[Résolu] PC infecté impossible à scanner

[pear]

Télécharger WinReplace de Loup Blanc

Si vous utilisez Spybot

Désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot->Options Avancées :- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

L'antivirus doit être désactivé.

Pour éviter qu'il se relance au redémarrage, décochez le dans Msconfig->Démarrage

 

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace

Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

 

Le programme se lance et vérifie votre version de Windows.

Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..

c:\windows\regedit.exe

 

Fermez le bloc-note et enregistrez les changements.

 

Le service pack correspondant à votre système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

 

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

 

Confirmez la restauration du fichier en appuyant sur la touche o et Entrée

 

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.

copier/coller ce rapport.

[benfox]

J'ai suivi la procédure.

Mais il me dis que regedit.exe est introuvable dans ce service pack (le 2)

Il ne peux pas le remplacer.

 

J'ai regardé ici :

Root Kit Zero Access Diagnosed By ComboFix - Help - Page 2

 

Ils semblent avoir une solution non ?

 

Mieux vaudrait réinstaller non ?

ça semble compliqué...

 

En tout cas merci !!

[benfox]

Je pense à un truc j'ai fais des va et viens vers mon ordi pour importer les scans.

Je ne vais pas infecter ma bécane par le biais de la clé USB ?

[benfox]

J'ai du neuf.

 

J'ai réinstaller avec succès antivir qui fonctionne de nouveau ainsi que firefox.

Le scan d'antivir m'a permis d'enlever quelques malwares (trojan)

Mais il reste quelques problèmes.

 

1 GMER détecte en core un rootkit nommé : malicious win32:MBRoot code @ secteur 156296388

 

2 il m'est impossible de faire fonctionner de nouveau Internet explorer qui reste indemarrable et qui me donne toujours l'erreur : "windows ne parvient pas à acceder au periph......."

 

Que dois je faire ?

[pear]

Bonjour,

 

Excusez le retard, j'étais absent.

 

Postez le rapport Gmer complet , svp.

 

Relancez Tdss Killer:

 

Recherche Win32kDiag

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vers le bureau ,

Télécharger (Win32kDiag.exe)

Double-cliquez sur Win32kDiag.exe et patientez

Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque

Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

[benfox]

Pas de soucis pour l'attente et merci encore de ton aide

 

TDSSkiller ne trouve plus rien

 

A noter que les mise à jour windows essaient d'installer internet explorer 7 sans succès (même après la manip Win32kdiag)

 

 

Voici le rapport GMER :

 

GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover

Rootkit quick scan 2011-09-03 14:56:15

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST98823A rev.3.04

Running: imym469w.exe; Driver: C:\DOCUME~1\Vio\LOCALS~1\Temp\ugtdrpob.sys

 

 

---- Disk sectors - GMER 1.0.15 ----

 

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 156296388

Disk \Device\Harddisk0\DR0 PE file @ sector 156296410

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

Device \Driver\Tcpip \Device\Ip vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)

 

---- EOF - GMER 1.0.15 ----

Modifié le 3 septembre 2011 par benfox

[pear]

Vu.

 

 

 

J'attends le rapport Win32kDiag

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

 

File::

c:\windows\system32\nahnhzea.dll

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Télécharger DeFogger de Jpshortstuff sur le bureau.

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

 

Taper N pour quitter

 

 

 

Modifié le 3 septembre 2011 par pear

[benfox]

voilà le rapport de combofix

Sinon MBR check est en vert c'est bien le code de XP qu'il a trouvé

 

Par contre je ne trouve pas le rapport de win32KDiag ??

 

 

 

ComboFix 11-09-02.04 - Vio 03/09/2011 15:12:04.6.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.575 [GMT 2:00]

Lancé depuis: c:\documents and settings\Vio\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Vio\Bureau\CFScript.txt

.

FILE ::

"c:\windows\system32\nahnhzea.dll"

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\system32\nahnhzea.dll

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-08-03 au 2011-09-03 ))))))))))))))))))))))))))))))))))))

.

.

