Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection bloque antivirus et crée faux moteur de recherche

OumHilal

Par OumHilal
dans Analyses et éradication malwares

 Partager

Messages recommandés

OumHilal Power Member

OumHilal

Posté(e)
  • Auteur
Posté(e)

J'ai réessayé et exécuté ZHP Diag, mais pas en tant qu'administrateur, vu le pb expliqué ci-dessus, dc en tant que "user".

 

Le scan se lance, vers 60% une fenêtre s'ouvre et me demande d'accepter un contrat pour Systech ou sys teg,je ne suis pas sûre du terme, j'aurais dû le noter. (je refuse)

Ensuite, à 89 %, message d'erreur : "L'ordinal 1108 est introuvable dans la bibliothèque de liaisons dynamique WSOCK32.dll ". C'est le même message dont je te parlais ds mon post précédent.

 

Bon plusieurs rapports se sont qd même affichés sur mon bureau, je te les joins, désolée s'il y a plusieurs fois les mêmes, je crois que c'est le cas.

 

Merci encore de ton aide.

 

Voici les rapports, je voulais les joindre mais qd j'essaie d'ouvrir une page "cijoint.fr", je suis redirigé vers une page noire avec un gros logo linux !

 

1er rapport :

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows XP Home Edition

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x000001fd

 

Kernel Drivers (total 118):

