Scanner inopérant (2) [RESOLU]

[croquis]

Voilà! les étapes du post #10 ont été effectuées...

 

Direction: SysProt AntiRootkit

 

A tout de suite,

 

Croquis

 

PS: Depuis le plantage du PC de cette après-midi (et le bon fonctionnement au final) du PC, j'ai sans arrêt des messages du contrôle du compte utilisateur qui m'em... avec des autorisations à confirmer dès qu'un programme (même Firefox!) est activé... As-tu une solution ou bien on ignore pour le moment..?

Modifié le 30 mai 2011 par croquis

[tomtom95]

D'accord

 

A+

[tomtom95]

Normal UAC a été réactiver

Pour l'instant ,mais en fin de procédure il faudra le réactiver.

 

 

Désactiver l'UAC de Seven

• vas dans Démarrer
  
• Panneau de configuration
  
• Comptes et protection utilisateurs
  
• Comptes d’utilisateurs
  Note : pour accéder plus rapidement au compte d'utilisateur
  tu peux cliquer directement sur ton image en haut du menu démarrer.
   
  
• Modifier les paramètres de contrôle du compte d'utilisateur
  Une fois parvenu à cette étape une fenêtre pop-up apparaît descendre le curseur en bas sur :
• ne jamais m'avertir
  redémarre ton pc pour prendre en compte cette modification.

 

A+

[croquis]

Voici le log de SysProt

 

Bizarrement le programme m'a signalé l'échec de l'analyse car il doit fonctionner avec les droits d'admin alors que j'ai bien cliqué sur exécuter en tant qu'administrateur...

Faut-il recommencer???

 

Quoi qu'il en soit voici donc le log:

 

-->ICI

 

A te lire,

 

Croquis

[croquis]

UAC désactivée!

 

MERCI!

 

Croquis

[tomtom95]

On vois autrement applique cette procédure stp

 

 

Télécharge Gmer. (Przemyslaw Gmerek)

• Cliquer sur le bouton "Download EXE"
  - Sauvegardez sur le Bureau.
  
• Clique droit "executer en tant qu'administrateur" pour Vista / W7 sur le raccourci sur ton bureau pour lancer l'installation
  - Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les
  car il faudra fermer le navigateur.
  Avant toute utilisation de GMER
  veuille a désactiver ton antivirus antispyware
   
  
• Déconnecte toi d'Internet puis ferme tous les programmes.
  
• Double-clique sur Gmer.exe.
  
• Clique sur l'onglet Rootkit
  
• A droite Vérifiez que soient décochées l'options suivante :
  Show All
  
• Clique maintenant sur Scan.patiente (c'est un peu long 10mn)
  Si GMER plante sans raison décoche Devices et si cela coince encore décoche Files et refait le scanne
  
• Lorsque le scan est terminé
  les éléments détectés comme rootkit apparaissent en rouge dans chaque section
   
  Si aucun rootkit n'est détecté
  
• Clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.
   
  
• Si un rootkit est détecté au démarrage du programme
  une boite de dialogue s'ouvre :
  WARNING
  GMER has found rootkit activity
  Do you want to fully scan your system ?
  
• Clique sur "YES"
   
  Une fois le scan terminé clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.
   
  Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.
  Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.
   
  
• clique sur Copy.et poste le contenu ici.
  
• Enregistre aussi le fichier sur ton Bureau
  

 

A+

[croquis]

Re Tomtom,

 

Je ne pense pas que le programme ait planté (même si je n'ai pas eu de confirmation de succès à la fin du scan...)

Aucun signe d'avertissement de rootkit activity.