2011-09-03 12:34 . 2011-09-03 12:51 -------- d---a-w- C:\3590F75ABA9E485486C100C1A9D4FF06ZZZ..Z.....ZZZZZ

2011-09-03 11:53 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-09-03 11:53 . 2011-09-03 11:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-09-03 11:53 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-09-03 11:44 . 2011-09-03 11:44 -------- d-----w- c:\program files\Foxit Software

2011-09-02 18:41 . 2011-09-02 18:41 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-09-02 14:17 . 2011-09-02 14:17 -------- d-----w- c:\documents and settings\Vio\Application Data\Avira

2011-09-02 13:52 . 2001-08-23 15:04 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys

2011-09-02 13:52 . 2001-08-23 15:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys

2011-09-02 13:52 . 2001-08-17 20:02 9600 -c--a-w- c:\windows\system32\dllcache\hidusb.sys

2011-09-02 13:52 . 2001-08-17 20:02 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys

2011-09-02 13:51 . 2011-02-18 15:29 46592 ----a-w- c:\windows\system32\vsutil_loc040c.dll

2011-09-02 13:51 . 2011-02-18 15:28 104448 ----a-w- c:\windows\system32\zlcommdb.dll

2011-09-02 13:51 . 2011-02-18 15:28 69120 ----a-w- c:\windows\system32\zlcomm.dll

2011-09-02 13:50 . 2011-09-02 13:51 -------- d-----w- c:\windows\system32\ZoneLabs

2011-09-02 13:50 . 2011-02-18 15:28 1238528 ----a-w- c:\windows\system32\zpeng25.dll

2011-09-02 13:50 . 2011-09-02 13:50 -------- d-----w- c:\program files\Zone Labs

2011-09-02 13:50 . 2011-09-03 13:09 -------- d-----w- c:\windows\Internet Logs

2011-09-02 13:44 . 2011-09-02 13:47 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-09-02 13:44 . 2011-09-02 13:47 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-09-02 13:44 . 2011-09-02 13:44 -------- d-----w- c:\program files\Avira

2011-09-02 13:44 . 2011-09-02 13:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2011-09-02 13:44 . 2010-06-17 13:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-09-02 13:44 . 2010-06-17 13:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-09-02 12:41 . 2011-09-02 12:41 -------- d-----w- c:\program files\CCleaner

2011-09-02 12:37 . 2011-09-02 12:37 23624 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys

2011-09-02 12:36 . 2011-09-02 12:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Hitman Pro

2011-09-02 08:09 . 2011-09-02 08:09 -------- d-----w- C:\FR-files

2011-09-02 08:00 . 2011-09-02 08:13 -------- d-----w- C:\WinFileReplace

2011-09-01 18:48 . 2011-09-01 18:57 -------- d-----w- C:\benfix

2011-09-01 15:07 . 2011-09-03 09:37 512 ----a-w- C:\PhysicalDisk0_MBR.bin

2011-09-01 13:03 . 2011-09-01 13:03 -------- d-----w- c:\documents and settings\Vio\Application Data\QuickScan

2011-09-01 12:34 . 2011-09-01 12:34 -------- d-----w- c:\program files\ESET

2011-09-01 11:19 . 2011-09-01 11:19 -------- d--h--w- c:\windows\PIF

2011-09-01 11:12 . 2011-09-03 09:37 -------- d-----w- C:\ZHP

2011-09-01 11:11 . 2011-09-03 09:37 -------- d-----w- c:\program files\ZHPDiag

2011-09-01 11:07 . 2001-08-17 18:48 36128 -c--a-w- c:\windows\system32\dllcache\banshee.sys

2011-09-01 11:06 . 2001-08-17 19:47 6272 -c--a-w- c:\windows\system32\dllcache\apmbatt.sys

2011-09-01 11:05 . 2001-08-23 15:46 66048 -c--a-w- c:\windows\system32\dllcache\s3legacy.dll

2011-09-01 10:42 . 2011-09-01 10:42 -------- d-----w- c:\documents and settings\All Users\Favoris

2011-09-01 10:28 . 2011-09-01 10:37 -------- d-----w- C:\UsbFix

2011-08-31 16:19 . 2011-08-31 16:19 -------- d-----w- c:\documents and settings\Administrateur

2011-08-11 19:19 . 2011-08-11 19:19 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-09-01 13:47 . 2010-05-12 21:28 58496 ----a-w- c:\windows\system32\drivers\redbook.sys

2011-09-01 13:42 . 2004-08-04 00:00 41856 ----a-w- c:\windows\system32\drivers\imapi.sys

2011-08-30 23:21 . 2011-09-02 12:43 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2004-08-19 . 93321F89493DCAFB59D0901CD95F6137 . 331264 . . [5.1.2600.2180] . . c:\windows\regedit.exe

[-] 2004-08-19 . 93321F89493DCAFB59D0901CD95F6137 . 331264 . . [5.1.2600.2180] . . c:\windows\i386\REGEDIT.EXE

.