0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

0x806D1000 \WINDOWS\system32\hal.dll

0xF7AB6000 \WINDOWS\system32\KDCOM.DLL

0xF79C6000 \WINDOWS\system32\BOOTVID.dll

0xF7486000 ACPI.sys

0xF7AB8000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

0xF7475000 pci.sys

0xF75B6000 isapnp.sys

0xF7B7E000 pciide.sys

0xF7836000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

0xF75C6000 MountMgr.sys

0xF7456000 ftdisk.sys

0xF783E000 PartMgr.sys

0xF75D6000 VolSnap.sys

0xF743E000 atapi.sys

0xF75E6000 disk.sys

0xF75F6000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

0xF741E000 fltmgr.sys

0xF740C000 sr.sys

0xF7606000 PxHelp20.sys

0xF73F5000 KSecDD.sys

0xF7368000 Ntfs.sys

0xF733B000 NDIS.sys

0xF7321000 Mup.sys

0xF7646000 \SystemRoot\system32\DRIVERS\AmdK8.sys

0xF6845000 \SystemRoot\system32\DRIVERS\nv4_mini.sys

0xF6831000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

0xF7956000 \SystemRoot\system32\DRIVERS\fdc.sys

0xF681D000 \SystemRoot\system32\DRIVERS\parport.sys

0xF7A92000 \SystemRoot\system32\DRIVERS\gameenum.sys

0xF7666000 \SystemRoot\system32\DRIVERS\i8042prt.sys

0xF795E000 \SystemRoot\system32\DRIVERS\kbdclass.sys

0xF7966000 \SystemRoot\system32\DRIVERS\mouclass.sys

0xF796E000 \SystemRoot\system32\DRIVERS\TDI.SYS

0xF67E7000 \SystemRoot\system32\DRIVERS\serial.sys

0xF6BC3000 \SystemRoot\system32\DRIVERS\serenum.sys

0xF7886000 \SystemRoot\system32\DRIVERS\usbohci.sys

0xF67C3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

0xF788E000 \SystemRoot\system32\DRIVERS\usbehci.sys

0xF7746000 \SystemRoot\system32\DRIVERS\imapi.sys

0xF7756000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS

0xF7766000 \SystemRoot\system32\DRIVERS\cdrom.sys

0xF7776000 \SystemRoot\system32\DRIVERS\redbook.sys

0xF67A0000 \SystemRoot\system32\DRIVERS\ks.sys

0xF6778000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

0xF6BBB000 \SystemRoot\system32\DRIVERS\nvnetbus.sys

0xF6706000 \SystemRoot\system32\DRIVERS\NVNRM.SYS

0xF66CF000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS

0xF7CFE000 \SystemRoot\system32\DRIVERS\audstub.sys

0xF789E000 \SystemRoot\system32\DRIVERS\rasirda.sys

0xF77D6000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

0xF6BB7000 \SystemRoot\system32\DRIVERS\ndistapi.sys

0xF66B8000 \SystemRoot\system32\DRIVERS\ndiswan.sys

0xF77E6000 \SystemRoot\system32\DRIVERS\raspppoe.sys

0xF77F6000 \SystemRoot\system32\DRIVERS\raspptp.sys

0xF6607000 \SystemRoot\system32\DRIVERS\psched.sys

0xF7806000 \SystemRoot\system32\DRIVERS\msgpc.sys

0xF78A6000 \SystemRoot\system32\DRIVERS\ptilink.sys

0xF78AE000 \SystemRoot\system32\DRIVERS\raspti.sys

0xF7816000 \SystemRoot\system32\DRIVERS\termdd.sys

0xF7AF8000 \SystemRoot\system32\DRIVERS\swenum.sys

0xF65A9000 \SystemRoot\system32\DRIVERS\update.sys

0xF6BB3000 \SystemRoot\system32\DRIVERS\mssmbios.sys

0xF7826000 \SystemRoot\system32\DRIVERS\NVENETFD.sys

0xF7636000 \SystemRoot\System32\Drivers\NDProxy.SYS

0xF7656000 \SystemRoot\system32\DRIVERS\usbhub.sys

0xF7B04000 \SystemRoot\system32\DRIVERS\USBD.SYS

0xF3BCB000 \SystemRoot\system32\drivers\RtkHDAud.sys

0xF3BA7000 \SystemRoot\system32\drivers\portcls.sys

0xF76A6000 \SystemRoot\system32\drivers\drmk.sys

0xF78C6000 \SystemRoot\system32\DRIVERS\flpydisk.sys

0xF7B0A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

0xF7C27000 \SystemRoot\System32\Drivers\Null.SYS

0xF7B0C000 \SystemRoot\System32\Drivers\Beep.SYS

0xF78D6000 \SystemRoot\System32\drivers\vga.sys

 

 

2ème rapport :

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows XP Home Edition

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x000001fd

 

Kernel Drivers (total 118):

