Infections Multiples

[Goldust]

Bonjour à tous,

 

Suite au plantage systématique de mon PC et aux rapports de ZHP et Hijack (Merci Bleuet , je viens vers vous pour vous demander de l'aide.

 

//------ Rapport hijack -----\\

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 22:24:25, on 22/04/2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVAST Software\Avast\AvastUI.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = DartyBox : internet Haut Débit et Très Haut Débit + téléphonie illimitée + télévision numérique

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe

O4 - HKLM\..\Run: [MSI Live] C:\Program Files\MSI\MSI Live\SetWallpaper.exe

O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [Drive Booster Manager] C:\Program Files\DriveBooster\DriveBoosterSetup.exe min

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="C:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="d:\nvidia\win2k-xp\display\PhysX_9.09.0814_SystemSoftware.exe"

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html

O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{19332118-2C53-4D68-B14E-0065FF00F7D6}: NameServer = 212.27.40.240,212.27.40.241

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll, C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\System32\GameMon.des.exe (file missing)

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010\RpcAgentSrv.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 8904 bytes

 

 

//------ Rapport ZHP -----\\

 

 

Lien : Cijoint.fr - Service gratuit de dépôt de fichiers

 

PS: J'ai lu ce tuto http://www.zebulon.fr/dossiers/43-2-sections-log-hijackthis.html#o4 mais je n'ai rien fait de peur de mal faire.

 

Je m'en remet donc à vous, quelles manipulations dois je effectuer pour éradiquer la menace ?

 

Je vous remercie par avance pour votre aide, que je sais précieuse par avance.

 

Cordialement,

Modifié le 22 avril 2011 par Goldust

[Apollo]

Bonsoir,

 

Personne ne t'a fait remarquer qu'il y a deux antivirus sur ce pc?

 

Règle d'or:

 

1 antivirus

1 firewall

1 antimalware/spyware.

 

Ta suite Kaspersky est tout cela en même temps: Avast et Spybot doivent disparaître car il y a des conflits terribles sur ton système en plus des infections nombreuses.

 

Tu t'étonnes d'être infecté?

Pas moi: rien n'est à jour sur cette machine, Explorer 6, SP3 manquant, diverses applications pleines de failles parce que non à jour. (Java, Adobe Reader, Flash Player, etc. Bref ce pc en l'état est un rêve pour les pirates de tout poil. Ne fais pas de mise à jour tant que le pc est infecté.

 

Désinstalle Avast par ajouter/supprimer des programmes

 

Pour Spybot, il ne doit pas être viré n'importe comment:

Désinstaller Spybot S&D:

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

 

Tu dois retirer les vaccinations faites dans Spybot avant de le désinstaller.

 

 

Tu peux alors désinstaller Spybot S&D par ajouter/supprimer des programmes, ou par Programmes et Fonctionnalités dans Vista/Seven.

 

---------------------------

Après avoir dégagé ces deux gêneurs, fais ceci pour commencer la désinfection:

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

NB: TDSSKiller proposera des options: Delete, Skip ou Cure, il ne faut pas modifier ces options! (Supprimer, ignorer, "réparer")

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

 

@++

[Goldust]

Bonjour Apollo,

 

Oui je sais qu'il y a deux antivirus sur l'ordinateur, mais je ne dispose plus de la licence Kaspersky, il n'est donc plus à jour. J'ai prit l'habitude "d'éteindre" Kaspersky à chaque démarrage. En fait, je vais de nouveau avoir une licence Kaspersky dans 3 mois, c'est pour ca que je ne l'avait pas désinstaller. Dois je le désinstaller ?

 

 

 

Le passage au SP3 est-il nécessaire ou juste recommandé ?

 

L'absence de mise à jour générale vient du fait que je n'ai pas utilisé ce PC ces 4 derniers mois.

 

J'ai essayé de faire la manipulation avec TDSSKiller, mais le programme se ferme arrivé à 80 % de l'initialisation.(TDSS rootikit a rencontré un problème et doit fermer..."

