[RESOLU] Pc infesté de trojan, worm et autres backdoor

bernard53 · le 13 mars 2011

non j'ai bien analyser le fichier " atapi.sys "

fait ceci alors et Combofix va nous dire si ce fichier est vraiment infecté je pense.

Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".

Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.

Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

>> Une fois sur ton bureau double clique dessus pour le lancer.

Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

ben ali · le 13 mars 2011

Bonsoir Bernard,

Voici le rapport combofix:

ComboFix 11-03-12.01 - HP_Propriétaire 13/03/2011 22:28:14.2.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.446.43 [GMT 1:00]

Lancé depuis: c:\thomas\iufm\EmsisoftEmergencyKit\ComboFix.exe

AV: a-squared Anti-Malware *Enabled/Updated* {0F8591BB-342B-4493-91C3-4E948ED21255}

AV: avast! antivirus 4.8.1368 [VPS 101130-1] *Enabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\HP_Propriétaire\Application Data\Adobe\plugs

c:\documents and settings\HP_Propriétaire\Application Data\OfferBox

c:\documents and settings\HP_Propriétaire\Application Data\OfferBox\config.dat

c:\documents and settings\HP_Propriétaire\Application Data\OfferBox\config.xml

c:\program files\OfferBox

c:\program files\OfferBox\OfferBox.exe

c:\program files\OfferBox\OfferBoxBHO.dll

c:\program files\OfferBox\OfferBoxChromeExtension.crx

c:\program files\OfferBox\OfferBoxEngine.dll

c:\program files\OfferBox\offerboxffx@offerbox.com\chrome.manifest

c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\events.js

c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\overlay.xul

c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll

c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.xpt

c:\program files\OfferBox\offerboxffx@offerbox.com\install.rdf

c:\program files\OfferBox\OfferBoxLauncher.exe

c:\program files\OfferBox\res\language.xml

c:\program files\OfferBox\res\loader.gif

c:\program files\OfferBox\uninst.exe

c:\tdsskiller\tdsskiller.exe

c:\windows\system32\dboyvmyo.dll

c:\windows\system32\drivers\iblzdvgp.sys

c:\windows\system32\drivers\oqqapsdd.sys

c:\windows\system32\qyzxwcuz.dll

.

---- Exécution préalable -------

.

c:\program files\Internet Explorer\iekey.dll

c:\windows\Fonts\acrsec.fon

c:\windows\system\hpsysdrv .DAT

c:\windows\system\hpsysdrv .exe

c:\windows\system32\drivers\iblzdvgp.sys

c:\windows\system32\drivers\oqqapsdd.sys

c:\windows\system32\ps2.bat

D:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SSHNAS

-------\Legacy_iblzdvgp

-------\Service_iblzdvgp

-------\Legacy_IBLZDVGP

-------\Legacy_XGTNBJLE

-------\Service_iblzdvgp

-------\Service_xgtnbjle

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-02-13 au 2011-03-13 ))))))))))))))))))))))))))))))))))))

.

2011-03-13 11:17 . 2011-03-13 15:18 -------- d-----w- c:\program files\Emsisoft Anti-Malware

2011-03-13 09:57 . 2011-03-13 18:03 -------- d-----w- c:\documents and settings\HP_Propriétaire\Application Data\A2919433905566FFA489B5F314DA0CD2