0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

0x806D1000 \WINDOWS\system32\hal.dll

0xF7AB6000 \WINDOWS\system32\KDCOM.DLL

0xF79C6000 \WINDOWS\system32\BOOTVID.dll

0xF7486000 ACPI.sys

0xF7AB8000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

0xF7475000 pci.sys

0xF75B6000 isapnp.sys

0xF7B7E000 pciide.sys

0xF7836000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

0xF75C6000 MountMgr.sys

0xF7456000 ftdisk.sys

0xF783E000 PartMgr.sys

0xF75D6000 VolSnap.sys

0xF743E000 atapi.sys

0xF75E6000 disk.sys

0xF75F6000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

0xF741E000 fltmgr.sys

0xF740C000 sr.sys

0xF7606000 PxHelp20.sys

0xF73F5000 KSecDD.sys

0xF7368000 Ntfs.sys

0xF733B000 NDIS.sys

0xF7321000 Mup.sys

0xF7646000 \SystemRoot\system32\DRIVERS\AmdK8.sys

0xF6845000 \SystemRoot\system32\DRIVERS\nv4_mini.sys

0xF6831000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

0xF7956000 \SystemRoot\system32\DRIVERS\fdc.sys

0xF681D000 \SystemRoot\system32\DRIVERS\parport.sys

0xF7A92000 \SystemRoot\system32\DRIVERS\gameenum.sys

0xF7666000 \SystemRoot\system32\DRIVERS\i8042prt.sys

0xF795E000 \SystemRoot\system32\DRIVERS\kbdclass.sys

0xF7966000 \SystemRoot\system32\DRIVERS\mouclass.sys

0xF796E000 \SystemRoot\system32\DRIVERS\TDI.SYS

0xF67E7000 \SystemRoot\system32\DRIVERS\serial.sys

0xF6BC3000 \SystemRoot\system32\DRIVERS\serenum.sys

0xF7886000 \SystemRoot\system32\DRIVERS\usbohci.sys

0xF67C3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

0xF788E000 \SystemRoot\system32\DRIVERS\usbehci.sys

0xF7746000 \SystemRoot\system32\DRIVERS\imapi.sys

0xF7756000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS

0xF7766000 \SystemRoot\system32\DRIVERS\cdrom.sys

0xF7776000 \SystemRoot\system32\DRIVERS\redbook.sys

0xF67A0000 \SystemRoot\system32\DRIVERS\ks.sys

0xF6778000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

0xF6BBB000 \SystemRoot\system32\DRIVERS\nvnetbus.sys

0xF6706000 \SystemRoot\system32\DRIVERS\NVNRM.SYS

0xF66CF000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS

0xF7CFE000 \SystemRoot\system32\DRIVERS\audstub.sys

0xF789E000 \SystemRoot\system32\DRIVERS\rasirda.sys

0xF77D6000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

0xF6BB7000 \SystemRoot\system32\DRIVERS\ndistapi.sys

0xF66B8000 \SystemRoot\system32\DRIVERS\ndiswan.sys

0xF77E6000 \SystemRoot\system32\DRIVERS\raspppoe.sys

0xF77F6000 \SystemRoot\system32\DRIVERS\raspptp.sys

0xF6607000 \SystemRoot\system32\DRIVERS\psched.sys

0xF7806000 \SystemRoot\system32\DRIVERS\msgpc.sys

0xF78A6000 \SystemRoot\system32\DRIVERS\ptilink.sys

0xF78AE000 \SystemRoot\system32\DRIVERS\raspti.sys

0xF7816000 \SystemRoot\system32\DRIVERS\termdd.sys

0xF7AF8000 \SystemRoot\system32\DRIVERS\swenum.sys

0xF65A9000 \SystemRoot\system32\DRIVERS\update.sys

0xF6BB3000 \SystemRoot\system32\DRIVERS\mssmbios.sys

0xF7826000 \SystemRoot\system32\DRIVERS\NVENETFD.sys

0xF7636000 \SystemRoot\System32\Drivers\NDProxy.SYS

0xF7656000 \SystemRoot\system32\DRIVERS\usbhub.sys

0xF7B04000 \SystemRoot\system32\DRIVERS\USBD.SYS

0xF3BCB000 \SystemRoot\system32\drivers\RtkHDAud.sys

0xF3BA7000 \SystemRoot\system32\drivers\portcls.sys

0xF76A6000 \SystemRoot\system32\drivers\drmk.sys

0xF78C6000 \SystemRoot\system32\DRIVERS\flpydisk.sys

0xF7B0A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

0xF7C27000 \SystemRoot\System32\Drivers\Null.SYS

0xF7B0C000 \SystemRoot\System32\Drivers\Beep.SYS

0xF78D6000 \SystemRoot\System32\drivers\vga.sys

0xF7B0E000 \SystemRoot\System32\Drivers\mnmdd.SYS

