Votre question

PC Performance & Stability analysis report

Tags :
  • Système d'exploitation
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Janvier 2012 21:03:06

Bonsoir,
Je pense que mon PC est infecté par le rogue "PC Performance & Stability analysis report". Bureau disparu (noir), menu démarrer vide, messages d'erreur dans tous les sens... etc., et ce programme qui se lance au (re)démarrage.
Pour info, le même PC a été infecté cette semaine par l'exploit "gendarmerie nationale", pb résolu mais peut-être en surface seulement...
J'ai cru comprendre qu'il était difficile de se débarrasser de ce rogue, c'est pourquoi je sollicite de l'aide par ici.
J'ai déjà téléchargé RogueKiller, et cliqué sur SCAN, je joints le rapport :

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Anouch [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 19:25:10

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 18 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : MNotIPhtsh.exe (C:\Documents and Settings\All Users\Application Data\MNotIPhtsh.exe) -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 www.100sexlinks.com

127.0.0.1 100sexlinks.com

[...]




¤¤¤ MBR Verif: ¤¤¤


+++++ PhysicalDrive0: WDC WD800JB-00JJC0 +++++
--- User ---
[MBR] 13d34eb65157208f320a9a849327b849
[BSP] d0f682c28f8320205ee43d5e57a8cb9e : Windows XP MBR Code
Partition table:
0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 80023 Mo

User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Hitachi HDS721680PLA380 +++++
--- User ---
[MBR] b99d8fc66a37aa2e11efad934f125145
[BSP] 39c117acc3fcca28eff5d718822d9bc3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 80015 Mo

User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt


Merci à celui qui me donnera un coup de main...

Autres pages sur : performance stability analysis report

30 Janvier 2012 00:24:33

Bon, personne pour m'aider ce soir... On verra demain ce que ça donne au démarrage... Espérant qu'il y aura quelqu'un pour me sortir de ce pétrin ! A celui là, merci par avance ;)  !
a c 614 8 Sécurité
30 Janvier 2012 11:45:27

Bonjour,

Ce n'était pas la peine d'ouvrir un second sujet, nous sommes bénévoles, merci de savoir patienter 24h au moins ...


Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !



    1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

    /!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    30 Janvier 2012 11:59:10

    Ok, désolée pour le deuxième sujet, je craignais d'avoir mal exposé le pb dans le premier.
    Merci en tous cas de prendre le temps de me répondre, je sais que c'est bénévole et désintéressé.
    Je vais (essayer de) suivre la procédure indiquée.
    RogueKiller n'est pas utile si je comprends bien ?
    a c 614 8 Sécurité
    30 Janvier 2012 12:04:45

    Re,

    Si, il pourrait l'être mais j'utilise d'autres procédures.
    30 Janvier 2012 13:07:54

    D'accord, chacun ses outils ;) 

    Voici le rapport Rkill :
    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 30/01/2012 at 12:11:36.
    Operating System: Microsoft Windows XP

    Processes terminated by Rkill or while it was running:

    C:\Documents and Settings\Anouch\Bureau\eXplorer.exe

    Rkill completed on 30/01/2012 at 12:11:41.


    Et voici les liens pour OTL :
    http://pjjoint.malekal.com/files.php?id=20120130_v12b7r...
    http://pjjoint.malekal.com/files.php?id=20120130_u9v6f6...

    J'espère avoir procédé correctement !


    a c 614 8 Sécurité
    30 Janvier 2012 14:18:09

    Re,

    Oui c'est bon, on continu maintenant :

    Citation :
    Java(TM) 6 Update 26
    Java pas à jour, d'où l'infection en passant sur des sites internet contenant des "exploit".
    On mettra à jour en fin de procédure.

    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - Spybot - Search & Destroy (obsolète et inutile)

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :processes
    killallprocesses

    :OTL
    O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O4 - HKLM..\Run: [MNotIPhtsh.exe] C:\Documents and Settings\All Users\Application Data\MNotIPhtsh.exe ()
    O4 - HKU\S-1-5-21-861567501-764733703-725345543-1003..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    [2012/01/30 10:21:02 | 000,000,280 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\~L9leoEIp3BP99C
    [2012/01/30 10:20:55 | 000,000,853 | -H-- | M] () -- C:\Documents and Settings\Anouch\Application Data\Microsoft\Internet Explorer\Quick Launch\System Check.lnk
    [2012/01/29 19:09:58 | 000,000,192 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\~L9leoEIp3BP99Cr
    [2012/01/29 18:13:26 | 000,000,456 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\L9leoEIp3BP99C
    [2012/01/29 18:11:43 | 000,000,835 | -H-- | M] () -- C:\Documents and Settings\Anouch\Bureau\System Check.lnk
    [2012/01/29 18:11:34 | 000,342,784 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\L9leoEIp3BP99C.exe
    [2012/01/29 17:55:38 | 000,436,480 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\MNotIPhtsh.exe
    [2012/01/26 19:54:35 | 000,000,008 | -H-- | M] () -- C:\Documents and Settings\Anouch\Application Data\g0fi94ji1ckv6t10.dat
    [2009/02/17 18:26:23 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

    :Commands
    [resethosts]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3 ) Télécharge Unhide (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur Unhide.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir, et le travail va commencer.
  • A la fin ce message va apparaitre, signifiant qu'il a terminé :


  • Ferme l'outil en cliquant sur "OK"


    4) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    30 Janvier 2012 15:49:33

    Alors, j'ai désinstallé Spybot.

    OTL a tourné et voilà le rapport de suppression :
    ========== PROCESSES ==========
    All processes killed
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53707962-6F74-2D53-2644-206D7942484F}\ not found.
    C:\Program Files\Spybot - Search & Destroy\SDHelper.dll moved successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MNotIPhtsh.exe deleted successfully.
    C:\Documents and Settings\All Users\Application Data\MNotIPhtsh.exe moved successfully.
    Registry value HKEY_USERS\S-1-5-21-861567501-764733703-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer not found.
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe moved successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
    C:\Documents and Settings\All Users\Application Data\~L9leoEIp3BP99C moved successfully.
    C:\Documents and Settings\Anouch\Application Data\Microsoft\Internet Explorer\Quick Launch\System Check.lnk moved successfully.
    C:\Documents and Settings\All Users\Application Data\~L9leoEIp3BP99Cr moved successfully.
    C:\Documents and Settings\All Users\Application Data\L9leoEIp3BP99C moved successfully.
    C:\Documents and Settings\Anouch\Bureau\System Check.lnk moved successfully.
    C:\Documents and Settings\All Users\Application Data\L9leoEIp3BP99C.exe moved successfully.
    File C:\Documents and Settings\All Users\Application Data\MNotIPhtsh.exe not found.
    C:\Documents and Settings\Anouch\Application Data\g0fi94ji1ckv6t10.dat moved successfully.
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Logs folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy folder moved successfully.
    ========== COMMANDS ==========
    C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
    HOSTS file reset successfully

    OTL by OldTimer - Version 3.2.31.0 log created on 01302012_145752

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...