 

Merci pour ton aide Apollo

[Apollo]

Bonjour,

 

Oui je sais qu'il y a deux antivirus sur l'ordinateur, mais je ne dispose plus de la licence Kaspersky, il n'est donc plus à jour. J'ai prit l'habitude "d'éteindre" Kaspersky à chaque démarrage. En fait, je vais de nouveau avoir une licence Kaspersky dans 3 mois, c'est pour ca que je ne l'avait pas désinstaller. Dois je le désinstaller ?

 

Oui, désinstalle-le car là il interfère avec Avast ou tout autre antivirus et/ou suite de sécurité.

 

Quand tu auras ta licence, tu pourras facilement le télécharger >> New! Kaspersky Anti-Virus / Internet Security 2011 - Kaspersky Lab Forum

 

Le passage au SP3 est-il nécessaire ou juste recommandé ?

 

C'est nécessaire et recommandé car Microsoft ne donne plus de support et de mises à jour qu'à SP3.

 

J'ai essayé de faire la manipulation avec TDSSKiller, mais le programme se ferme arrivé à 80 % de l'initialisation.(TDSS rootikit a rencontré un problème et doit fermer..."

 

Aie! Tu as chopé un rootkit mbr sans doute, et de nouvelle génération.

 

Ton pc est de quelle marque? Si c'est une marque qui a un système de récupération par cd du constructeur, on ne peut pas faire un fixmbr car les master boot record de pc de marque ne sont pas standard. On risque de faire plus de dégâts qu'autre-chose.

 

Est-ce que tu peux disposer d'un pc sain où tu pourrais placer ton disque infecté en esclave?

 

Dans ce cas, il faudrait lancer TDSSKiller depuis le pc sain pour qu'il puisse s'initialiser et réparer le rootkit (sans doute un TDL4).

 

C'est le troisième sujet où je rencontre cette merde et je n'en suis pas venu à bout.

 

Il existe bien des outils comme OTPLE d'Old Timer, mais je dois avouer que c'est beaucoup trop technique pour moi; mon désir est de dépanner mais faire prendre des risques à la personne que j'aide, jamais.

 

En attendant d'en savoir un peu plus sur les questions posées,

 

@++

[Goldust]

Aie je commence à avoir peur.

 

--> Je m'en vais de ce pas désinstaller Kaspersky

 

EDIT: Il m'est impossible de désinstaller Kespersky en mode sans échec, on ne peut le faire qu'en mode normal, or le PC plante en mode normal.

 

--> Je passerai au SP3 quand mon PC sera guéri (si il guérira)

 

--> C'est un PC que j'ai monté moi même (Carte mère MSI X58 Pro-E, Processeur Core i7 950, Carte vidéo Nvidia 9800 GT). Ce n'est donc pas une marque comme Packard Bell etc..

Pourra t-on donc tenter une fixmbr ?

 

--> Je pense que ce serait possible d'avoir la possibilité de mettre mon DD en esclave sur un autre PC, mais je ne sais plus comment positionner le cavalier.

 

EDIT: Depuis 1 semaine, l'ordinateur a changer de foyer (il a déménager ^^), à son ancien foyer, tout allait bien.

Dès que je l'ai branché sur internet dans la nouvelle maison, j'ai eu des menaces (de la part d'avast) détectées dès ma connexion internet (sans même aller sur Firefox). Il s'agissait donc de menaces réseaux et non web.

Le problème est que j'ai 2 autres PC, tous deux équipés d'avast et c'est tout (aucun anti spyware). Et eux ne reçoivent aucune menace réseau et n'ont jamais de problèmes de virus.

Comment est ce possible qu'un seul ordinateur soit touché ? (Évidemment c'est mon PC le plus puissant)

 

 

Merci pour ton aide, j'espère qu'on en viendra à bout :s

Modifié le 23 avril 2011 par Goldust

[Apollo]

Télécharge le remover pour désinstaller Kaspersky: enregistre-le sur le bureau, cela doit fonctionner aussi en mode sans échec. Download kavremover.exe from Sendspace.com - send big files the easy way

 

J'avais remonté un échantillon de mbr infecté à Kaspersky et autres experts mais je ne sais si on a pris cela au sérieux vu l'absence de réponse depuis deux jours.