0xF7B10000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

0xF78DE000 \SystemRoot\System32\Drivers\Msfs.SYS

0xF78E6000 \SystemRoot\System32\Drivers\Npfs.SYS

0xF7A72000 \SystemRoot\system32\DRIVERS\rasacd.sys

0xF3B74000 \SystemRoot\system32\DRIVERS\ipsec.sys

0xF3B1B000 \SystemRoot\system32\DRIVERS\tcpip.sys

0xF3AF3000 \SystemRoot\system32\DRIVERS\netbt.sys

0xF3AD1000 \SystemRoot\System32\drivers\afd.sys

0xF76D6000 \SystemRoot\system32\DRIVERS\netbios.sys

0xF3AA6000 \SystemRoot\system32\DRIVERS\rdbss.sys

0xF3A36000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

0xF76E6000 \SystemRoot\System32\Drivers\Fips.SYS

0xF3A10000 \SystemRoot\system32\DRIVERS\ipnat.sys

0xF76F6000 \SystemRoot\system32\DRIVERS\wanarp.sys

0xF7796000 \SystemRoot\System32\Drivers\Cdfs.SYS

0xF790E000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

0xF7916000 \??\C:\WINDOWS\System32\Drivers\sunkfilt.sys

0xF791E000 \SystemRoot\system32\DRIVERS\usbccgp.sys

0xF77C6000 \SystemRoot\system32\DRIVERS\LVUSBSta.sys

0xF36B9000 \SystemRoot\system32\DRIVERS\LV302V32.SYS

0xF66A8000 \SystemRoot\system32\drivers\usbaudio.sys

0xF36A1000 \SystemRoot\System32\Drivers\dump_atapi.sys

0xF7B40000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS

0xBF800000 \SystemRoot\System32\win32k.sys

0xF658D000 \SystemRoot\System32\drivers\Dxapi.sys

0xF797E000 \SystemRoot\System32\watchdog.sys

0xBF000000 \SystemRoot\System32\drivers\dxg.sys

0xF7BE2000 \SystemRoot\System32\drivers\dxgthk.sys

0xBF012000 \SystemRoot\System32\nv4_disp.dll

0xBF3D0000 \SystemRoot\System32\ATMFD.DLL

0xBA4D4000 \SystemRoot\system32\DRIVERS\avgntflt.sys

0xBA46E000 \SystemRoot\system32\DRIVERS\irda.sys

0xBA518000 \SystemRoot\system32\DRIVERS\ndisuio.sys

0xB9B0A000 \SystemRoot\System32\Drivers\Fastfat.SYS

0xB9A05000 \SystemRoot\system32\drivers\wdmaud.sys

0xBA3CE000 \SystemRoot\system32\drivers\sysaudio.sys

0xB96E0000 \SystemRoot\system32\DRIVERS\mrxdav.sys

0xF7AC6000 \SystemRoot\System32\Drivers\ParVdm.SYS

0xB9587000 \SystemRoot\System32\Drivers\HTTP.sys

0xB9507000 \SystemRoot\system32\DRIVERS\srv.sys

0xB8FE2000 \SystemRoot\system32\drivers\kmixer.sys

0x7C910000 \WINDOWS\system32\ntdll.dll

 

Processes (total 28):

0 System Idle Process

4 System

572 C:\WINDOWS\system32\smss.exe

656 csrss.exe

688 C:\WINDOWS\system32\winlogon.exe

732 C:\WINDOWS\system32\services.exe

744 C:\WINDOWS\system32\lsass.exe

920 C:\WINDOWS\system32\svchost.exe

972 svchost.exe

1064 C:\WINDOWS\system32\svchost.exe

1120 svchost.exe

1176 svchost.exe

1308 C:\WINDOWS\134096930:3721855480.exe

1540 C:\WINDOWS\system32\spoolsv.exe

1824 C:\WINDOWS\explorer.exe

256 C:\Program Files\QuickTime\qttask.exe

268 C:\WINDOWS\system32\ctfmon.exe

348 svchost.exe

432 C:\WINDOWS\system32\bgsvcgen.exe

308 C:\Program Files\Java\jre6\bin\jqs.exe

1044 C:\Program Files\CDBurnerXP\NMSAccessU.exe

1116 C:\WINDOWS\system32\nvsvc32.exe

1228 C:\WINDOWS\system32\svchost.exe

2388 alg.exe

2544 C:\WINDOWS\system32\wbem\wmiapsrv.exe

3212 C:\WINDOWS\system32\wuauclt.exe

2720 C:\Program Files\Mozilla Firefox2\firefox.exe

2896 C:\Program Files\ZHPDiag\mbrcheck.exe

 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

 

PhysicalDrive0 Model Number: Maxtor6G160P0, Rev: KA201V00

 

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Legit MBR code detected

SHA1: 85562D13BAA03F4C14EFB9AADC58F7B3382DCF47

 

 

Done!

 

 

3ème rapport :

 

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows XP Home Edition

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x000001fd

 

Kernel Drivers (total 118):