    Le PC s'est bloqué à la fermeture de Windows, j'ai donc fait un reset.

    Unhide a tourné aussi.

    Pour TDSSKiller je ne sais pas quoi faire du résultat :

    THREATS DETECTED
    Select actions for found objects

    Virus.Win32.ZAccess.l
    Service NetBT
    Malware object, high risk

    Je peux choisir CURE, SKIP ou COPY TO QUARANTINE
    Je préfère attendre un conseil avant de continuer.
    Sinon, j'ai a nouveau accès au Menu Démarrer et des icônes ont reparu sur le Bureau.
    a c 614 8 Sécurité
    30 Janvier 2012 16:37:47

    Re,

    Oui sur TDSSKiller tu choisis "Cure"

    Et tu me postes le rapport s'il te plait.
    30 Janvier 2012 16:54:48

    15:18:19.0656 0980 TDSS rootkit removing tool 2.7.7.0 Jan 24 2012 16:44:27
    15:18:19.0812 0980 ============================================================
    15:18:19.0812 0980 Current date / time: 2012/01/30 15:18:19.0812
    15:18:19.0812 0980 SystemInfo:
    15:18:19.0812 0980
    15:18:19.0812 0980 OS Version: 5.1.2600 ServicePack: 3.0
    15:18:19.0812 0980 Product type: Workstation
    15:18:19.0812 0980 ComputerName: ASL-6E8LHD7QIDB
    15:18:19.0812 0980 UserName: Anouch
    15:18:19.0812 0980 Windows directory: C:\WINDOWS
    15:18:19.0812 0980 System windows directory: C:\WINDOWS
    15:18:19.0812 0980 Processor architecture: Intel x86
    15:18:19.0812 0980 Number of processors: 1
    15:18:19.0812 0980 Page size: 0x1000
    15:18:19.0812 0980 Boot type: Normal boot
    15:18:19.0812 0980 ============================================================
    15:18:21.0562 0980 Drive \Device\Harddisk0\DR0 - Size: 0x12A1F16000 (74.53 Gb), SectorSize: 0x200, Cylinders: 0x2601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
    15:18:21.0562 0980 Drive \Device\Harddisk1\DR1 - Size: 0x12A1F16000 (74.53 Gb), SectorSize: 0x200, Cylinders: 0x2601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
    15:18:21.0578 0980 Initialize success
    15:18:55.0359 1984 ============================================================
    15:18:55.0359 1984 Scan started
    15:18:55.0359 1984 Mode: Manual;
    15:18:55.0359 1984 ============================================================
    15:18:55.0609 1984 Abiosdsk - ok
    15:18:55.0625 1984 abp480n5 - ok
    15:18:55.0656 1984 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    15:18:55.0656 1984 ACPI - ok
    15:18:55.0703 1984 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
    15:18:55.0703 1984 ACPIEC - ok
    15:18:55.0765 1984 adpu160m - ok
    15:18:55.0812 1984 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
    15:18:55.0828 1984 aec - ok
    15:18:55.0875 1984 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
    15:18:55.0875 1984 AFD - ok
    15:18:55.0921 1984 Aha154x - ok
    15:18:55.0937 1984 aic78u2 - ok
    15:18:55.0953 1984 aic78xx - ok
    15:18:55.0984 1984 AliIde - ok
    15:18:56.0015 1984 AmdK8 (fefe7f885ea456194656c6a00ea16c93) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
    15:18:56.0031 1984 AmdK8 - ok
    15:18:56.0046 1984 amsint - ok
    15:18:56.0078 1984 asc - ok
    15:18:56.0093 1984 asc3350p - ok
    15:18:56.0109 1984 asc3550 - ok
    15:18:56.0140 1984 AsIO (663f2fb92608073824ee3106886120f3) C:\WINDOWS\system32\drivers\AsIO.sys
    15:18:56.0171 1984 AsIO - ok
    15:18:56.0250 1984 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    15:18:56.0250 1984 AsyncMac - ok
    15:18:56.0296 1984 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
    15:18:56.0296 1984 atapi - ok
    15:18:56.0312 1984 Atdisk - ok
    15:18:56.0343 1984 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    15:18:56.0343 1984 Atmarpc - ok
    15:18:56.0375 1984 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    15:18:56.0375 1984 audstub - ok
    15:18:56.0453 1984 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
    15:18:56.0453 1984 avgio - ok
    15:18:56.0515 1984 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
    15:18:56.0531 1984 avgntflt - ok
    15:18:56.0562 1984 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
    15:18:56.0578 1984 avipbb - ok
    15:18:56.0609 1984 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    15:18:56.0609 1984 Beep - ok
    15:18:56.0703 1984 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    15:18:56.0703 1984 cbidf2k - ok
    15:18:56.0750 1984 cd20xrnt - ok
    15:18:56.0765 1984 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
    15:18:56.0765 1984 Cdaudio - ok
    15:18:56.0796 1984 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
    15:18:56.0812 1984 Cdfs - ok
    15:18:56.0828 1984 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    15:18:56.0843 1984 Cdrom - ok
    15:18:56.0859 1984 Changer - ok
    15:18:56.0890 1984 CmdIde - ok
    15:18:56.0921 1984 Cpqarray - ok
    15:18:56.0937 1984 dac2w2k - ok
    15:18:56.0953 1984 dac960nt - ok
    15:18:56.0984 1984 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
    15:18:57.0000 1984 Disk - ok
    15:18:57.0031 1984 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
    15:18:57.0062 1984 dmboot - ok
    15:18:57.0093 1984 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
    15:18:57.0109 1984 dmio - ok
    15:18:57.0156 1984 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    15:18:57.0171 1984 dmload - ok
    15:18:57.0218 1984 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
    15:18:57.0234 1984 DMusic - ok
    15:18:57.0265 1984 dpti2o - ok
    15:18:57.0296 1984 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
    15:18:57.0296 1984 drmkaud - ok
    15:18:57.0375 1984 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
    15:18:57.0375 1984 Fastfat - ok
    15:18:57.0421 1984 fbxusb (504e93682655a7b3af1fb5bff3f44322) C:\WINDOWS\system32\DRIVERS\fbxusb32.sys
    15:18:57.0421 1984 fbxusb - ok
    15:18:57.0468 1984 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
    15:18:57.0468 1984 Fdc - ok
    15:18:57.0531 1984 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
    15:18:57.0531 1984 Fips - ok
    15:18:57.0546 1984 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
    15:18:57.0562 1984 Flpydisk - ok
    15:18:57.0593 1984 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
    15:18:57.0593 1984 FltMgr - ok
    15:18:57.0640 1984 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    15:18:57.0640 1984 Fs_Rec - ok
    15:18:57.0671 1984 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    15:18:57.0687 1984 Ftdisk - ok
    15:18:57.0750 1984 ggflt (007aea2e06e7cef7372e40c277163959) C:\WINDOWS\system32\DRIVERS\ggflt.sys
    15:18:57.0765 1984 ggflt - ok
    15:18:57.0796 1984 ggsemc (c73de35960ca75c5ab4ae636b127c64e) C:\WINDOWS\system32\DRIVERS\ggsemc.sys
    15:18:57.0796 1984 ggsemc - ok
    15:18:57.0859 1984 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    15:18:57.0859 1984 Gpc - ok
    15:18:57.0984 1984 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
    15:18:58.0000 1984 HDAudBus - ok
    15:18:58.0234 1984 HexTunnelDevice (c4829db94d923661db8743ad6348dbf2) C:\WINDOWS\system32\DRIVERS\hextun.sys
    15:18:58.0250 1984 HexTunnelDevice - ok
    15:18:58.0546 1984 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
    15:18:58.0593 1984 HidUsb - ok
    15:18:58.0843 1984 hpn - ok
    15:18:58.0890 1984 hpt3xx - ok
    15:18:59.0421 1984 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
    15:18:59.0531 1984 HTTP - ok
    15:18:59.0843 1984 i2omgmt - ok
    15:18:59.0875 1984 i2omp - ok
    15:18:59.0921 1984 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    15:18:59.0937 1984 i8042prt - ok
