[Résolu] Disque dur C plein : virus ?

[lance_yien]

Bonjour,

 

Fichiers infectieux type Worm supprimé par ComboFix. On approfondit les recherches!

 

>>> Supprimer ComboFix: Cliquer sur Démarrer => Exécuter et saisir (ou copier/ coller) ComboFix /Uninstall (espace entre "ComboFix" et "/Uninstall"). Cliquer sur OK.

Ce qui a pour effet de supprimer ComboFix ainsi que les dossiers/ fichiers qu'il a installé et ré-initialiser les points de restauration.

 

>>> Réinstaller AVG

--

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau TDSSKiller.zip depuis ici.

Dézipper TDSSKiller.zip (clic-droit dessus => "Extraire ici". Glisser TDSSKiller.zip dans la corbeille pour le supprimer.

• Fermer tout et désactiver antivirus et tout autre programme de protection. Cliquer sur TDSSKiller.exe pour lancer le programme.
   
  
• Cliquer sur le bouton Start Scan et patienter jusqu'à la fin de l'analyse.
   
  
• Si un fichier infecté est détecté, l'action par défaut sera Cure. Cliquer sur le bouton Continue Sans rien changer.
   
  
• Si un fichier suspect est détecté, l'action par défaut sera Skip. Cliquer sur le bouton Continue Sans rien changer.

Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton Reboot Now. Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt). Poster son contenu.

Si aucun redémarrage n'est requis, cliquer sur Report. Un fichier texte s'ouvre et sera sauvegardé de la même manière, poster son contenu.

 

 

>>> ESET Online Scanner: Brancher et allumer tous les médias amovibles disponibles (DD externe, clés USB etc) et désactiver antivirus/ parefeu et antispyware.

Utiliser Internet Explorer pour aller ICI.

• Cliquer sur le bouton vert ESET Online Scanner, cocher la case "YES, I accept the Terms of Use" et cliquer sur Start.
  
• Accepter l'installation de l'ActiveX.
  
• Cocher "Scan archives", DEcocher "Remove found threats" et cliquer Start.
  
• Eset téléchargera la base de données et commencera le scan. Le laisser finir son scan.
  
• Ensuite, cliquer sur "List of found threats"
  
• Cliquer sur "Export to text file..." et sauvegarder les résultats sur le Bureau en le nommant "scan-results" pour les copier/coller ici.
  
• Cliquer sur et cocher la case Uninstall application on close pour supprimer ESET Online Scanner de la machine.

Cliquer sur et poster le rapport.

 

 

Rapports demandés:

• TDSSKiller_log.txt
• scan-results.txt

[Vatt]

Bonjour

Voici le rapport de TDSSKiller :

2011/07/10 12:40:31.0000 2708 TDSS rootkit removing tool 2.5.9.0 Jul 1 2011 18:45:21

2011/07/10 12:40:31.0218 2708 ================================================================================

2011/07/10 12:40:31.0218 2708 SystemInfo:

2011/07/10 12:40:31.0218 2708

2011/07/10 12:40:31.0218 2708 OS Version: 5.1.2600 ServicePack: 3.0

2011/07/10 12:40:31.0218 2708 Product type: Workstation

2011/07/10 12:40:31.0218 2708 ComputerName: VERITON

2011/07/10 12:40:31.0218 2708 UserName: user

2011/07/10 12:40:31.0218 2708 Windows directory: C:\WINDOWS

2011/07/10 12:40:31.0218 2708 System windows directory: C:\WINDOWS

2011/07/10 12:40:31.0218 2708 Processor architecture: Intel x86

2011/07/10 12:40:31.0218 2708 Number of processors: 2

2011/07/10 12:40:31.0218 2708 Page size: 0x1000

2011/07/10 12:40:31.0218 2708 Boot type: Normal boot

2011/07/10 12:40:31.0218 2708 ================================================================================

2011/07/10 12:40:32.0203 2708 Initialize success

2011/07/10 12:40:36.0609 3852 ================================================================================

2011/07/10 12:40:36.0609 3852 Scan started

2011/07/10 12:40:36.0609 3852 Mode: Manual;