Remarque: j'ai constaté, avant de cliquer sur "scan" que seule était cochée la case C:\ (alors que 2 autres cases étaient non cochées: D:\ = 2ème DD du PC et O:\ = mon DD externe)

 

Voici le log:

 

GMER 1.0.15.15640 - GMER - Rootkit Detector and Remover

Rootkit scan 2011-05-30 22:43:41

Windows 6.1.7600

Running: eu6uh03v.exe

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\ControlSet001\services\BITS\Parameters@ServiceDll %SystemRoot%\System32\qmgr.dll

Reg HKLM\SYSTEM\ControlSet001\services\DcomLaunch\Parameters@ServiceDll %SystemRoot%\system32\rpcss.dll

Reg HKLM\SYSTEM\ControlSet001\services\gpsvc\Parameters@ServiceDll %SystemRoot%\System32\gpsvc.dll

Reg HKLM\SYSTEM\ControlSet001\services\gpsvc\Parameters@ServiceMain GroupPolicyClientServiceMain

Reg HKLM\SYSTEM\ControlSet001\services\gpsvc\Parameters@ServiceDllUnloadOnStop 1

Reg HKLM\SYSTEM\ControlSet001\services\RpcSs\Parameters@ServiceDll %SystemRoot%\system32\rpcss.dll

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files (x86)\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x52 0xDD 0x7B 0xD7 ...

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0xA0 0x02 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xDA 0x1A 0x01 0xC2 ...

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x88 0x78 0x61 0x99 ...

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0xC7 0x1D 0x90 0xA5 ...

Reg HKLM\SYSTEM\ControlSet001\services\TrkWks\Parameters@ServiceDll %SystemRoot%\System32\trkwks.dll

Reg HKLM\SYSTEM\ControlSet001\services\TrkWks\Parameters@ServiceDllUnloadOnStop 1

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files (x86)\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x52 0xDD 0x7B 0xD7 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0xA0 0x02 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xDA 0x1A 0x01 0xC2 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x88 0x78 0x61 0x99 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0xC7 0x1D 0x90 0xA5 ...

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files (x86)\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x52 0xDD 0x7B 0xD7 ...

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0xA0 0x02 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xDA 0x1A 0x01 0xC2 ...

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x88 0x78 0x61 0x99 ...

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0xC7 0x1D 0x90 0xA5 ...

 

---- EOF - GMER 1.0.15 ----

 

 

A+

 

Croquis

[tomtom95]

RE

 

bien pas de probléme on fini

 

• Télecharge sur le site

DelFix (de Xplode) sur ton Bureau
 
Choisis l'option "Recherche" en tapant 1
Valide sur Entrée
Laisse travailler l'outil
Copie/colle le rapport obtenu
Relance Delfix
 
Choisis l'option "Suppression" en tapant 2
Valide sur Entrée
Laisse travailler l'outil
Copie/colle le rapport obtenu
Supprime DelFix ainsi que les autres outils restant éventuellement sur le bureau.

 

 

Tu va Démarrer une invite de commandes en mode administrateur :

Cliquez sur Démarrer/(Tous les)Programmes/Accessoires puis cliquez droit sur Invite de commandes. Choisissez Exécuter en tant qu'Administrateur.

 

Dans la fenêtre qui s'ouvre, copiez-collez la commande ,et valide avec la touche [Entrée].

sfc /verifyonly

attention aux espace sfc < espace > /verifyonly

L'analyse du système se lance ,tu peux suivre la progression ,tu aura un message:

(Le programme de protection des ressources Windows n'a trouvé aucune violation d'intégrité)

Ou (La protection des ressources Windows a trouvé des violation d'intégrité. Des détails sont fournis dans le journal CBS.log Windir/Logs/CBS/CBS.log. Par exemple C:/Windows/Logs/CBS/CBS.log.)

Donne moi le résultat, a ce moment là je te donnerai une autre procédure.