0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

0x806D1000 \WINDOWS\system32\hal.dll

0xF7AB6000 \WINDOWS\system32\KDCOM.DLL

0xF79C6000 \WINDOWS\system32\BOOTVID.dll

0xF7486000 ACPI.sys

0xF7AB8000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

0xF7475000 pci.sys

0xF75B6000 isapnp.sys

0xF7B7E000 pciide.sys

0xF7836000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

0xF75C6000 MountMgr.sys

0xF7456000 ftdisk.sys

0xF783E000 PartMgr.sys

0xF75D6000 VolSnap.sys

0xF743E000 atapi.sys

0xF75E6000 disk.sys

0xF75F6000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

0xF741E000 fltmgr.sys

0xF740C000 sr.sys

0xF7606000 PxHelp20.sys

0xF73F5000 KSecDD.sys

0xF7368000 Ntfs.sys

0xF733B000 NDIS.sys

0xF7321000 Mup.sys

0xF7646000 \SystemRoot\system32\DRIVERS\AmdK8.sys

0xF6845000 \SystemRoot\system32\DRIVERS\nv4_mini.sys

0xF6831000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

0xF7956000 \SystemRoot\system32\DRIVERS\fdc.sys

0xF681D000 \SystemRoot\system32\DRIVERS\parport.sys

0xF7A92000 \SystemRoot\system32\DRIVERS\gameenum.sys

0xF7666000 \SystemRoot\system32\DRIVERS\i8042prt.sys

0xF795E000 \SystemRoot\system32\DRIVERS\kbdclass.sys

0xF7966000 \SystemRoot\system32\DRIVERS\mouclass.sys

0xF796E000 \SystemRoot\system32\DRIVERS\TDI.SYS

0xF67E7000 \SystemRoot\system32\DRIVERS\serial.sys

0xF6BC3000 \SystemRoot\system32\DRIVERS\serenum.sys

0xF7886000 \SystemRoot\system32\DRIVERS\usbohci.sys

0xF67C3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

0xF788E000 \SystemRoot\system32\DRIVERS\usbehci.sys

0xF7746000 \SystemRoot\system32\DRIVERS\imapi.sys

0xF7756000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS

0xF7766000 \SystemRoot\system32\DRIVERS\cdrom.sys

0xF7776000 \SystemRoot\system32\DRIVERS\redbook.sys

0xF67A0000 \SystemRoot\system32\DRIVERS\ks.sys

0xF6778000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

0xF6BBB000 \SystemRoot\system32\DRIVERS\nvnetbus.sys

0xF6706000 \SystemRoot\system32\DRIVERS\NVNRM.SYS

0xF66CF000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS

0xF7CFE000 \SystemRoot\system32\DRIVERS\audstub.sys

0xF789E000 \SystemRoot\system32\DRIVERS\rasirda.sys

0xF77D6000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

0xF6BB7000 \SystemRoot\system32\DRIVERS\ndistapi.sys

0xF66B8000 \SystemRoot\system32\DRIVERS\ndiswan.sys

0xF77E6000 \SystemRoot\system32\DRIVERS\raspppoe.sys

0xF77F6000 \SystemRoot\system32\DRIVERS\raspptp.sys

0xF6607000 \SystemRoot\system32\DRIVERS\psched.sys

0xF7806000 \SystemRoot\system32\DRIVERS\msgpc.sys

0xF78A6000 \SystemRoot\system32\DRIVERS\ptilink.sys

0xF78AE000 \SystemRoot\system32\DRIVERS\raspti.sys

0xF7816000 \SystemRoot\system32\DRIVERS\termdd.sys

0xF7AF8000 \SystemRoot\system32\DRIVERS\swenum.sys

0xF65A9000 \SystemRoot\system32\DRIVERS\update.sys

0xF6BB3000 \SystemRoot\system32\DRIVERS\mssmbios.sys

0xF7826000 \SystemRoot\system32\DRIVERS\NVENETFD.sys

0xF7636000 \SystemRoot\System32\Drivers\NDProxy.SYS

0xF7656000 \SystemRoot\system32\DRIVERS\usbhub.sys

0xF7B04000 \SystemRoot\system32\DRIVERS\USBD.SYS

0xF3BCB000 \SystemRoot\system32\drivers\RtkHDAud.sys

0xF3BA7000 \SystemRoot\system32\drivers\portcls.sys

0xF76A6000 \SystemRoot\system32\drivers\drmk.sys

0xF78C6000 \SystemRoot\system32\DRIVERS\flpydisk.sys

0xF7B0A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

0xF7C27000 \SystemRoot\System32\Drivers\Null.SYS

0xF7B0C000 \SystemRoot\System32\Drivers\Beep.SYS

0xF78D6000 \SystemRoot\System32\drivers\vga.sys

0xF7B0E000 \SystemRoot\System32\Drivers\mnmdd.SYS

0xF7B10000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

0xF78DE000 \SystemRoot\System32\Drivers\Msfs.SYS

0xF78E6000 \SystemRoot\System32\Drivers\Npfs.SYS

0xF7A72000 \SystemRoot\system32\DRIVERS\rasacd.sys

0xF3B74000 \SystemRoot\system32\DRIVERS\ipsec.sys

0xF3B1B000 \SystemRoot\system32\DRIVERS\tcpip.sys

0xF3AF3000 \SystemRoot\system32\DRIVERS\netbt.sys

0xF3AD1000 \SystemRoot\System32\drivers\afd.sys

0xF76D6000 \SystemRoot\system32\DRIVERS\netbios.sys

0xF3AA6000 \SystemRoot\system32\DRIVERS\rdbss.sys

0xF3A36000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

0xF76E6000 \SystemRoot\System32\Drivers\Fips.SYS

0xF3A10000 \SystemRoot\system32\DRIVERS\ipnat.sys

0xF76F6000 \SystemRoot\system32\DRIVERS\wanarp.sys

0xF7796000 \SystemRoot\System32\Drivers\Cdfs.SYS

0xF790E000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

0xF7916000 \??\C:\WINDOWS\System32\Drivers\sunkfilt.sys

0xF791E000 \SystemRoot\system32\DRIVERS\usbccgp.sys

0xF77C6000 \SystemRoot\system32\DRIVERS\LVUSBSta.sys

0xF36B9000

 