    15:18:59.0984 1984 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
    15:19:00.0000 1984 Imapi - ok
    15:19:00.0078 1984 InCDfs (d8a77fc386f9297ce4b692fc83b4ba02) C:\WINDOWS\system32\drivers\InCDfs.sys
    15:19:00.0109 1984 InCDfs - ok
    15:19:00.0187 1984 InCDPass (433bb499bcea1c88b55aa67d1b3ef1dc) C:\WINDOWS\system32\DRIVERS\InCDPass.sys
    15:19:00.0187 1984 InCDPass - ok
    15:19:00.0265 1984 InCDrec (12dbb035cd2ed0313fab864470f31c23) C:\WINDOWS\system32\drivers\InCDrec.sys
    15:19:00.0265 1984 InCDrec - ok
    15:19:00.0312 1984 incdrm (9d1adfe6ce5c2e2a42f3b8aa57821d87) C:\WINDOWS\system32\drivers\incdrm.sys
    15:19:00.0312 1984 incdrm - ok
    15:19:00.0343 1984 ini910u - ok
    15:19:00.0500 1984 IntcAzAudAddService (cdfd5a68a2e1caa89c5c0e0b3cb98731) C:\WINDOWS\system32\drivers\RtkHDAud.sys
    15:19:00.0578 1984 IntcAzAudAddService - ok
    15:19:00.0640 1984 IntelIde - ok
    15:19:00.0671 1984 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
    15:19:00.0671 1984 ip6fw - ok
    15:19:00.0703 1984 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    15:19:00.0718 1984 IpFilterDriver - ok
    15:19:00.0734 1984 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    15:19:00.0750 1984 IpInIp - ok
    15:19:00.0812 1984 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    15:19:00.0812 1984 IpNat - ok
    15:19:00.0828 1984 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    15:19:00.0843 1984 IPSec - ok
    15:19:00.0875 1984 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
    15:19:00.0875 1984 IRENUM - ok
    15:19:00.0921 1984 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    15:19:00.0921 1984 isapnp - ok
    15:19:01.0000 1984 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    15:19:01.0015 1984 Kbdclass - ok
    15:19:01.0031 1984 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
    15:19:01.0062 1984 kmixer - ok
    15:19:01.0093 1984 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
    15:19:01.0093 1984 KSecDD - ok
    15:19:01.0140 1984 lbrtfdc - ok
    15:19:01.0203 1984 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
    15:19:01.0203 1984 mnmdd - ok
    15:19:01.0281 1984 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
    15:19:01.0296 1984 Modem - ok
    15:19:01.0312 1984 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    15:19:01.0312 1984 Mouclass - ok
    15:19:01.0390 1984 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
    15:19:01.0421 1984 mouhid - ok
    15:19:01.0546 1984 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
    15:19:01.0546 1984 MountMgr - ok
    15:19:01.0578 1984 mraid35x - ok
    15:19:01.0656 1984 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
    15:19:01.0671 1984 MRxDAV - ok
    15:19:01.0718 1984 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    15:19:01.0734 1984 MRxSmb - ok
    15:19:01.0796 1984 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
    15:19:01.0796 1984 Msfs - ok
    15:19:01.0843 1984 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    15:19:01.0843 1984 MSKSSRV - ok
    15:19:01.0875 1984 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    15:19:01.0875 1984 MSPCLOCK - ok
    15:19:01.0968 1984 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
    15:19:01.0968 1984 MSPQM - ok
    15:19:01.0984 1984 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    15:19:02.0000 1984 mssmbios - ok
    15:19:02.0046 1984 MTsensor (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
    15:19:02.0046 1984 MTsensor - ok
    15:19:02.0109 1984 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
    15:19:02.0109 1984 Mup - ok
    15:19:02.0140 1984 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
    15:19:02.0171 1984 NDIS - ok
    15:19:02.0218 1984 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
    15:19:02.0218 1984 NdisTapi - ok
    15:19:02.0265 1984 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    15:19:02.0265 1984 Ndisuio - ok
    15:19:02.0296 1984 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
    15:19:02.0312 1984 NdisWan - ok
    15:19:02.0343 1984 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
    15:19:02.0343 1984 NDProxy - ok
    15:19:02.0390 1984 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
    15:19:02.0390 1984 NetBIOS - ok
    15:19:02.0421 1984 NetBT (b3387787b2c8b6b779d71732f09ffbc9) C:\WINDOWS\system32\DRIVERS\netbt.sys
    15:19:02.0437 1984 NetBT ( Virus.Win32.ZAccess.l ) - infected
    15:19:02.0437 1984 NetBT - detected Virus.Win32.ZAccess.l (0)
    15:19:02.0500 1984 nmwcd (696b37ea78f9d9767a2f18ba0304a51a) C:\WINDOWS\system32\drivers\nmwcd.sys
    15:19:02.0515 1984 nmwcd - ok
    15:19:02.0546 1984 nmwcdc (bbb6010fc01d9239d88fcdf133e03ff0) C:\WINDOWS\system32\drivers\nmwcdc.sys
    15:19:02.0562 1984 nmwcdc - ok
    15:19:02.0593 1984 nmwcdcj (4c3726467d67483f054c88f058e9c153) C:\WINDOWS\system32\drivers\nmwcdcj.sys
    15:19:02.0609 1984 nmwcdcj - ok
    15:19:02.0640 1984 nmwcdcm (4c3726467d67483f054c88f058e9c153) C:\WINDOWS\system32\drivers\nmwcdcm.sys
    15:19:02.0640 1984 nmwcdcm - ok
    15:19:02.0671 1984 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
    15:19:02.0687 1984 Npfs - ok
    15:19:02.0718 1984 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
    15:19:02.0750 1984 Ntfs - ok
    15:19:02.0796 1984 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    15:19:02.0796 1984 Null - ok
    15:19:03.0078 1984 nv (30913cbf518396912e54c2c9f1dd0f09) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
    15:19:03.0328 1984 nv - ok
    15:19:03.0406 1984 NVENETFD (d875346596bd48d74ac9b9be791b8d69) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
    15:19:03.0406 1984 NVENETFD - ok
    15:19:03.0437 1984 nvnetbus (f02c1c5e84c37667ecd3eea5958449bc) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
    15:19:03.0437 1984 nvnetbus - ok
    15:19:03.0484 1984 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
    15:19:03.0484 1984 NwlnkFlt - ok
    15:19:03.0546 1984 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
    15:19:03.0546 1984 NwlnkFwd - ok
    15:19:03.0593 1984 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
    15:19:03.0609 1984 Parport - ok
    15:19:03.0640 1984 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
    15:19:03.0656 1984 PartMgr - ok
    15:19:03.0671 1984 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
    15:19:03.0687 1984 ParVdm - ok
    15:19:03.0718 1984 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
    15:19:03.0734 1984 PCI - ok
    15:19:03.0750 1984 PCIDump - ok
    15:19:03.0781 1984 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
    15:19:03.0781 1984 PCIIde - ok
    15:19:03.0843 1984 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
    15:19:03.0843 1984 Pcmcia - ok
    15:19:03.0859 1984 PDCOMP - ok
    15:19:03.0875 1984 PDFRAME - ok
    15:19:03.0906 1984 PDRELI - ok
    15:19:03.0921 1984 PDRFRAME - ok
    15:19:03.0937 1984 perc2 - ok
    15:19:03.0953 1984 perc2hib - ok
    15:19:03.0984 1984 pfc (ed2e7f396b4098608c95bc3806bdf6fc) C:\WINDOWS\system32\drivers\pfc.sys
    15:19:04.0000 1984 pfc - ok
    15:19:04.0062 1984 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    15:19:04.0062 1984 PptpMiniport - ok
    15:19:04.0093 1984 Processor (e19c9632ac828f6f214391e2bdda11cb) C:\WINDOWS\system32\DRIVERS\processr.sys
    15:19:04.0109 1984 Processor - ok
    15:19:04.0156 1984 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
    15:19:04.0171 1984 PSched - ok
    15:19:04.0187 1984 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    15:19:04.0187 1984 Ptilink - ok