2011-03-08 13:28 . 2011-03-13 21:44 -------- d-----w- C:\tdsskiller

2011-03-07 14:18 . 2011-03-07 14:23 16384 ----atw- c:\windows\~DF84D2.tmp

2011-03-07 14:03 . 2011-03-07 14:21 16384 ----atw- c:\windows\~DFBAF.tmp

2011-03-07 13:07 . 2011-03-07 13:07 81920 ----a-w- c:\windows\~DF5466.tmp

2011-03-07 12:58 . 2011-03-07 12:58 512 ----atw- c:\windows\~DFF7C3.tmp

2011-03-07 12:58 . 2011-03-07 12:58 32768 ----a-w- c:\windows\~DFF7B6.tmp

2011-03-07 12:58 . 2011-03-07 12:58 512 ----atw- c:\windows\~DFF6DA.tmp

2011-03-07 12:58 . 2011-03-07 12:58 512 ----atw- c:\windows\~DFF595.tmp

2011-03-07 12:58 . 2011-03-07 12:58 32768 ----a-w- c:\windows\~DFF586.tmp

2011-03-07 12:58 . 2011-03-07 12:58 16384 ----a-w- c:\windows\~DFF6CD.tmp

2011-03-07 12:57 . 2011-03-07 12:57 0 ----atw- c:\windows\~DF9648.tmp

2011-03-06 22:22 . 2011-03-06 22:22 512 ----a-w- C:\PhysicalDisk0_MBR.bin

2011-03-06 21:43 . 2011-03-07 12:56 -------- d-----w- c:\program files\ZHPDiag

2011-03-06 19:26 . 2011-03-06 19:26 -------- d-----w- C:\_OTL

2011-03-03 19:51 . 2011-03-03 19:51 -------- d-sh--w- c:\documents and settings\Administrateur.PICASSO\PrivacIE

2011-03-01 09:39 . 2011-03-01 09:39 -------- d-sh--w- c:\documents and settings\Administrateur.PICASSO\IETldCache

2011-02-23 21:59 . 2011-02-23 21:59 -------- d-----w- c:\documents and settings\HP_Propriétaire\Application Data\Malwarebytes

2011-02-23 21:59 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-02-23 21:59 . 2011-02-23 21:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-02-23 21:59 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-02-23 21:59 . 2011-02-23 21:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-02-23 21:49 . 2011-02-23 21:50 -------- d-----w- c:\program files\CCleaner

2011-02-23 21:48 . 2011-02-23 21:48 -------- d-sh--w- c:\documents and settings\NetworkService\PrivacIE

2011-02-23 21:47 . 2011-02-23 21:47 -------- d-sh--w- c:\documents and settings\NetworkService\IECompatCache

2011-02-23 21:40 . 2011-02-23 21:40 -------- d-----w- c:\documents and settings\HP_Propriétaire\Application Data\Reviversoft

2011-02-23 15:04 . 2011-02-23 21:48 -------- d-----r- c:\documents and settings\NetworkService\Favoris

2011-02-23 08:56 . 2011-02-23 08:57 84621672 ----a-w- c:\program files\Fichiers communs\Windows Live\.cache\wlc5.tmp

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-09 13:54 . 2004-08-05 18:00 270848 ----a-w- c:\windows\system32\sbe.dll

2011-02-09 13:54 . 2004-08-05 18:00 186880 ----a-w- c:\windows\system32\encdec.dll

2011-02-02 07:59 . 2004-08-05 18:00 2067456 ----a-w- c:\windows\system32\mstscax.dll

2011-01-27 11:57 . 2004-08-05 18:00 677888 ----a-w- c:\windows\system32\mstsc.exe

2011-01-21 14:44 . 2004-08-05 18:00 441344 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2004-08-05 18:00 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04 . 2004-08-05 18:00 1855104 ----a-w- c:\windows\system32\win32k.sys

2010-12-22 12:34 . 2004-08-05 18:00 301568 ----a-w- c:\windows\system32\kerberos.dll

2010-12-20 23:53 . 2004-08-05 18:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-12-20 23:53 . 2004-08-05 18:00 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-12-20 23:53 . 2004-08-05 18:00 1469440 ------w- c:\windows\system32\inetcpl.cpl

2010-12-20 17:26 . 2004-08-05 18:00 736768 ----a-w- c:\windows\system32\lsasrv.dll

2010-12-20 12:55 . 2004-08-05 18:00 385024 ----a-w- c:\windows\system32\html.iec

.

<pre>
c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\program files\ATI Technologies\ATI Control Panel\atiptaxx .exe
c:\program files\Belkin\F5D7050v3\Belkinwcui .exe
c:\program files\Fichiers communs\Real\Update_OB\realsched .exe
c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate .exe
c:\program files\HP\HP Software Update\HPWuSchd2 .exe
c:\program files\iTunes\iTunesHelper .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\ScanSoft\OmniPageSE4\OpwareSE4 .exe
c:\windows\SMINST\RECGUARD .exe
</pre>

.