 

4ème rapport :

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows XP Home Edition

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x000001fd

 

Kernel Drivers (total 119):

0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

0x806D1000 \WINDOWS\system32\hal.dll

0xF7AB6000 \WINDOWS\system32\KDCOM.DLL

0xF79C6000 \WINDOWS\system32\BOOTVID.dll

0xF7486000 ACPI.sys

0xF7AB8000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

0xF7475000 pci.sys

0xF75B6000 isapnp.sys

0xF7B7E000 pciide.sys

0xF7836000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

0xF75C6000 MountMgr.sys

0xF7456000 ftdisk.sys

0xF783E000 PartMgr.sys

0xF75D6000 VolSnap.sys

0xF743E000 atapi.sys

0xF75E6000 disk.sys

0xF75F6000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

0xF741E000 fltmgr.sys

0xF740C000 sr.sys

0xF7606000 PxHelp20.sys

0xF73F5000 KSecDD.sys

0xF7368000 Ntfs.sys

 

Vraiment désolée, ce message est super long et lourd avec les rapports, mais comme je te dis, je n'arrive pas à aller sur un site de pièces jointes.

J'espère que tu y trouveras des infos utiles, bon courage à toi et merci.

Lien vers le commentaire
Partager sur d’autres sites

bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

Je pense alors qu'un RootKit est en cause donc ceci.

 

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

ou la:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

 

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

 

A cette fenêtre lance le scan.

 

11012708271111174.jpg

 

Tu peux récupérer le rapport en validant Report

 

Si une détection est faite valide Cure puis

 

2663-2-eng.png

 

redémarres le pc pour confirmer la suppression de celle-ci.

 

INFO::

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

Lien vers le commentaire
Partager sur d’autres sites
OumHilal Power Member

OumHilal

Posté(e)
  • Auteur
Posté(e)

Alors, TDSSKiller m'a détecté un rootkit, comme tu le soupçonnais.

Par contre, je ne sais pas où retrouver le rapport, est-ce qu'il s'enregistre quelque part ? j'ai bien cliqué "report" mais je n'ai pas pu le copier.

 

J'ai quand même noté les info :

il a détecté comme "suspicious" :

hidden file service : 2228fe07 comme je ne savais pas s'il fallait le supprimer, je l'ai mis en quarantaine. Aurais-je dû sélectionner "delete" ?

 

et "infected" :

rootkit.Win32.ZAccess.e

service : serial

Là, j'ai coché "Cure"

 

Résultat du nettoyage :

Copied to quarantine

C:\WINDOWS\134096930:3721855480.exe

 

will be cured after reboot :

C:\WINDOWS\system32\DRIVERS\serial.sys

 

Bon, j'espère que les valeurs sont bonnes parce que je les ai copiés à la main, je n'ai pas réussi à faire un copier-coller dans la fenêtre de TDSS KIller et je ne retrouve pas où peut être enregistré le rapport.

 

Ce qui m'inquiète, c'est que j'ai répété l'action deux fois et il trouve encore le rootkit.

Et nouveau symptôme d'infection qui ne me plaît pas du tout : des fenêtres IE ou FF s'ouvrent toutes seules sur des pages de site porno.

 

A l'aide ! Débarrasse-moi de cette cochonnerie, stppppp !

Lien vers le commentaire
Partager sur d’autres sites
OumHilal Power Member

OumHilal

Posté(e)
  • Auteur
Posté(e)

J'ai refait la manip 3 fois.

j'ai eu 3 fichiers infectés différents à chaque fois.

Pour chaque scan, il m'indique 2 fichiers à corriger : 1 suspect (tjs le meme, celui cité plus haut), je l'ai mis en quarantaine, il faut que je l'efface ?

Par contre, l'autre fichier n'est jamais le même, c'est tjs le même rootkit qui est affiché, mais le nom du dossier change :

C:\WINDOWS\system32\DRIVERS\serial.sys

C:\WINDOWS\system32\DRIVERS\AmdK8.sys

C:\WINDOWS\system32\DRIVERS\redbook.sys

 

J'ai regardé, ils sont présents ds la liste que je t'ai déjà postés. Si ts les fichiers de la liste de mon msg 11 st infectés, ça en fait vraiment un paquet !!

 

A demain peut-être si tu as le temps.