2011/07/10 12:40:36.0609 3852 ================================================================================

2011/07/10 12:40:37.0609 3852 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2011/07/10 12:40:37.0640 3852 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys

2011/07/10 12:40:37.0687 3852 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2011/07/10 12:40:37.0718 3852 AFD (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys

2011/07/10 12:40:37.0734 3852 Suspicious file (Forged): C:\WINDOWS\System32\drivers\afd.sys. Real md5: 322d0e36693d6e24a2398bee62a268cd, Fake md5: 355556d9e580915118cd7ef736653a89

2011/07/10 12:40:37.0750 3852 AFD - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:37.0890 3852 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2011/07/10 12:40:37.0921 3852 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2011/07/10 12:40:37.0953 3852 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2011/07/10 12:40:38.0015 3852 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2011/07/10 12:40:38.0062 3852 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2011/07/10 12:40:38.0140 3852 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2011/07/10 12:40:38.0171 3852 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2011/07/10 12:40:38.0218 3852 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2011/07/10 12:40:38.0250 3852 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2011/07/10 12:40:38.0328 3852 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2011/07/10 12:40:38.0375 3852 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys

2011/07/10 12:40:38.0421 3852 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys

2011/07/10 12:40:38.0468 3852 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2011/07/10 12:40:38.0500 3852 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2011/07/10 12:40:38.0531 3852 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2011/07/10 12:40:38.0562 3852 e1express (00192f0c612591d585594e9467e6ca8b) C:\WINDOWS\system32\DRIVERS\e1e5132.sys

2011/07/10 12:40:38.0609 3852 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2011/07/10 12:40:38.0703 3852 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys

2011/07/10 12:40:38.0718 3852 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys

2011/07/10 12:40:38.0718 3852 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys

2011/07/10 12:40:38.0734 3852 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2011/07/10 12:40:38.0765 3852 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2011/07/10 12:40:38.0781 3852 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2011/07/10 12:40:38.0812 3852 GEARAspiWDM (4ac51459805264affd5f6fdfb9d9235f) C:\WINDOWS\system32\Drivers\GEARAspiWDM.sys

2011/07/10 12:40:38.0812 3852 Suspicious file (Forged): C:\WINDOWS\system32\Drivers\GEARAspiWDM.sys. Real md5: 4ac51459805264affd5f6fdfb9d9235f, Fake md5: 8182ff89c65e4d38b2de4bb0fb18564e

2011/07/10 12:40:38.0812 3852 GEARAspiWDM - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:38.0843 3852 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2011/07/10 12:40:38.0890 3852 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys

2011/07/10 12:40:38.0921 3852 HECI (77ffc30aed2a09bc5dabdd9bc3f392d5) C:\WINDOWS\system32\DRIVERS\HECI.sys

2011/07/10 12:40:38.0968 3852 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

2011/07/10 12:40:39.0031 3852 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys

2011/07/10 12:40:39.0062 3852 Suspicious file (Forged): C:\WINDOWS\system32\Drivers\HTTP.sys. Real md5: f6aacf5bce2893e0c1754afeb672e5c9, Fake md5: f80a415ef82cd06ffaf0d971528ead38

2011/07/10 12:40:39.0062 3852 HTTP - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:39.0171 3852 ialm (85d42b7f0dd406adf5e3ec7659a279ec) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys

2011/07/10 12:40:39.0218 3852 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2011/07/10 12:40:39.0359 3852 IntcAzAudAddService (284bcb80391783d328a8d8163e97fd58) C:\WINDOWS\system32\drivers\RtkHDAud.sys

2011/07/10 12:40:39.0437 3852 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys

2011/07/10 12:40:39.0484 3852 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2011/07/10 12:40:39.0593 3852 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2011/07/10 12:40:39.0640 3852 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2011/07/10 12:40:39.0687 3852 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2011/07/10 12:40:39.0765 3852 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2011/07/10 12:40:39.0812 3852 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2011/07/10 12:40:39.0859 3852 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2011/07/10 12:40:39.0906 3852 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2011/07/10 12:40:39.0937 3852 kbdhid (94c59cb884ba010c063687c3a50dce8e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys

2011/07/10 12:40:39.0953 3852 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2011/07/10 12:40:39.0984 3852 KSecDD (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys

2011/07/10 12:40:40.0000 3852 Suspicious file (Forged): C:\WINDOWS\system32\drivers\KSecDD.sys. Real md5: 1705745d900dabf2d89f90ebaddc7517, Fake md5: b467646c54cc746128904e1654c750c1

2011/07/10 12:40:40.0000 3852 KSecDD - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:40.0078 3852 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2011/07/10 12:40:40.0109 3852 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys

2011/07/10 12:40:40.0171 3852 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2011/07/10 12:40:40.0203 3852 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys

2011/07/10 12:40:40.0250 3852 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2011/07/10 12:40:40.0296 3852 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2011/07/10 12:40:40.0312 3852 MRxSmb (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2011/07/10 12:40:40.0343 3852 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\mrxsmb.sys. Real md5: 68755f0ff16070178b54674fe5b847b0, Fake md5: 0dc719e9b15e902346e87e9dcd5751fa

2011/07/10 12:40:40.0343 3852 MRxSmb - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:40.0406 3852 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2011/07/10 12:40:40.0453 3852 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2011/07/10 12:40:40.0484 3852 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2011/07/10 12:40:40.0500 3852 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2011/07/10 12:40:40.0578 3852 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2011/07/10 12:40:40.0609 3852 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

2011/07/10 12:40:40.0640 3852 Suspicious file (Forged): C:\WINDOWS\system32\drivers\Mup.sys. Real md5: 2f625d11385b1a94360bfc70aaefdee1, Fake md5: de6a75f5c270e756c5508d94b6cf68f5

2011/07/10 12:40:40.0640 3852 Mup - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:40.0656 3852 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2011/07/10 12:40:40.0734 3852 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2011/07/10 12:40:40.0734 3852 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2011/07/10 12:40:40.0781 3852 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2011/07/10 12:40:40.0796 3852 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys

2011/07/10 12:40:40.0796 3852 Suspicious file (Forged): C:\WINDOWS\system32\drivers\NDProxy.sys. Real md5: 6215023940cfd3702b46abc304e1d45a, Fake md5: 9282bd12dfb069d3889eb3fcc1000a9b

2011/07/10 12:40:40.0796 3852 NDProxy - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:40.0812 3852 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2011/07/10 12:40:40.0859 3852 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2011/07/10 12:40:40.0906 3852 nm (1e421a6bcf2203cc61b821ada9de878b) C:\WINDOWS\system32\DRIVERS\NMnt.sys

2011/07/10 12:40:40.0968 3852 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2011/07/10 12:40:41.0000 3852 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2011/07/10 12:40:41.0031 3852 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2011/07/10 12:40:41.0046 3852 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2011/07/10 12:40:41.0109 3852 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2011/07/10 12:40:41.0140 3852 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys

2011/07/10 12:40:41.0203 3852 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2011/07/10 12:40:41.0218 3852 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys

2011/07/10 12:40:41.0250 3852 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys

2011/07/10 12:40:41.0265 3852 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys

2011/07/10 12:40:41.0312 3852 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys

2011/07/10 12:40:41.0437 3852 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2011/07/10 12:40:41.0453 3852 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys

2011/07/10 12:40:41.0484 3852 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2011/07/10 12:40:41.0546 3852 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2011/07/10 12:40:41.0546 3852 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2011/07/10 12:40:41.0562 3852 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2011/07/10 12:40:41.0578 3852 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2011/07/10 12:40:41.0593 3852 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2011/07/10 12:40:41.0640 3852 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2011/07/10 12:40:41.0656 3852 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys

2011/07/10 12:40:41.0671 3852 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2011/07/10 12:40:41.0750 3852 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys

2011/07/10 12:40:41.0796 3852 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2011/07/10 12:40:41.0812 3852 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\secdrv.sys. Real md5: 90a3935d05b494a5a39d37e71f09a677, Fake md5: 07f7f501ad50de2ba2d5842d9b6d6155