    15:19:04.0218 1984 ql1080 - ok
    15:19:04.0234 1984 Ql10wnt - ok
    15:19:04.0250 1984 ql12160 - ok
    15:19:04.0265 1984 ql1240 - ok
    15:19:04.0281 1984 ql1280 - ok
    15:19:04.0296 1984 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    15:19:04.0312 1984 RasAcd - ok
    15:19:04.0343 1984 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    15:19:04.0359 1984 Rasl2tp - ok
    15:19:04.0390 1984 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    15:19:04.0406 1984 RasPppoe - ok
    15:19:04.0453 1984 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    15:19:04.0453 1984 Raspti - ok
    15:19:04.0500 1984 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    15:19:04.0515 1984 Rdbss - ok
    15:19:04.0531 1984 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    15:19:04.0531 1984 RDPCDD - ok
    15:19:04.0562 1984 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
    15:19:04.0578 1984 rdpdr - ok
    15:19:04.0640 1984 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
    15:19:04.0640 1984 RDPWD - ok
    15:19:04.0718 1984 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
    15:19:04.0718 1984 redbook - ok
    15:19:04.0812 1984 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    15:19:04.0812 1984 Secdrv - ok
    15:19:04.0859 1984 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
    15:19:04.0859 1984 serenum - ok
    15:19:04.0921 1984 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
    15:19:04.0937 1984 Serial - ok
    15:19:04.0984 1984 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
    15:19:04.0984 1984 Sfloppy - ok
    15:19:05.0015 1984 Simbad - ok
    15:19:05.0031 1984 Sparrow - ok
    15:19:05.0062 1984 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
    15:19:05.0062 1984 splitter - ok
    15:19:05.0093 1984 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
    15:19:05.0109 1984 sr - ok
    15:19:05.0156 1984 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
    15:19:05.0156 1984 Srv - ok
    15:19:05.0234 1984 sscdbus (2d4027c46b4c6e45875e3c4ba3f67492) C:\WINDOWS\system32\DRIVERS\sscdbus.sys
    15:19:05.0250 1984 sscdbus - ok
    15:19:05.0281 1984 sscdmdfl (f548f1eba107bc19e91189e6a460bd0e) C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
    15:19:05.0296 1984 sscdmdfl - ok
    15:19:05.0343 1984 sscdmdm (71d348d53597379dfe1de255d70af13c) C:\WINDOWS\system32\DRIVERS\sscdmdm.sys
    15:19:05.0359 1984 sscdmdm - ok
    15:19:05.0437 1984 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
    15:19:05.0437 1984 ssmdrv - ok
    15:19:05.0468 1984 StarOpen (306521935042fc0a6988d528643619b3) C:\WINDOWS\system32\drivers\StarOpen.sys
    15:19:05.0484 1984 StarOpen - ok
    15:19:05.0531 1984 StillCam (3f669c9fc6411bdbc0155544aa876e46) C:\WINDOWS\system32\DRIVERS\serscan.sys
    15:19:05.0531 1984 StillCam - ok
    15:19:05.0593 1984 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
    15:19:05.0593 1984 swenum - ok
    15:19:05.0625 1984 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
    15:19:05.0640 1984 swmidi - ok
    15:19:05.0671 1984 symc810 - ok
    15:19:05.0687 1984 symc8xx - ok
    15:19:05.0703 1984 sym_hi - ok
    15:19:05.0718 1984 sym_u3 - ok
    15:19:05.0734 1984 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
    15:19:05.0750 1984 sysaudio - ok
    15:19:05.0796 1984 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    15:19:05.0796 1984 Tcpip - ok
    15:19:05.0843 1984 Tcpip6 (4e53bbcc4be37d7a4bd6ef1098c89ff7) C:\WINDOWS\system32\DRIVERS\tcpip6.sys
    15:19:05.0843 1984 Tcpip6 - ok
    15:19:05.0890 1984 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
    15:19:05.0890 1984 TDPIPE - ok
    15:19:05.0921 1984 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
    15:19:05.0921 1984 TDTCP - ok
    15:19:05.0953 1984 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
    15:19:05.0968 1984 TermDD - ok
    15:19:06.0000 1984 TosIde - ok
    15:19:06.0046 1984 tunmp (8f861eda21c05857eb8197300a92501c) C:\WINDOWS\system32\DRIVERS\tunmp.sys
    15:19:06.0046 1984 tunmp - ok
    15:19:06.0078 1984 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
    15:19:06.0093 1984 Udfs - ok
    15:19:06.0125 1984 ultra - ok
    15:19:06.0156 1984 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
    15:19:06.0171 1984 Update - ok
    15:19:06.0250 1984 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
    15:19:06.0265 1984 usbaudio - ok
    15:19:06.0328 1984 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
    15:19:06.0328 1984 usbccgp - ok
    15:19:06.0359 1984 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    15:19:06.0359 1984 usbehci - ok
    15:19:06.0484 1984 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    15:19:06.0500 1984 usbhub - ok
    15:19:06.0515 1984 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
    15:19:06.0531 1984 usbohci - ok
    15:19:06.0578 1984 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
    15:19:06.0578 1984 usbprint - ok
    15:19:06.0640 1984 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
    15:19:06.0656 1984 usbscan - ok
    15:19:06.0750 1984 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    15:19:06.0750 1984 USBSTOR - ok
    15:19:06.0781 1984 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
    15:19:06.0796 1984 VgaSave - ok
    15:19:06.0812 1984 ViaIde - ok
    15:19:06.0828 1984 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
    15:19:06.0843 1984 VolSnap - ok
    15:19:06.0921 1984 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    15:19:06.0921 1984 Wanarp - ok
    15:19:06.0968 1984 wceusbsh (dc7f91b2ed24a738c807ea07f298928c) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
    15:19:06.0968 1984 wceusbsh - ok
    15:19:07.0046 1984 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
    15:19:07.0062 1984 Wdf01000 - ok
    15:19:07.0109 1984 WDICA - ok
    15:19:07.0140 1984 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
    15:19:07.0156 1984 wdmaud - ok
    15:19:07.0218 1984 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
    15:19:07.0218 1984 WmiAcpi - ok
    15:19:07.0250 1984 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
    15:19:07.0265 1984 WpdUsb - ok
    15:19:07.0312 1984 WudfPf (50eb9e21963b4f06fd010d007d54351b) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
    15:19:07.0312 1984 WudfPf - ok
    15:19:07.0375 1984 WudfRd (6e209664bdea8a15b5e8e480d6c607c2) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
    15:19:07.0390 1984 WudfRd - ok
    15:19:07.0437 1984 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
    15:19:07.0437 1984 \Device\Harddisk0\DR0 - ok
    15:19:07.0453 1984 MBR (0x1B8) (c99c3199cfaa4cbdcd91493f6d113a50) \Device\Harddisk1\DR1
    15:19:07.0546 1984 \Device\Harddisk1\DR1 - ok
    15:19:07.0546 1984 Boot (0x1200) (3351322e4398adf9d5d9897a2139ad19) \Device\Harddisk1\DR1\Partition0
    15:19:07.0546 1984 \Device\Harddisk1\DR1\Partition0 - ok
    15:19:07.0562 1984 ============================================================
    15:19:07.0562 1984 Scan finished
    15:19:07.0562 1984 ============================================================
    15:19:07.0562 2728 Detected object count: 1
    15:19:07.0562 2728 Actual detected object count: 1
    16:47:41.0609 2728 Backup copy found, using it..
    16:47:41.0703 2728 C:\WINDOWS\system32\DRIVERS\netbt.sys - will be cured on reboot
    16:47:45.0078 2728 NetBT ( Virus.Win32.ZAccess.l ) - User select action: Cure
    16:48:05.0625 3332 Deinitialize success
    30 Janvier 2012 17:10:32