 

A+

[croquis]

Log DelFix après fonction "recherche":

 

# DelFix v7.9B - Rapport créé le 30/05/2011 à 23:43

# Mis à jour le 22/05/11 à 14h par Xplode

# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]

# Nom d'utilisateur : Valéry - VALÉRY-PC (Administrateur)

# Exécuté depuis : C:\Users\Valéry\Desktop\delfix.exe

# Option [Recherche]

 

 

~~~~~~ Dossier(s) ~~~~~~

 

Présent : C:\_OTL

Présent : C:\USBFix

Présent : C:\Program Files (x86)\ZHPDiag

Présent : C:\Users\Valéry\Desktop\RK_Quarantine

Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

 

~~~~~~ Fichier(s) ~~~~~~

 

Présent : C:\PhysicalDisk0_MBR.bin

Présent : C:\UsbFix_Upload_Me_VALÉRY-PC.zip

Présent : C:\ZHPExportRegistry-25-05-2011-20-50-37.txt

Présent : C:\ZHPExportRegistry-26-05-2011-17-27-41.txt

Présent : C:\Users\Valéry\Desktop\Extras.Txt

Présent : C:\Users\Valéry\Desktop\OTL.exe

Présent : C:\Users\Valéry\Desktop\OTL.Txt

Présent : C:\Users\Valéry\Desktop\RKreport[1].txt

Présent : C:\Users\Valéry\Desktop\RKreport[2].txt

Présent : C:\Users\Valéry\Desktop\RogueKiller.exe

Présent : C:\Users\Valéry\Desktop\TFC.exe

Présent : C:\Users\Valéry\Desktop\UsbFix.exe

Présent : C:\Users\Valéry\Desktop\ZHPDiag.txt

Présent : C:\Users\Valéry\Desktop\ZHPDiag2.exe

Présent : C:\Users\Valéry\Desktop\ZHPFixReport.txt

Présent : C:\Users\Public\Desktop\MBRCheck.lnk

Présent : C:\Users\Public\Desktop\ZHPDiag.lnk

Présent : C:\Users\Public\Desktop\ZHPFix.lnk

Présent : C:\Users\Public\Desktop\MBRCheck.lnk

Présent : C:\Users\Public\Desktop\ZHPDiag.lnk

Présent : C:\Users\Public\Desktop\ZHPFix.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Présente : HKLM\Software\OldTimer Tools

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

 

~~~~~~ Autre ~~~~~~

 

 

########## EOF - "C:\DelFixSearch.txt" - [1866 octets] ##########

 

A+

Croquis

[croquis]

Log DelFix après fonction "Suppression":

 

 

# DelFix v7.9B - Rapport créé le 30/05/2011 à 23:46

# Mis à jour le 22/05/11 à 14h par Xplode

# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]

# Nom d'utilisateur : Valéry - VALÉRY-PC (Administrateur)

# Exécuté depuis : C:\Users\Valéry\Desktop\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossier(s) ~~~~~~

 

Supprimé : C:\_OTL

Supprimé : C:\USBFix

Supprimé : C:\Program Files (x86)\ZHPDiag

Supprimé : C:\Users\Valéry\Desktop\RK_Quarantine

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\UsbFix_Upload_Me_VALÉRY-PC.zip

Supprimé : C:\ZHPExportRegistry-25-05-2011-20-50-37.txt

Supprimé : C:\ZHPExportRegistry-26-05-2011-17-27-41.txt

Supprimé : C:\Users\Valéry\Desktop\Extras.Txt

Supprimé : C:\Users\Valéry\Desktop\OTL.exe

Supprimé : C:\Users\Valéry\Desktop\OTL.Txt

Supprimé : C:\Users\Valéry\Desktop\RKreport[1].txt

Supprimé : C:\Users\Valéry\Desktop\RKreport[2].txt

Supprimé : C:\Users\Valéry\Desktop\RogueKiller.exe

Supprimé : C:\Users\Valéry\Desktop\TFC.exe

Supprimé : C:\Users\Valéry\Desktop\UsbFix.exe

Supprimé : C:\Users\Valéry\Desktop\ZHPDiag.txt

Supprimé : C:\Users\Valéry\Desktop\ZHPDiag2.exe

Supprimé : C:\Users\Valéry\Desktop\ZHPFixReport.txt

Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk

Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKLM\Software\OldTimer Tools

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

 

~~~~~~ Autre ~~~~~~

 

-> Prefetch vidé

 

########## EOF - "C:\DelFixSuppr.txt" - [1770 octets] ##########

 

A+

 

Croquis