2011/07/10 12:40:41.0812 3852 Secdrv - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:41.0843 3852 Serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2011/07/10 12:40:41.0859 3852 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys

2011/07/10 12:40:41.0890 3852 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys

2011/07/10 12:40:41.0937 3852 shdbus (ad41c64da5a41ee03452d9569dc6ea87) C:\WINDOWS\system32\drivers\shdbus.sys

2011/07/10 12:40:42.0015 3852 Shield (793730849071abd21c56a6ef80657c47) C:\WINDOWS\system32\drivers\Shield.sys

2011/07/10 12:40:42.0062 3852 Shieldf (9cd00bb98aeaf603810b27c49288e266) C:\WINDOWS\system32\drivers\Shieldf.sys

2011/07/10 12:40:42.0093 3852 shieldm (92ddee1eb93823e6bcb066c86378c23b) C:\WINDOWS\system32\drivers\shieldm.sys

2011/07/10 12:40:42.0171 3852 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2011/07/10 12:40:42.0187 3852 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys

2011/07/10 12:40:42.0234 3852 Srv (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys

2011/07/10 12:40:42.0250 3852 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\srv.sys. Real md5: 5252605079810904e31c332e241cd59b, Fake md5: 47ddfc2f003f7f9f0592c6874962a2e7

2011/07/10 12:40:42.0250 3852 Srv - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:42.0296 3852 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2011/07/10 12:40:42.0312 3852 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2011/07/10 12:40:42.0375 3852 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2011/07/10 12:40:42.0421 3852 Tcpip (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2011/07/10 12:40:42.0453 3852 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\tcpip.sys. Real md5: 93ea8d04ec73a85db02eb8805988f733, Fake md5: 9aefa14bd6b182d61e3119fa5f436d3d

2011/07/10 12:40:42.0453 3852 Tcpip - detected ForgedFile.Multi.Generic (1)

2011/07/10 12:40:42.0484 3852 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2011/07/10 12:40:42.0500 3852 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2011/07/10 12:40:42.0546 3852 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2011/07/10 12:40:42.0578 3852 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2011/07/10 12:40:42.0640 3852 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2011/07/10 12:40:42.0687 3852 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

2011/07/10 12:40:42.0703 3852 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2011/07/10 12:40:42.0734 3852 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2011/07/10 12:40:42.0781 3852 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2011/07/10 12:40:42.0796 3852 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys

2011/07/10 12:40:42.0828 3852 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2011/07/10 12:40:42.0843 3852 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys

2011/07/10 12:40:42.0875 3852 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2011/07/10 12:40:42.0921 3852 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2011/07/10 12:40:43.0000 3852 MBR (0x1B8) (8535845b36f173c7aedece46e8028425) \Device\Harddisk0\DR0

2011/07/10 12:40:43.0031 3852 MBR (0x1B8) (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk1\DR3

2011/07/10 12:40:43.0031 3852 Boot (0x1200) (b76ed0f39f145f8624d15214a1f6b917) \Device\Harddisk0\DR0\Partition0

2011/07/10 12:40:43.0062 3852 Boot (0x1200) (a6a4e4556253430384f05ba661b845c7) \Device\Harddisk0\DR0\Partition1

2011/07/10 12:40:43.0062 3852 Boot (0x1200) (fc5dc044b75443a4412f47e27f65421d) \Device\Harddisk1\DR3\Partition0

2011/07/10 12:40:43.0062 3852 ================================================================================

2011/07/10 12:40:43.0062 3852 Scan finished

2011/07/10 12:40:43.0062 3852 ================================================================================

2011/07/10 12:40:43.0078 3300 Detected object count: 10

2011/07/10 12:40:43.0078 3300 Actual detected object count: 10

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(AFD) - User select action: Skip

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(GEARAspiWDM) - User select action: Skip

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(HTTP) - User select action: Skip

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(KSecDD) - User select action: Skip

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(MRxSmb) - User select action: Skip

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(Mup) - User select action: Skip

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(NDProxy) - User select action: Skip

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(Secdrv) - User select action: Skip

2011/07/10 12:40:46.0781 3300 ForgedFile.Multi.Generic(Srv) - User select action: Skip

2011/07/10 12:40:46.0796 3300 ForgedFile.Multi.Generic(Tcpip) - User select action: Skip

 

Merci

[Vatt]

rebonjour Lance_Yien,

je ne suis qu'à 27% depuis une heure sur le scan de ESET. Est ce normal ?