Lien vers le commentaire
Partager sur d’autres sites
bernard53 Godlike Member

bernard53

Posté(e)
Posté(e) (modifié)

fait ceci s.t.p

 

 

Veuillez télécharger DummyCreator.zip et décompresser cette archive.

  • Lancez l'exécution de l'outil.
    DummyCreator.png
  • Faites un copier/coller de la ligne ci-dessous dans la zone blanche:
     
    c:\windows\134096930
     
  • Cliquez sur le bouton Create et envoyez le rapport (contenu du fichier Result.txt).
     
    Important: Faites redémarrer l'ordinateur.

 

Ensuite après redémarrage bien sur comme signalé OTL devrait fonctionner.

Modifié par bernard53
Lien vers le commentaire
Partager sur d’autres sites
OumHilal Power Member

OumHilal

Posté(e)
  • Auteur
Posté(e)

Fait pour Dummy creator, mais j'ai un doute, parce que le log a été super rapide. Voici le rapport :

 

DummyCreator by Farbar

Ran by User (administrator) on 16-10-2011 at 15:59:00

**************************************************************

 

c:\windows\134096930 [16-10-2011 14:01:48]

 

== End of log ==

 

Ensuite, j'ai redémarré mon PC et tenté de lancer OTL, ça ne donne rien.

J'essaie encore.

Une question, combien de temps prend la correction d'OTL ? Est-ce normal que toutes les icônes de mon bureau disparaissent pendant qu'OTL fonctionne ?

Lien vers le commentaire
Partager sur d’autres sites
bernard53 Godlike Member

bernard53

Posté(e)
Posté(e) (modifié)

Dummy creato a bien fonctionner donc ceci.

 

Pour les systèmes x86, télécharger GrantPerms.zip et enregistrer le fichier sur le Bureau.

Pour les systèmes x64, télécharger GrantPerms64.zip et enregistrer le fichier sur le Bureau.

Décompresser l'archive ainsi téléchargée, et en fonction du système lancer GrantPerms.exe ou GrantPerms64.exe

Faire un Copier/Coller de ce qui suit dans la zone de saisie du programme:

 

 

c:\windows\134096930

 

111016060529930021.jpg

 

 

Cliquer sur Unlock. Lorsque l'outil a terminé, cliquer sur OK.

 

Cliquer sur List Permissions et envoyer en réponse le contenu du fichier Perms.txt qui s'est ouvert. Le fichier Perms.txt est enregistré dans le dossier à partir duquel l'outil a été lancé.

 

 

 

 

 

Ensuite::

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.

 

 

>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

 

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

 

Double-clique sur OTM pour le lancer. 09062101374360773922850.jpg

 

Copie la liste qui se trouve en citation ci-dessous:

 

:Files

c:\windows\134096930

c:\windows\134096930*

:Commands

[emptytemp]

[Reboot]

 

et colle-la dans le cadre de gauche de OTM sous ceci:

 

09062101383060773922868.jpg

 

Clique sur 081031041550426873.png pour lancer la suppression.

attendre la fin du travail de l'outil puis fermer OTM

 

Le résultat apparaitra dans le cadre Results.

Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

 

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.

si c'est le cas accepte par Oui/Yes.

 

 

puis ceci ensuite.

 

 

 

 

Télécharge ComboFix <ICI>>

 

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".

Pour VISTA : pas d'installation de la console de récupération.

 

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

 

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.

Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

 

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

>> Une fois sur ton bureau double clique dessus pour le lancer.

Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

 

>>Ne pas cliquer dans la fenêtre de Combofix durant lanalyse, ceci provoquerait le gel du programme

Modifié par bernard53
Lien vers le commentaire
Partager sur d’autres sites
OumHilal Power Member

OumHilal

Posté(e)
  • Auteur
Posté(e)

Ca a l'air bcp mieux, en tous cas FF ne rame plus.

Voici les rapports :

 

GrantPerms by Farbar

Ran by User at 2011-10-16 20:25:47

 

===============================================

\\?\c:\windows\134096930

 

Owner: BUILTIN\Administrateurs

 

DACL(NP)(AI):

BUILTIN\Administrateurs FULL ALLOW (CI)(OI)

AUTORITE NT\SYSTEM FULL ALLOW (CI)(OI)

BUILTIN\Utilisateurs READ/EXECUTE ALLOW (CI)(OI)

BUILTIN\Utilisateurs READ/EXECUTE ALLOW (I)

BUILTIN\Utilisateurs READ/EXECUTE ALLOW (CI)(OI)(IO)(I)

BUILTIN\Administrateurs FULL ALLOW (I)

BUILTIN\Administrateurs FULL ALLOW (CI)(OI)(IO)(I)

AUTORITE NT\SYSTEM FULL ALLOW (I)

AUTORITE NT\SYSTEM FULL ALLOW (CI)(OI)(IO)(I)

CREATEUR PROPRIETAIRE FULL ALLOW (CI)(OI)(IO)(I)

 

All processes killed

========== FILES ==========

c:\windows\134096930 folder moved successfully.