[-] 2006-12-13 . 0CEF991C04073F5EC8BFD65B961705F1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

.

[7] 2010-04-16 . C4BA5E36FB57F547117305BF1E0FE454 . 634656 . . [7.00.6000.17055] . . c:\windows\SoftwareDistribution\Download\a5b2eb22e9ac556c5d23469941e8c8c4\SP3GDR\iexplore.exe

[7] 2010-04-16 . B24A4E23A2FEDB6976EB04D334AD82B2 . 634648 . . [7.00.6000.21256] . . c:\windows\SoftwareDistribution\Download\a5b2eb22e9ac556c5d23469941e8c8c4\SP3QFE\iexplore.exe

[7] 2010-02-23 . B5116340B84824DDD0A641E36B126194 . 634648 . . [7.00.6000.17023] . . c:\windows\ERDNT\cache\iexplore.exe

[7] 2010-02-23 . B5116340B84824DDD0A641E36B126194 . 634648 . . [7.00.6000.17023] . . c:\windows\system32\dllcache\iexplore.exe

[7] 2010-02-23 . C8DDA4028065D5CE39CBE7A156B72AB9 . 634648 . . [7.00.6000.21228] . . c:\windows\$hf_mig$\KB980182-IE7\SP3QFE\iexplore.exe

[7] 2006-12-13 . 5334D4461AA92A7B008755FE6D13C5F2 . 622080 . . [7.00.5730.11] . . c:\windows\ie7updates\KB980182-IE7\iexplore.exe

.

((((((((((((((((((((((((((((( SnapShot_2011-09-02_18.24.06 )))))))))))))))))))))))))))))))))))))))))

.

+ 2006-12-13 12:45 . 2007-08-13 16:39 13312 c:\windows\system32\ieudinit.exe

+ 2006-12-13 12:52 . 2006-07-14 15:51 121856 c:\windows\system32\xmllite.dll

- 2006-12-13 12:52 . 2009-01-07 16:21 121856 c:\windows\system32\xmllite.dll

+ 2011-09-02 18:41 . 2011-09-02 18:41 243360 c:\windows\system32\Macromed\Flash\FlashUtil10w_ActiveX.exe

+ 2011-09-02 18:41 . 2011-09-02 18:41 328864 c:\windows\system32\Macromed\Flash\FlashUtil10w_ActiveX.dll

+ 2011-08-22 14:41 . 2011-08-22 14:41 3126944 c:\windows\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe

+ 2011-08-22 14:41 . 2011-08-22 14:41 3126944 c:\windows\Downloaded Program Files\CONFLICT.1\FP_AX_CAB_INSTALLER.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\documents and settings\Vio\Application Data\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\documents and settings\Vio\Application Data\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\documents and settings\Vio\Application Data\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\documents and settings\Vio\Application Data\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2011-02-18 1043968]

.

c:\documents and settings\Numa\Menu D‚marrer\Programmes\D‚marrage\

Dropbox.lnk - c:\documents and settings\Vio\Application Data\Dropbox\bin\Dropbox.exe [2011-5-25 24176560]

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [N/A]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSimpleStartMenu"= 0 (0x0)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

.

[HKLM\~\startupfolder\C:^Documents and Settings^Vio^Menu Démarrer^Programmes^Démarrage^Dropbox.lnk]

path=c:\documents and settings\Vio\Menu Démarrer\Programmes\Démarrage\Dropbox.lnk

backup=c:\windows\pss\Dropbox.lnkStartup

.

[HKLM\~\startupfolder\C:^Documents and Settings^Vio^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.3.lnk]

path=c:\documents and settings\Vio\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.3.lnk

backup=c:\windows\pss\OpenOffice.org 3.3.lnkStartup

.