Sur les 27%, il m'a détecté 2 menaces (Win32/InstallCore.A et Win32/Agent.CRZRVTN cheval de Troie)!

Il faudrait que tu me recommandes un autre anti-virus autre que AVG11 parce qu'apparemment ça ne m'a pas protégé le PC : ((

Merci

[lance_yien]

Laisse-le faire STP! Merci (surtout s'il commence à trouver des chose et ton TDSkiller signale des suspects).

Modifié le 10 juillet 2011 par lance_yien

[Vatt]

voici le rapport scan-results.txt de ESET :

 

C:\Documents and Settings\LocalService\Application Data\WinDir\Svchost.exe une variante probable de Win32/Agent.CRZRVTN cheval de troie

C:\Program Files\VideoConverter\VideoConverter.exe une variante de Win32/InstallCore.A application

G:\SOFTWARE\WinRAR 4.00.exe une variante probable de Win32/Agent.CRZRVTN cheval de troie

G:\SOFTWARE\Corel DRAW_GS_X5_15.0.0.489\Keygen.rar une variante de Win32/Keygen.AF application

G:\SOFTWARE\Corel DRAW_GS_X5_15.0.0.489\Keygen\Keygen.exe une variante de Win32/Keygen.AF application

[lance_yien]

Bonjour,

 

>>> OTL: (Re)brancher (et allumer) tous les médias amovibles disponibles et fermer toute s les applications et fenêtres en cours.

Désactiver les programmes de protection (antivirus etc...) et lancer OTL.

Copier la liste suivante (commençant par :OTL) et la coller dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très important, merci de vérifier).

 

:OTL

 

 

:Services

 

:Reg

 

:Files

C:\WINDOWS\tasks\*.job

C:\*.sqm

C:\WINDOWS\System32\*.tmp

C:\WINDOWS\*.tmp

C:\Documents and Settings\LocalService\Application Data\WinDir\Svchost.exe

C:\Program Files\VideoConverter\VideoConverter.exe

G:\SOFTWARE\WinRAR 4.00.exe

G:\SOFTWARE\Corel DRAW_GS_X5_15.0.0.489

:Commands

[REBOOT]

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur Oui.

A la fin un rapport s'ouvre dans le bloc-note. Copier son contenu et le coller dans une nouvelle réponse. Fermer le rapport et OTL.

 

 

>>> Protection antivirale: Aucun antivirus ne peut te protéger si tu ne te décides pas à supprimer de ta machine tous ces keygens et autres fichiers/programmes crackés et abandonner les réseaux P2P (ton lecteur G e est plein). Un jour c'est ta machine qui va craquée sous l'effet d'un rootkit ou autre malware et tu risques de ne plus rien récupérer (ni matériel ni documents persos).

On trouve toujours un programme gratuit qui correspond à ce qu'on recherche, alors pour prendre des risques?

 

Pour changer d'antivirus tu peux essayer Avast! ou Avira. Mais ce qui te manque et qui est indispensable, c'est un pare-feu.

Un pare-feu est le 1er rempart contre les intrusions mais celui qui est inclus dans Windows XP ne contrôle pas le flux sortant d'Internet d'où l'utilité d'en installer un autre.

Choisir un parmi ceux-ci (gratuits): Online Armor Firewall, Sunbelt Personal Firewall, Outpost Firewall FREE.

 

 

Rapports demandés:

• OTL.txt

Autres symptômes à vérifier?

[Vatt]

Bonjour,

J'ai lancé OTL en copiant le script comme recommandé.... le PC a rebooté mais je n'ai pas de rapport OTL. est ce normal ?

Concernant le "pare-feu", AVG ne gère pas ? Je vais télécharger alors un des 3 dans ta proposition.