File/Folder c:\windows\134096930* not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 70232 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 4216 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: User

->Temp folder emptied: 14245166 bytes

->Temporary Internet Files folder emptied: 21911028 bytes

->Java cache emptied: 17570388 bytes

->FireFox cache emptied: 175376891 bytes

->Google Chrome cache emptied: 856432 bytes

->Flash cache emptied: 837 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 3393693 bytes

%systemroot%\System32 .tmp files removed: 62645824 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 9139385 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 270924707 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 3464605 bytes

 

Total Files Cleaned = 553,00 mb

 

 

OTM by OldTimer - Version 3.1.19.0 log created on 10162011_213400

 

Files moved on Reboot...

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\NetworkService\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb scheduled to be moved on reboot.

C:\WINDOWS\temp\Perflib_Perfdata_228.dat moved successfully.

File move failed. C:\WINDOWS\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

 

 

Et enfin combofix, j'ai eu plusieurs frayeurs avec lui. Je sais que c'est un outil puissant à manipuler avec précaution. D'abord il m'a détecté que le rootkit qui infectait mon pc était puissant rootkit.zeroaccess (déjà ça fait peur). Puis j'ai dû intervenir manuellement deux fois : la première fois, combofix s'est "bloqué" pendant l'analyse avec écran noir, j'ai appuyé sur la barre d'espace.

La deuxième fois, à la fin de l'analyse, écran bleu puis plus rien, j'ai attendu attendu, puis ai finalement redémarré manuellement. Finalement, mon pc s'est rallumé, et combofix m'a affiché son rapport en annonçant la fin de son analyse.

 

Ah oui, une dernière chose bizarre, combofix m'a signalé que bitdefender antivirus et pare-feu étaient activés et que je devais les désactiver.Ce que je n'ai pas su faire parce que je ne sais pas pourquoi ils st tjs affichés sur mon PC. J'avais installé bitdefender mais il était arrivé à expiration il y a deux ans et je l'avais alors désinstallé (en fait, au départ j'avais eu une infection qui l'avait bloqué). Et effectivement, quand je regarde ds panneau de config, il est indiqué que bitdefender est actif.

Que dois-je faire pr résoudre ça ?

Et est-ce que je peux réinstaller antivir maintenant ? Parce que je n'ai plus d'antivirus sur ma machine.

 

Rapport de cmbofix :

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Alors est-ce que tout est propre maintenant ?

 

Merci infiniment à toi.

Lien vers le commentaire
Partager sur d’autres sites
bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

super cette fois on a bien avancé :super:

 

Ce fameux "zeroaccess " est hors d'état de nuire.

 

dernières petites choses.

 

1-Double-clique sur OTM pour le lancer. 09062101374360773922850.jpg

 

Copie la liste qui se trouve en citation ci-dessous:

:Files

c:\documents and settings\All Users\Application Data\Trymedia

:Commands

[emptytemp]

 

 

et colle-la dans le cadre de gauche de OTM sous ceci:

 

09062101383060773922868.jpg

 

Clique sur 081031041550426873.png pour lancer la suppression.

attendre la fin du travail de l'outil puis fermer OTM

 

Le résultat apparaitra dans le cadre Results.

Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

 

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.

si c'est le cas accepte par Oui/Yes.

 

Ensuite

Remets à jour MalwaresBytes et fait un scan complet et supprimes qu'il trouve.

 

Ensuite tu as surement des restes de BitDefender donc utilise leur désinstallateur pour mettre tout cela propre.

Désinstaller BitDefender

 

Ensuite il faut mieux refaire un nouveau téléchargement pour Anitivir pour sa réinstallation.

Avira AntiVir Personal - Free Antivirus

 

Selon ton téléchargement ne pas utiliser tous les tutoriaux venant de pctuto.

 

Combofix a remis en état plusieurs fichiers d'ou tes écrans noir et autres.

il est possible que tu soit obligé de mettre à jour ta carte graphique donc ne soit pas surpris par cela.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...