J'ai refait le test sur un mbr infecté par TDSS dans ma Sandbox Kasper et l'antivirus le liquide toujours, ce qui est une solution inacceptable pour ce fichier.

 

Si tu as monté ton pc toi-même, je suppose que tu di^sposes du cd original de Microsoft?

 

La position des cavaliers est différente selon les marques de disques durs. Sur mon Seagate, si je dois le monter en esclave je ne dois laisser aucun cavalier, ce qui est plus pratique que certaines manip sur Hitachi par exemple, où il faut tatonner si on n'a pas le manuel.

 

En fait c'est indiqué sur une étiquette à-même le disque dur.

 

Mais il existe des sites qui expliquent la position cavalier selon les marques. C'e n'est pas trop mon domaine, le hardware.

 

Pas dit qu'il faudra en arriver là, c'est juste une possibilité.

 

Télécharge MBRCheck.exe sur ton Bureau.

• Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus)
• Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
• Si un code de démarrage inconnu est détecté, des options s'afficheront
• Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois.
• Si rien de particulier n'est détecté, presse juste sur la touche [Entrée]
• Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaître sur ton Bureau.
• Poste stp son contenu dans ton prochain message.

 

@++

[Goldust]

Voila la rapport MRB:

 

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows XP Professional

Windows Information: Service Pack 2 (build 2600)

Logical Drives Mask: 0x000007dc

 

Kernel Drivers (total 73):