Sinon mon disque C est toujours aussi plein : ((

C'est grave non ?

[lance_yien]

Re,

 

Le rapport de OTL s'appelle OTL.txt et doit se trouver au même endroit que OTL.exe (normalement sur le bureau). <== à vérifier et poster avant de passer au reste, si possible

 

On vois si ZHPDiag peut trouver quelque chose.

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

 

>>> Télécharger, sur le Bureau, ZHPDiag (par Nicolas Coolman) depuis ici.

Fermer toutes les applications et fenêtres ouvertes et double-cliquer sur ZHPDiag.exe. Cliquer sur Lancer le diagnostic (loupe) et patienter jusqu'à la fin.

Un rapport ZHPDiag.txt sera généré et sauvegardé automatiquement sur le Bureau. Ne pas le poster directement ici car souvent trop lourd pour les limites du forum.

Aller sur le site :Ci-Joint

Cliquer sur Parcourir, chercher le fichier et cliquer dessus. Cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

[Vatt]

Bonsoir,

voici le rapport sous le lien suivant : Lien CJoint.com AGlv7ce4GMg

sinon je n'ai pas de rapport OTL.txt sur le bureau ?

[lance_yien]

Bonjour,

 

- Tous les utilitaire trouvent que ton disque est plein (ici, c'est "System drive C: has 1 GB (2%) free of 59 GB"

- Visiblement il y a des traces indésirables. On les supprime et on nettoie avec CCleaner.

 

>>> Utiliser ZHPFix,

 

• Sélectionner et copier le texte suivant:
   

  O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Windows Update.lnk . (.Microsoft Corporation.) -- C:\WINDOWS\system32\wupdmgr.exe
  [HKCU\Software\pdfforge.org]
  [HKLM\Software\pdfforge.org]
  O43 - CFD: 25/05/2011 - 21:57:44 - [58243590] ----D- C:\Documents and Settings\user\Application Data\OpenCandy
  O43 - CFD: 25/05/2011 - 21:57:46 - [759624] ----D- C:\Documents and Settings\user\Local Settings\Application Data\OpenCandy
  O47 - AAKE:Key Export SP - "C:\Documents and Settings\LocalService\Application Data\WinDir\Svchost.exe" [Enabled] .(...) -- C:\Documents and Settings\LocalService\Application Data\WinDir\Svchost.exe (.not file.)
  O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - Babylon Search
  O69 - SBI: SearchScopes [HKCU] {4BE65F77-54CF-477C-A838-350158267272} [DefaultScope] - (Fast Browser Search) - Fast Browser Search
  [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}] =>Adware.MyWebSearch
  [HKLM\Software\Classes\TypeLib\{AA2E16F2-387A-415F-BA95-B89BAF3AF109}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
  [HKCU\Software\pdfforge.org]
  [HKLM\Software\pdfforge.org]

• Lancer ZHPFix et clique sur le bouton [H].
  
• Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].
  
• Fermer toutes les applications et autres fenêtres en cours désactive (y compris Internet) et désactiver tous les programmes de protection (antivirus, pare-feu et antispyware).
  
• Enfin clique sur le bouton [Nettoyer] et laisser faire. Important: Redémarrer le PC pour finir le nettoyage si demandé.

Copie/colle le contenu du rapport qui s'ouvre dans la prochaine réponse. Ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt.

 

 

>>> CCleaner: Télécharger et installer CCleaner depuis ici (si tu ne l'as pas).

Lancer "CCleaner"[/b][/color] en cliquant sur son icône sur le Bureau ou en cliquant sur "Démarrer" => "Tous les programmes" => "CCleaner".

Dans la fenêtre principale, cocher les cases comme ceci (d'autres cases peuvent être cochées pour ceux qui maîtrisent l'outil):

Cliquer sur "Nettoyeur" à gauche, sur "Analyser" à droite et laisser faire.

Cliquer sur "Nettoyer" quand c'est prêt autant de fois qu'il y a encore des items dans l'encadré à droite.

Il ne faut pas se servir du bouton "Registre" (à gauche) pendant la désinfection.

 

 

Poster ZHPFixReport.txt. Un changement quelconque?