------- Sigcheck -------

.

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\atapi.sys

[-] 2008-04-13 16:40 . !HASH: COULD NOT OPEN FILE !!!!! . 96512 . . [------] . . c:\windows\system32\drivers\atapi.sys

[7] 2004-08-05 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0000\DriverFiles\i386\atapi.sys

[7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32C2EEAF-79B6-0261-3C86-5B83C0688136}]

2004-08-05 12:00 737280 ----a-w- c:\windows\system32\dboyvmyo.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]

@="{32C2EEAF-79B6-0261-3C86-5B83C0688136}"

[HKEY_CLASSES_ROOT\CLSID\{32C2EEAF-79B6-0261-3C86-5B83C0688136}]

2004-08-05 12:00 737280 ----a-w- c:\windows\system32\dboyvmyo.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-09 68856]

"Registry Reviver"="c:\program files\Reviversoft\Registry Reviver\RegistryReviver.exe" [N/A]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [N/A]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [N/A]

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [N/A]

"ORAHSSSessionManager"="c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [N/A]

"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [N/A]

"AutoTBar"="c:\program files\HP\Digital Imaging\bin\AUTOTBAR.EXE" [N/A]

"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [N/A]

"a-squared"="c:\program files\Emsisoft Anti-Malware\a2guard.exe" [2011-03-10 3438992]

.

c:\documents and settings\Administrateur.PICASSO\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2003-9-30 57344]

.

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-2-18 110592]

Dell Control Utility.lnk - c:\program files\TM1184\ControlUtility\ControlUtility.exe [2007-2-4 262144]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"13410:TCP"= 13410:TCP:NortonAV

"15075:TCP"= 15075:TCP:NortonAV

"16280:TCP"= 16280:TCP:NortonAV

"12707:TCP"= 12707:TCP:NortonAV

"14482:TCP"= 14482:TCP:NortonAV

"6634:TCP"= 6634:TCP:spport

"13758:TCP"= 13758:TCP:spport

.

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [21/02/2007 23:20 160640]

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [21/02/2007 23:20 5248]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [14/06/2008 07:21 114768]

R2 a2AntiMalware;a-squared Anti-Malware Service;c:\program files\a-squared Anti-Malware\a2service.exe [07/06/2007 09:52 719392]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [14/06/2008 07:21 20560]

S1 ethtlmnb;ethtlmnb;\??\c:\windows\system32\drivers\ethtlmnb.sys --> c:\windows\system32\drivers\ethtlmnb.sys [?]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/01/2010 18:58 135664]

S3 PRISM_USB;Dell TrueMobile 1180 Wireless USB Adapter;c:\windows\system32\drivers\DELUSB_51.sys [02/01/2006 19:40 606208]

.

--- Autres Services/Pilotes en mémoire ---

.

*NewlyCreated* - XGTNBJLE

.

Contenu du dossier 'Tâches planifiées'

.

2011-03-13 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-27 20:34]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html

DPF: {8731163E-77B9-4F91-9122-F112521C28AF} - hxxp://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab

FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\kn1t48o0.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox&client=firefox-a&rlz=1R0GGIC_fr

FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\program files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\documents and settings\All Users\Application Data\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\program files\Real\RealPlayer\browserrecord\firefox\ext

.

- - - - ORPHELINS SUPPRIMES - - - -

.

AddRemove-Logiciel de saisie de commande 2006 - c:\pichon06\setup\setup.exe

AddRemove-Project Canarias 2006 - c:\program files\Microsoft Games\Flight Simulator 9\CanarySim\Data\uninstall.exe

AddRemove-Saber Jet Installer_is1 - c:\program files\Microsoft Games\Flight Simulator 9\unins000.exe

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-03-13 22:52

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

c:\windows\system32\dboyvmyo.dll 737280 bytes executable

.

Scan terminé avec succès

Fichiers cachés: 1

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f6,58,c9,91,42,63,98,4d,a8,1e,1c,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f6,58,c9,91,42,63,98,4d,a8,1e,1c,\

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(740)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\dboyvmyo.dll

.