    Je ne sais pas si c'est important mais au démarrage Windows j'ai un écran bleu qui dit : vérification du système de fichiers en cours sur E:
    CHKDSK vérifie les fichiers...
    a c 614 8 Sécurité
    30 Janvier 2012 17:26:21

    Re,

    Oui ça doit venir du faite que tu avais arrêté le pc manuellement la dernière fois.

    Fais ceci s'il te plait maintenant :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    30 Janvier 2012 17:41:30

    OK, l'examen est en cours...
    Je ne poste pas le rapport après ?
    30 Janvier 2012 17:56:40

    Message de mon antivirus Avira Antivir :
    TR/Crypt.EPACK.Gen2 a été trouvé
    L'accès à ce fichier a été refusé
    Sélectionnez l'action à suivre : supprimer

    Que devrais-je faire ?
    a c 614 8 Sécurité
    30 Janvier 2012 18:21:38

    Re,

    Si bien sûr tu le poste.

    Pour antivir, le nom m'importe peu, il me faut le rapport de détection avec l'emplacement du fichier, mais à mon avis il se réveille sur des fichiers qu'on vient de traiter ...
    30 Janvier 2012 18:39:49

    J'ai mis en quarantaine, voilà le rapport de détection :
    Avira AntiVir Personal
    Date de création du fichier de rapport : lundi 30 janvier 2012 18:26

    La recherche porte sur 3328170 souches de virus.

    Le programme fonctionne en version intégrale illimitée.
    Les services en ligne sont disponibles.

    Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : ASL-6E8LHD7QIDB

    Informations de version :
    BUILD.DAT : 10.2.0.152 35934 Bytes 03/11/2011 17:29:00
    AVSCAN.EXE : 10.3.0.7 484008 Bytes 31/08/2011 10:10:30
    AVSCAN.DLL : 10.0.5.0 56680 Bytes 31/08/2011 10:10:30
    LUKE.DLL : 10.3.0.5 45416 Bytes 31/08/2011 10:10:30
    LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
    AVSCPLR.DLL : 10.3.0.7 119656 Bytes 31/08/2011 10:10:30
    AVREG.DLL : 10.3.0.9 88833 Bytes 31/08/2011 10:10:30
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 11:03:35
    VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 10:09:12
    VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 09:58:13
    VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 09:58:13
    VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 09:58:13
    VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 09:58:13
    VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 09:58:13
    VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 09:58:14
    VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 09:58:14
    VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 09:58:14
    VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 09:58:14
    VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 09:58:14
    VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 09:58:14
    VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 10:11:29
    VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 09:08:19
    VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 08:49:32
    VBASE016.VDF : 7.11.20.70 180224 Bytes 29/12/2011 08:49:32
    VBASE017.VDF : 7.11.20.102 240640 Bytes 02/01/2012 09:46:41
    VBASE018.VDF : 7.11.20.139 164864 Bytes 04/01/2012 09:46:41
    VBASE019.VDF : 7.11.20.178 167424 Bytes 06/01/2012 10:00:19
    VBASE020.VDF : 7.11.20.207 230400 Bytes 10/01/2012 11:35:15
    VBASE021.VDF : 7.11.20.236 150528 Bytes 11/01/2012 11:35:16
    VBASE022.VDF : 7.11.21.13 135168 Bytes 13/01/2012 10:57:27
    VBASE023.VDF : 7.11.21.40 163840 Bytes 16/01/2012 11:07:33
    VBASE024.VDF : 7.11.21.65 1001472 Bytes 17/01/2012 11:07:36
    VBASE025.VDF : 7.11.21.98 487424 Bytes 19/01/2012 08:12:35
    VBASE026.VDF : 7.11.21.156 1010688 Bytes 25/01/2012 22:06:44
    VBASE027.VDF : 7.11.21.176 600576 Bytes 26/01/2012 22:06:45
    VBASE028.VDF : 7.11.21.201 172544 Bytes 29/01/2012 16:56:46
    VBASE029.VDF : 7.11.21.202 2048 Bytes 29/01/2012 16:56:46
    VBASE030.VDF : 7.11.21.203 2048 Bytes 29/01/2012 16:56:46
    VBASE031.VDF : 7.11.21.210 23552 Bytes 30/01/2012 09:35:33
    Version du moteur : 8.2.8.44
    AEVDF.DLL : 8.1.2.2 106868 Bytes 26/10/2011 08:02:29
    AESCRIPT.DLL : 8.1.4.2 434553 Bytes 26/01/2012 22:06:53
    AESCN.DLL : 8.1.8.2 131444 Bytes 26/01/2012 22:06:52
    AESBX.DLL : 8.2.4.5 434549 Bytes 03/12/2011 09:14:34
    AERDL.DLL : 8.1.9.15 639348 Bytes 11/09/2011 08:17:17
    AEPACK.DLL : 8.2.16.2 799095 Bytes 26/01/2012 22:06:49
    AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30/12/2011 08:49:37
    AEHEUR.DLL : 8.1.3.23 4333943 Bytes 26/01/2012 22:06:48
    AEHELP.DLL : 8.1.19.0 254327 Bytes 20/01/2012 08:12:44
    AEGEN.DLL : 8.1.5.18 409973 Bytes 26/01/2012 22:06:46
    AEEMU.DLL : 8.1.3.0 393589 Bytes 24/11/2010 09:55:10
    AECORE.DLL : 8.1.25.3 201079 Bytes 26/01/2012 22:06:46
    AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 13:20:13
    AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
    AVPREF.DLL : 10.0.3.2 44904 Bytes 31/08/2011 10:10:30
    AVREP.DLL : 10.0.0.10 174120 Bytes 20/05/2011 08:21:27
    AVARKT.DLL : 10.0.26.1 255336 Bytes 31/08/2011 10:10:29
    AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 31/08/2011 10:10:30
    SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
    AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
    NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
    RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 31/08/2011 10:10:29
    RCTEXT.DLL : 10.0.64.0 100712 Bytes 31/08/2011 10:10:29

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: avguard_async_scan
    Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVGUARD_4f5f9dbe\guard_slideup.avp
    Documentation.................................: par défaut
    Action principale.............................: interactif
    Action secondaire.............................: quarantaine
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: arrêt
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: arrêt
    Recherche de Rootkits.........................: arrêt
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: intégral
    Catégories de dangers divergentes.............: +APPL,+SPR,

    Début de la recherche : lundi 30 janvier 2012 18:26

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WINWORD.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'OUTLOOK.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WCESCOMM.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SMSTray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RUNDLL32.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CNMNSUT.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'BJMyPrt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'InCD.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'InCDsrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\Documents and Settings\Anouch\Application Data\Sun\Java\Deployment\cache\6.0\26\28d662da-10579dd5'
    C:\Documents and Settings\Anouch\Application Data\Sun\Java\Deployment\cache\6.0\26\28d662da-10579dd5
    --> Object
    [RESULTAT] Contient le cheval de Troie TR/Crypt.EPACK.Gen2

    Début de la désinfection :
    C:\Documents and Settings\Anouch\Application Data\Sun\Java\Deployment\cache\6.0\26\28d662da-10579dd5
    [RESULTAT] Contient le cheval de Troie TR/Crypt.EPACK.Gen2
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c8770cb.qua' !


    Fin de la recherche : lundi 30 janvier 2012 18:32
    Temps nécessaire: 00:09 Minute(s)

    La recherche a été effectuée intégralement

    0 Les répertoires ont été contrôlés
    40 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    0 Impossible de scanner des fichiers
    39 Fichiers non infectés
    0 Les archives ont été contrôlées
    0 Avertissements
    1 Consignes


    Les résultats de la recherche sont transmis au Guard.
    a c 614 8 Sécurité
    30 Janvier 2012 18:56:49

    Re,

    c'était l'origine de l'infection, l'exploit java, on l'aurais supprimé au nettoyage final, en lui-même il ne vaut plus rien.

    J'attends donc maintenant le rapport Malwarebyte's s'il te plait.

    Dis-moi si tu as retrouvé les icônes sur ton bureau et les dossiers dans le menu démarrer.

    Puis tu feras ceci ensuite pour vérification :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    30 Janvier 2012 19:23:37

    Malwarebyte's tourne depuis 1h40 environ, et tjrs pas terminé...
    Oups, il vient de finir !
    J'ai supprimé et je redémarre, je poste le rapport ensuite.

    Et oui, comme je l'avais dit précédemment j'ai retrouvé le menu Démarrer et les icônes sur le bureau (sur fond blanc maintenant).
    30 Janvier 2012 19:31:45

    Voici le rapport, je relance maintenant OTL.