[HKLM\~\startupfolder\C:^Documents and Settings^Vio^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]

path=c:\documents and settings\Vio\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk

backup=c:\windows\pss\RocketDock.lnkStartup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2011-04-21 05:53 281768 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]

2009-07-27 02:10 1983816 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]

2009-03-18 00:40 767312 ----a-w- c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FIREBOX]

2005-01-28 22:04 1003520 ----a-w- c:\program files\PreSonus\1394AudioDriver_FIREBox\FIREBOX Control.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

2005-11-21 21:51 7335936 ----a-w- c:\windows\system32\nvcpl.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2005-11-21 21:51 1519616 ----a-w- c:\windows\system32\nwiz.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 10:44 248552 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Documents and Settings\\Vio\\Application Data\\Dropbox\\bin\\Dropbox.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Avira\\AntiVir Desktop\\update.exe"=

"c:\\Program Files\\Avira\\AntiVir Desktop\\avnotify.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Program Files\\Fichiers communs\\Java\\Java Update\\jaucheck.exe"=

"c:\\Program Files\\ZHPDiag\\ZHPDiag.exe"=

"c:\\Program Files\\Picasa3\\PicasaUpdater.exe"=

"c:\\Documents and Settings\\Vio\\Mes documents\\Téléchargements\\esetsmartinstaller_enu.exe"=

"c:\\Program Files\\ESET\\ESET Online Scanner\\OnlineCmdLineScanner.exe"=

"c:\\Program Files\\ESET\\ESET Online Scanner\\OnlineScannerApp.exe"=

"c:\\Documents and Settings\\Vio\\Bureau\\TDS KILLER\\TDSSKiller.exe"=

"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8490:TCP"= 8490:TCP:*:Disabled:lkukm

.

R0 R592;R592;c:\windows\system32\drivers\R592.sys [12/05/2010 22:30 57088]

R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [12/05/2010 22:30 27264]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [02/09/2011 15:44 136360]

S2 tqnsdkecl;Helper Server;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 19:10 14336]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [03/09/2011 13:53 41272]

S3 ps_1394;ps_1394;c:\windows\system32\drivers\ps_1394.sys [20/12/2010 11:48 97152]

S3 ps_avs;ps_avs;c:\windows\system32\drivers\ps_avs.sys [20/12/2010 11:48 24576]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

tqnsdkecl

.

Contenu du dossier 'Tâches planifiées'

.

2011-07-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

2010-07-23 c:\windows\Tasks\Install.job

- c:\windows\system32\Macromed\Shockwave 10\nssstub.exe [2010-07-23 10:08]

.

.

------- Examen supplémentaire -------

.

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

FF - ProfilePath - c:\documents and settings\Vio\Application Data\Mozilla\Firefox\Profiles\aqtaujnp.default\

FF - prefs.js: browser.search.selectedEngine - Google Custom Search

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-09-03 15:17

Windows 5.1.2600 Service Pack 2 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'explorer.exe'(3908)

c:\documents and settings\Vio\Application Data\Dropbox\bin\DropboxExt.14.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

.

**************************************************************************

.

Heure de fin: 2011-09-03 15:21:26 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-09-03 13:21

ComboFix2.txt 2011-09-02 18:25

ComboFix3.txt 2011-09-01 19:11

ComboFix4.txt 2011-09-01 18:57

ComboFix5.txt 2011-09-03 13:11

.

Avant-CF: 7 608 614 912 octets libres

Après-CF: 7 685 120 000 octets libres

.

Current=9 Default=9 Failed=8 LastKnownGood=10 Sets=,1,2,3,4,5,6,7,8,9,10

- - End Of File - - 5A625752878D11717D2FFBC957F184C4

Modifié le 3 septembre 2011 par benfox

[pear]

MBR check est en vert c'est bien le code de XP qu'il a trouvé

 

C'est une bonne nouvelle.

 

Vers le bureau ,

Télécharger (Win32kDiag.exe)

Double-cliquez sur Win32kDiag.exe et patientez

Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque

Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

[benfox]

Pardon je ne l'avais pas vu sur bureau :

 

 

Running from: C:\Documents and Settings\Vio\Bureau\Win32kDiag.exe

 

Log file at : C:\Documents and Settings\Vio\Bureau\Win32kDiag.txt

 

WARNING: Could not get backup privileges!

 

Searching 'C:\WINDOWS'...

 

 

 

 

 

Finished!