010/08/03 11:25:41.0875 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2010/08/03 11:25:42.0015 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys

2010/08/03 11:25:42.0140 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2010/08/03 11:25:42.0265 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys

2010/08/03 11:25:42.0390 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys

2010/08/03 11:25:42.0609 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\drivers\PCIIde.sys

2010/08/03 11:25:42.0734 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys

2010/08/03 11:25:43.0406 pfc (da86016f0672ada925f589ede715f185) C:\WINDOWS\system32\drivers\pfc.sys

2010/08/03 11:25:43.0531 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2010/08/03 11:25:43.0640 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys

2010/08/03 11:25:43.0750 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2010/08/03 11:25:43.0890 PxHelp20 (183ef96bcc2ec3d5294cb2c2c0ecbcd1) C:\WINDOWS\system32\Drivers\PxHelp20.sys

2010/08/03 11:25:44.0359 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2010/08/03 11:25:44.0484 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2010/08/03 11:25:44.0625 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2010/08/03 11:25:44.0734 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2010/08/03 11:25:44.0843 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2010/08/03 11:25:44.0984 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2010/08/03 11:25:45.0109 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys

2010/08/03 11:25:45.0250 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2010/08/03 11:25:45.0406 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys

2010/08/03 11:25:45.0546 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2010/08/03 11:25:45.0656 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2010/08/03 11:25:45.0781 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys

2010/08/03 11:25:45.0906 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys

2010/08/03 11:25:46.0109 smwdm (70b8dd8707dbf6142530c106365df67d) C:\WINDOWS\system32\drivers\smwdm.sys

2010/08/03 11:25:46.0265 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2010/08/03 11:25:46.0406 sptd (71e276f6d189413266ea22171806597b) C:\WINDOWS\system32\Drivers\sptd.sys

2010/08/03 11:25:46.0406 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 71e276f6d189413266ea22171806597b

2010/08/03 11:25:46.0421 sptd - detected Locked file (1)

2010/08/03 11:25:46.0515 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys

2010/08/03 11:25:46.0625 Srv (3bb03f2ba89d2be417206c373d2af17c) C:\WINDOWS\system32\DRIVERS\srv.sys

2010/08/03 11:25:46.0796 sscdbhk5 (3d1ce2231937376e3f5e1ac644357d8f) C:\WINDOWS\system32\drivers\sscdbhk5.sys

2010/08/03 11:25:46.0906 ssmdrv (3ad0362cf68de3ac500e981700242cca) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys

2010/08/03 11:25:47.0031 ssrtln (4e85dc934d3430427420c0e568727529) C:\WINDOWS\system32\drivers\ssrtln.sys

2010/08/03 11:25:47.0140 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2010/08/03 11:25:47.0234 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2010/08/03 11:25:47.0546 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2010/08/03 11:25:47.0656 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2010/08/03 11:25:47.0812 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2010/08/03 11:25:47.0984 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2010/08/03 11:25:48.0078 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2010/08/03 11:25:48.0218 tfsnboio (001a671ee7bcfb424fcc2aae4c0c853f) C:\WINDOWS\system32\dla\tfsnboio.sys

2010/08/03 11:25:48.0343 tfsncofs (d7631678d85d2ae8820a14551a747a64) C:\WINDOWS\system32\dla\tfsncofs.sys

2010/08/03 11:25:48.0468 tfsndrct (8af02bae5438adfcbe34088e624289fc) C:\WINDOWS\system32\dla\tfsndrct.sys

2010/08/03 11:25:48.0593 tfsndres (9a5209c54c004c5051c558d6341a0d2d) C:\WINDOWS\system32\dla\tfsndres.sys

2010/08/03 11:25:48.0734 tfsnifs (d6036a8994b5a8bc9a2d60d32b963283) C:\WINDOWS\system32\dla\tfsnifs.sys

2010/08/03 11:25:48.0890 tfsnopio (43f14396a859efb949f5d48590095cd4) C:\WINDOWS\system32\dla\tfsnopio.sys

2010/08/03 11:25:49.0015 tfsnpool (aa159467b8b5d023284d34dfe49a2b7a) C:\WINDOWS\system32\dla\tfsnpool.sys

2010/08/03 11:25:49.0140 tfsnudf (de13f5b63c37308171e8b6df0ee0793f) C:\WINDOWS\system32\dla\tfsnudf.sys

2010/08/03 11:25:49.0250 tfsnudfa (eb9df39d87308903aa321315db52522b) C:\WINDOWS\system32\dla\tfsnudfa.sys

2010/08/03 11:25:49.0421 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2010/08/03 11:25:49.0578 UnlockerDriver5 (bb879dcfd22926efbeb3298129898cbb) E:\Program Files\Unlocker\UnlockerDriver5.sys

2010/08/03 11:25:49.0718 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2010/08/03 11:25:49.0859 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2010/08/03 11:25:50.0000 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2010/08/03 11:25:50.0109 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2010/08/03 11:25:50.0234 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys

2010/08/03 11:25:50.0406 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2010/08/03 11:25:50.0593 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys

2010/08/03 11:25:50.0734 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2010/08/03 11:25:50.0859 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys

2010/08/03 11:25:51.0093 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2010/08/03 11:25:51.0250 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys

2010/08/03 11:25:51.0343 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys

2010/08/03 11:25:51.0484 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys

2010/08/03 11:25:51.0546 ================================================================================

2010/08/03 11:25:51.0546 Scan finished

2010/08/03 11:25:51.0546 ================================================================================

2010/08/03 11:25:51.0578 Detected object count: 1

2010/08/03 11:26:31.0484 Locked file(sptd) - User select action: Skip

 

Il a détecté des fichiers suspects et les options proposées sont soit :

Delete

Skip

Quarantine

J'ai choisi "skip" préférant que vous m'indiquiez ce qui est le plus approprié.

 

Le rapport de RKill :

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Fred on 03/08/2010 at 11:30:41.

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\WINDOWS\system32\ntvdm.exe

C:\DOCUME~1\FRED\BUREAU\RKILL.COM

 

 

Rkill completed on 03/08/2010 at 11:30:46.

 

 

 

Je m'occupe de Malwarebytes', en espérant que je vais pouvoir l'ouvrir car depuis que j'ai ce rootkit, je ne peux pas utiliser ce logiciel.

Mais je vois que vous m'avez indiqué de le renommer, donc ça devrait aller (le dl est long, donc je fais un second post pour les résultats via ce logiciel).

Modifié le 3 août 2010 par SasoriMatsu

[SasoriMatsu]

Bien, malgré le fait d'avoir renommé Malwarebyte's en bitruc.com, j'ai comme d'habitude les erreurs suivantes dès que je tente de l'exécuter :

erreur d'exécution "0"

erreur d'exécution "440"

 

J'ai pourtant bien suivi votre tutoriel, mais rien à faire

 

[pear]

Et en mode sans échec ?

 

Relancez aussi un scan de votre antirootkit pour voir s'il y a du changement.

Modifié le 3 août 2010 par pear

[SasoriMatsu]

Je n'y avais pas pensé, j'essaye et je reviens vous informer.