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.30.03

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Anouch :: ASL-6E8LHD7QIDB [administrateur]

    30/01/2012 17:38:29
    mbam-log-2012-01-30 (17-38-29).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 309102
    Temps écoulé: 1 heure(s), 38 minute(s), 30 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 6
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 22
    C:\Installateurs Programmes\SoftonicDownloader_pour_emodio.exe (PUP.BundleOffer.Downloader.S) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Anouch\Application Data\Sun\Java\Deployment\cache\6.0\26\28d662da-10579dd5 (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Anouch\Bureau\RK_Quarantine\L9leoEIp3BP99C.exe.vir (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Anouch\Bureau\RK_Quarantine\MNotIPhtsh.exe.vir (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Anouch\Mes documents\Téléchargements\SoftonicDownloader_pour_emodio(1).exe (PUP.BundleOffer.Downloader.S) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\NetworkService\Application Data\Sun\Java\Deployment\cache\6.0\12\51c8304c-4aace945 (Trojan.Ransom.BP) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\NetworkService\Application Data\Sun\Java\Deployment\cache\6.0\3\5b52e443-15198947 (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\NetworkService\Application Data\Sun\Java\Deployment\cache\6.0\32\32af71e0-65b923be (Trojan.Ransom.BP) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\NetworkService\Application Data\Sun\Java\Deployment\cache\6.0\52\1696aa34-47fccdfc (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{0F1AA251-E708-416B-9F85-28FECD8043AA}\RP1561\A0148088.sys (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{0F1AA251-E708-416B-9F85-28FECD8043AA}\RP1561\A0148099.sys (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{0F1AA251-E708-416B-9F85-28FECD8043AA}\RP1561\A0148116.sys (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{0F1AA251-E708-416B-9F85-28FECD8043AA}\RP1562\A0149116.sys (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
    C:\WINDOWS\Temp\0.15630975791083723.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\WINDOWS\Temp\0.6819373218913621.exe (Trojan.Ransom.BP) -> Mis en quarantaine et supprimé avec succès.
    C:\WINDOWS\Temp\0.8652468510145037.exe (Trojan.Ransom.BP) -> Mis en quarantaine et supprimé avec succès.
    C:\WINDOWS\Temp\0.9086784477025702.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\WINDOWS\Temp\qfqsus.exe (Trojan.FakeHDD) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\01302012_145752\C_Documents and Settings\All Users\Application Data\L9leoEIp3BP99C.exe (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\01302012_145752\C_Documents and Settings\All Users\Application Data\MNotIPhtsh.exe (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Anouch\Local Settings\Temp\oleda0.002900154874628913.exe (Exploit.Drop.7) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Anouch\Bureau\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    a c 614 8 Sécurité
    30 Janvier 2012 21:54:03

    Re,

    Il reste malheureusement un bout d'un rootkit qui s'est installé avec l'infection, on va devoir prendre un autre outil :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    30 Janvier 2012 22:25:11

    J'ai un pb avec mon antivirus. Je pensais l'avoir désactivé mais apparemment Antivir Desktop continue à être actif. J'ai terminé le processus par le gestionnaire, mais c'est tjrs pareil. ComboFix me met en garde : s'il continue à s’exécuter dans ces conditions c'est à mes risques et périls... Je ne sais pas quoi faire, désolée...
    a c 614 8 Sécurité
    30 Janvier 2012 22:27:20

    Re,

    Non ça arrive, ne t'en fais pas, continu en validant l'avertissement.
    30 Janvier 2012 22:29:05

    OK, merci, j'y retourne !
    30 Janvier 2012 23:20:28

    BOn alors je n'a pas pu installer la console car impossible de lancer la connexion internet comme demandé. ComboFix a terminé, a redemarré 2 fois et voilà le résultat :