- - - - - - - > 'explorer.exe'(1712)

c:\windows\system32\dboyvmyo.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\ALCXMNTR.EXE

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

.

**************************************************************************

.

Heure de fin: 2011-03-13 23:09:33 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-03-13 22:09

.

Avant-CF: 122 266 324 992 octets libres

Après-CF: 122 740 854 784 octets libres

.

- - End Of File - - FFA52DD43728ABBA55F6C838961E3400

bernard53 · le 14 mars 2011

ok tu as des fichiers patchés d'ou ce soucis avec "atapi.sys"

fait ceci.

Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0

Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :

KillAll::

RenV::

c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe

c:\program files\ATI Technologies\ATI Control Panel\atiptaxx .exe

c:\program files\Belkin\F5D7050v3\Belkinwcui .exe

c:\program files\Fichiers communs\Real\Update_OB\realsched .exe

c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate .exe

c:\program files\HP\HP Software Update\HPWuSchd2 .exe

c:\program files\iTunes\iTunesHelper .exe

c:\program files\Java\jre6\bin\jusched .exe

c:\program files\ScanSoft\OmniPageSE4\OpwareSE4 .exe

c:\windows\SMINST\RECGUARD .exe

File::

c:\documents and settings\HP_Propriétaire\Application Data\A2919433905566FFA489B5F314DA0CD2

c:\windows\~DF84D2.tmp

c:\windows\~DFBAF.tmp

c:\windows\~DF5466.tmp

c:\windows\~DFF7C3.tmp

c:\windows\~DFF7B6.tmp

c:\windows\~DFF6DA.tmp

c:\windows\~DFF595.tmp

c:\windows\~DFF586.tmp

c:\windows\~DF9648.tmp

c:\windows\system32\drivers\ethtlmnb.sys

Driver::

ethtlmnb

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32C2EEAF-79B6-0261-3C86-5B83C0688136}]

[-HKEY_CLASSES_ROOT\CLSID\{32C2EEAF-79B6-0261-3C86-5B83C0688136}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]

FCOPY::

c:\windows\system32\dllcache\atapi.sys | c:\windows\system32\drivers\atapi.sys

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:

Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

ben ali · le 14 mars 2011

Bonsoir Bernard,

J'ai appliqué la marche à suivre indiquée dans votre dernier post.

Voici le rapport de combofix après l'application de vos modifs:

ComboFix 11-03-13.02 - HP_Propriétaire 14/03/2011 21:09:33.3.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.446.117 [GMT 1:00]

Lancé depuis: c:\thomas\iufm\EmsisoftEmergencyKit\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt

AV: a-squared Anti-Malware *Enabled/Updated* {0F8591BB-342B-4493-91C3-4E948ED21255}

AV: avast! antivirus 4.8.1368 [VPS 101130-1] *Enabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

FILE ::

"c:\documents and settings\HP_Propriétaire\Application Data\A2919433905566FFA489B5F314DA0CD2"

"c:\windows\~DF5466.tmp"

"c:\windows\~DF84D2.tmp"

"c:\windows\~DF9648.tmp"

"c:\windows\~DFBAF.tmp"

"c:\windows\~DFF586.tmp"

"c:\windows\~DFF595.tmp"

"c:\windows\~DFF6DA.tmp"

"c:\windows\~DFF7B6.tmp"

"c:\windows\~DFF7C3.tmp"

"c:\windows\system32\drivers\ethtlmnb.sys"

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\~DF5466.tmp

c:\windows\~DF84D2.tmp

c:\windows\~DF9648.tmp

c:\windows\~DFBAF.tmp

c:\windows\~DFF586.tmp

c:\windows\~DFF595.tmp

c:\windows\~DFF6DA.tmp

c:\windows\~DFF7B6.tmp

c:\windows\~DFF7C3.tmp

c:\windows\system32\drivers\oqqapsdd.sys

.

--------------- FCopy ---------------

.

c:\windows\system32\dllcache\atapi.sys --> c:\windows\system32\drivers\atapi.sys

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_ethtlmnb

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-02-14 au 2011-03-14 ))))))))))))))))))))))))))))))))))))