0x804D7000 \WINDOWS\system32\ntoskrnl.exe

0x806FD000 \WINDOWS\system32\hal.dll

0x8AEDC000 \WINDOWS\system32\KDCOM.DLL

0xF789B000 \WINDOWS\system32\BOOTVID.dll

0xF7987000 \WINDOWS\System32\Drivers\WMILIB.SYS

0xF74CB000 \WINDOWS\System32\Drivers\SCSIPORT.SYS

0xF749C000 ACPI.sys

0xF748B000 pci.sys

0xF75F7000 ohci1394.sys

0xF7607000 \WINDOWS\System32\DRIVERS\1394BUS.SYS

0xF7617000 isapnp.sys

0xF7A4F000 pciide.sys

0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

0xF7989000 intelide.sys

0xF7627000 MountMgr.sys

0xF7868000 ftdisk.sys

0xF798B000 dmload.sys

0xF7842000 dmio.sys

0xF770F000 PartMgr.sys

0xF7637000 VolSnap.sys

0xF782A000 atapi.sys

0xF7647000 disk.sys

0xF7657000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

0xB87E1000 fltmgr.sys

0xB87CF000 sr.sys

0xB87B8000 KSecDD.sys

0xB872B000 Ntfs.sys

0xB86FE000 NDIS.sys

0xF789F000 RecAgent.sys

0xB86E3000 Mup.sys

0xB8583000 \SystemRoot\System32\DRIVERS\usbuhci.sys

0xB8538000 \SystemRoot\System32\DRIVERS\USBPORT.SYS

0xF778F000 \SystemRoot\System32\DRIVERS\usbehci.sys

0xB8513000 \SystemRoot\System32\DRIVERS\HDAudBus.sys

0xF7687000 \SystemRoot\System32\DRIVERS\imapi.sys

0xF7697000 \SystemRoot\System32\DRIVERS\cdrom.sys

0xF76A7000 \SystemRoot\System32\DRIVERS\redbook.sys

0xB84F0000 \SystemRoot\System32\DRIVERS\ks.sys

0xB86A7000 \SystemRoot\System32\DRIVERS\wmiacpi.sys

0xB8497000 \SystemRoot\System32\DRIVERS\rdpdr.sys

0xF76B7000 \SystemRoot\System32\DRIVERS\termdd.sys

0xB8573000 \SystemRoot\System32\DRIVERS\kbdclass.sys

0xB8563000 \SystemRoot\System32\DRIVERS\mouclass.sys

0xF7997000 \SystemRoot\System32\DRIVERS\swenum.sys

0xB8463000 \SystemRoot\System32\DRIVERS\update.sys

0xB868B000 \SystemRoot\System32\DRIVERS\mssmbios.sys

0xF76C7000 \SystemRoot\System32\DRIVERS\usbhub.sys

0xF799B000 \SystemRoot\System32\DRIVERS\USBD.SYS

0xF79A1000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

0xF7A5B000 \SystemRoot\System32\Drivers\Null.SYS

0xF79A5000 \SystemRoot\System32\Drivers\Beep.SYS

0xF77E7000 \SystemRoot\System32\drivers\vga.sys

0xB8427000 \SystemRoot\System32\drivers\VIDEOPRT.SYS

0xF7807000 \SystemRoot\System32\Drivers\Msfs.SYS

0xF7817000 \SystemRoot\System32\Drivers\Npfs.SYS

0xF77D7000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS

0xB865F000 \SystemRoot\System32\DRIVERS\hidusb.sys

0xF76E7000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS

0xB85A3000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS

0xB83F5000 \SystemRoot\System32\DRIVERS\kbdhid.sys

0xF76F7000 \SystemRoot\System32\Drivers\Cdfs.SYS

0xB83BD000 \SystemRoot\System32\Drivers\dump_atapi.sys

0xF79B9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS

0xBF800000 \SystemRoot\System32\win32k.sys

0xB83D5000 \SystemRoot\System32\drivers\Dxapi.sys

0xF781F000 \SystemRoot\System32\watchdog.sys

0xBD000000 \SystemRoot\System32\drivers\dxg.sys

0xB83FD000 \SystemRoot\System32\drivers\dxgthk.sys

0xBFF70000 \SystemRoot\System32\framebuf.dll

0xBFFA0000 \SystemRoot\System32\ATMFD.DLL

0xB7969000 \SystemRoot\System32\DRIVERS\mouhid.sys

0xB7762000 \SystemRoot\System32\Drivers\Fastfat.SYS

0x7C910000 \WINDOWS\system32\ntdll.dll

 

Processes (total 12):

0 System Idle Process

4 System

172 C:\WINDOWS\system32\smss.exe

220 csrss.exe

244 C:\WINDOWS\system32\winlogon.exe

288 C:\WINDOWS\system32\services.exe

300 C:\WINDOWS\system32\lsass.exe

452 C:\WINDOWS\system32\svchost.exe

520 svchost.exe

568 C:\WINDOWS\system32\svchost.exe

820 C:\WINDOWS\explorer.exe

1188 C:\Documents and Settings\Administrateur\Bureau\MBRCheck.exe

 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

 

PhysicalDrive0 Model Number: STM3500418AS, Rev: CC38

 

Size Device Name MBR Status

--------------------------------------------

465 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: 8637A6CD1F8DC55758E12C0B860CDE1133CA5719

 

 

Done!

 

 

Note: J'ai juste eu à appuyer sur entrée une fois.

Les menaces que avast avait détectés contenaient toute le nom svchost.

 

Je peux retrouver mon CD Windows oui.

 

Encore merci pour ton aide Apollo.

[Apollo]

Je m'attendais à ce résultat soit-disant négatif; cette saloperie aveugle les outils qui ne le détectent pas.

 

Fais analyser le mbr sur Virus total: VirusTotal - Free Online Virus, Malware and URL Scanner

 

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée copie le lien qui se trouve dans la barre de navigateur et colle-le dans ta réponse stp.
  

 

@++

[Goldust]

Je n'ai pas très bien compris, comment savoir quel fichier est infecté par le mbr ?

[Apollo]

Re,

 

C'est le mbr lui-même que tu dois rechercher avec virus total et analyser: il se trouve à la racine de ton disque dur, généralement C:\ Bref via le poste de travail C\PhysicalDisk0_mbr

 

 

@++

Modifié le 23 avril 2011 par Apollo