    ComboFix 12-01-30.02 - Anouch 30/01/2012 22:44:12.1.1 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.991.609 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Anouch\Bureau\ComboFix.exe
    AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
    .
    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\Anouch\Favoris\Thumbs.db
    c:\documents and settings\Anouch\NT6tunnel.exe
    c:\documents and settings\Anouch\WINDOWS
    c:\windows\$NtUninstallKB30036$
    c:\windows\$NtUninstallKB30036$\2567959010
    c:\windows\$NtUninstallKB30036$\3367157222\@
    c:\windows\$NtUninstallKB30036$\3367157222\cfg.ini
    c:\windows\$NtUninstallKB30036$\3367157222\Desktop.ini
    c:\windows\$NtUninstallKB30036$\3367157222\L\akygdmgo
    c:\windows\$NtUninstallKB30036$\3367157222\oemid
    c:\windows\$NtUninstallKB30036$\3367157222\U\00000001.@
    c:\windows\$NtUninstallKB30036$\3367157222\U\00000002.@
    c:\windows\$NtUninstallKB30036$\3367157222\U\00000004.@
    c:\windows\$NtUninstallKB30036$\3367157222\U\80000000.@
    c:\windows\$NtUninstallKB30036$\3367157222\U\80000004.@
    c:\windows\$NtUninstallKB30036$\3367157222\U\80000032.@
    c:\windows\$NtUninstallKB30036$\3367157222\version
    c:\windows\system32\CddbCdda.dll
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-12-28 au 2012-01-30 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-01-30 17:28 . 2012-01-30 17:28 -------- d-----w- c:\documents and settings\LocalService\Application Data\Avira
    2012-01-30 16:35 . 2012-01-30 16:35 -------- d-----w- c:\documents and settings\Anouch\Application Data\Malwarebytes
    2012-01-30 16:35 . 2012-01-30 16:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2012-01-30 16:35 . 2012-01-30 16:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2012-01-30 16:35 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-01-30 13:57 . 2012-01-30 13:57 -------- d-----w- C:\_OTL
    2012-01-29 23:46 . 2012-01-29 23:46 -------- d-----r- c:\documents and settings\LocalService\Favoris
    2012-01-29 20:16 . 2012-01-29 20:16 -------- d-----r- c:\documents and settings\NetworkService\Favoris
    2012-01-29 18:10 . 2012-01-29 18:10 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2012-01-27 00:21 . 2012-01-30 22:04 -------- d-----w- c:\windows\system32\CatRoot2
    2012-01-26 22:01 . 2012-01-26 22:01 -------- d-----w- c:\windows\system32\wbem\Repository
    2012-01-26 21:36 . 2012-01-26 22:01 -------- d-s---w- c:\documents and settings\Administrateur
    2012-01-12 15:50 . 2012-01-12 15:50 -------- d-----w- c:\documents and settings\Anouch\Application Data\Nero
    2012-01-03 07:22 . 2012-01-03 07:22 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-01-30 15:48 . 2001-09-28 12:00 162816 ----a-w- c:\windows\system32\drivers\netbt.sys
    2011-11-27 14:02 . 2011-11-27 14:02 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys
    2011-11-27 14:02 . 2011-11-27 14:02 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys
    2011-11-27 14:02 . 2011-11-27 14:02 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll
    2011-11-25 21:57 . 2001-09-28 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
    2011-11-23 14:40 . 2001-09-28 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys
    2011-11-20 06:12 . 2001-09-28 12:00 61952 ----a-w- c:\windows\system32\packager.exe
    2011-11-16 14:22 . 2007-09-23 14:34 354816 ----a-w- c:\windows\system32\winhttp.dll
    2011-11-16 14:22 . 2001-09-28 12:00 152064 ----a-w- c:\windows\system32\schannel.dll
    2011-11-13 08:03 . 2011-05-15 12:26 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2011-11-04 19:13 . 2001-09-28 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
    2011-11-04 19:13 . 2001-09-28 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
    2011-11-04 19:13 . 2001-09-28 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
    2011-11-04 11:24 . 2004-08-19 22:56 385024 ----a-w- c:\windows\system32\html.iec
    2011-11-03 15:28 . 2001-09-28 12:00 387072 ----a-w- c:\windows\system32\qdvd.dll
    2011-11-03 15:28 . 2001-09-28 12:00 1298432 ----a-w- c:\windows\system32\quartz.dll
    2011-03-02 20:10 . 2011-03-02 20:10 305664 ----a-w- c:\program files\Xtremsplit.exe
    2000-11-15 08:21 . 2000-11-15 08:21 178688 ----a-w- c:\program files\hjsplit.exe
    2011-12-24 13:13 . 2011-09-15 09:24 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-19 405583]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
    "InCD"="c:\program files\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
    "IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
    "NBKeyScan"="c:\program files\Nero\Nero BackItUp 4\NBKeyScan.exe" [2008-09-24 2254120]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
    "SMSTray"="c:\program files\Samsung\EmoDio\SMSTray.exe" [2009-04-16 479232]
    .
    c:\documents and settings\Anouch\Menu Démarrer\Programmes\Démarrage\
    OpenOffice.org 3.3.lnk.disabled [2011-3-20 864]
    .
    c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"
    .
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE"
    "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe"
    "ctfmon.exe"=c:\windows\system32\ctfmon.exe
    "Skype"="c:\program files\Skype\Phone\Skype.exe" /nosplash /minimized
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Alcmtr"=ALCMTR.EXE
    "NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe"
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\ASUS\\ASUSUpdate\\Update.exe"=
    "c:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
    "c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
    "c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
    "c:\\WINDOWS\\system32\\dpvsetup.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
    "c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
    "c:\\Program Files\\Sony Ericsson\\Update Engine\\Sony Ericsson Update Engine.exe"=
    "c:\\Program Files\\Samsung\\EmoDio\\SMSMain.exe"=
    "c:\\WINDOWS\\system32\\muzapp.exe"=
    .
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/11/2009 11:51 136360]
    S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/03/2011 15:00 136176]
    S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [20/10/2004 13:23 21344]
    S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [27/11/2011 15:02 13224]
    S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/03/2011 15:00 136176]
    S3 HexTunnelDevice;Hexago Multi-Virtual Tunnel Adapter;c:\windows\system32\drivers\hextun.sys [15/05/2007 16:14 49280]
    S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [27/11/2011 14:58 155344]
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-01-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-03-11 14:00]
    .
    2012-01-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-03-11 14:00]
    .
    2012-01-30 c:\windows\Tasks\User_Feed_Synchronization-{6F44E0A5-024E-49C7-9BBD-74769965D53B}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20110721085602
    FF - ProfilePath - c:\documents and settings\Anouch\Application Data\Mozilla\Firefox\Profiles\a0q9hnds.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: network.proxy.type - 0
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Notify-WgaLogon - (no file)
    SafeBoot-46209117.sys
    AddRemove-InstallShield_{C20CE592-B0F8-4D20-BF31-0151CA6331A6} - c:\program files\InstallShield Installation Information\{C20CE592-B0F8-4D20-BF31-0151CA6331A6}\setup.exe
    AddRemove-NVIDIA Display Control Panel - c:\program files\NVIDIA Corporation\Uninstall\nvuninst.exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2012-01-30 23:04
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'explorer.exe'(3892)
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\program files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
    c:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll
    c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_fre.nlr
    c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\nvsvc32.exe
    c:\program files\Ahead\InCD\InCDsrv.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
    c:\program files\Avira\AntiVir Desktop\avshadow.exe
    c:\program files\Nero\Nero BackItUp 4\IoctlSvc.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-01-30 23:11:41 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-01-30 22:11
    .
    Avant-CF: 42 582 028 288 octets libres
    Après-CF: 44 516 909 056 octets libres
    .
    - - End Of File - - EEC5A8616A96DF4B8BE0BBE066122CC7
    a c 614 8 Sécurité
    31 Janvier 2012 10:12:16

    Bonjour,

    C'est pas grave, il a eu le rootkit que je voulais, donc c'est ok ;) 

    Dis-moi si tu as encore des soucis sur le pc.
    Si tout est ok, on passera au nettoyage des outils et on conclura.

    :jap: 
    31 Janvier 2012 11:28:53

    Bonjour, ça a l'air d'aller mieux.... Démarrage plus rapide que d'habitude, il me semble.
    Le bureau est tjrs blanc, j'ai du perdre mon fond d'écran dans la bataille !
    Il reste aussi des traces de Spybot (sur le bureau, menu démarrer, barre des taches) pourtant supprimé par ajouter/supprimer, et une icône de SystemCheck dans la barre des taches qui renvoie à "C:\Documents and Settings\All Users\Application Data\L9leoEIp3BP99C.exe".
    C'est tout ce que j'ai remarqué pour le moment :) 
    a c 614 8 Sécurité
    31 Janvier 2012 12:03:24

    Re,

    Tu peux supprimer manuellement tout ceci maintenant normalement, ce ne sont que des restes inactifs.

    On passe au nettoyage :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement :
    - UnHide.exe si encore présent.

    Tu peux conserver Malwarebytes pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour avant.

    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)

    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    31 Janvier 2012 13:54:32

    Eh bien, je crois que c'est fini !!
    Je vais prendre le temps de lire les divers conseils de protection et installer un pare-feu digne de ce nom.
    A vrai dire je croyais mon pc assez protégé, la preuve que non ! Même si je suis ravie de l'aide que j'ai pu trouver ici, j'espère ne pas avoir à revenir de sitôt en étant plus vigilante ;) 
    MERCI pour tout !
    31 Janvier 2012 15:31:31

    Je ne suis pas allée sur ces sites, volontairement en tous cas, mais on est 2 sur le pc.
    Un copain, informaticien optimiste, m'a dit que contre ces virus, une patte de lapin ferait l'affaire !!
    J'adore son humour mais j'espère lui prouver que c'est faux ;) 
    Sinon, je n'arrive pas à modifier mon premier message pour indiquer le sujet résolu... Pas de bouton modifier en bas...
    a c 614 8 Sécurité
    31 Janvier 2012 15:35:08

    Re,

    C'est un bouton en forme de crayon en bas à droite de ton message, mais c'est pas grave sinon.

    Bonne journée.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS