Votre question

Demarrage uniquement en mode sans échec virus

Tags :
  • Antivir
  • Sécurité
Dernière réponse : dans Sécurité et virus
Anonyme
22 Juillet 2010 22:21:28

Bonjour

je pense avoir un virus. J'avais antivir mais j'ai voulu,l'upgrader car j'avais tout le temps une alerte virus en faisant cela j'ai du redémarrer le PC et depuis plus moyen de démarrer normalement. je ne peux démarrer que en mode sans échec. J'ai déjà ré-installer antivir et fait un scan dont voici le résultat

Merci d'avance de votre aide



Avira AntiVir Personal
Report file date: jeudi 22 juillet 2010 18:03

Scanning for 1990003 virus strains and unwanted programs.

The program is running as an unrestricted full version.
Online services are available:

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 2) [5.1.2600]
Boot mode : Safe mode
Username : HP_Propriétaire
Computer name : DEWEERHUBLET

Version information:
BUILD.DAT : 10.0.0.567 32097 Bytes 19/04/2010 15:07:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 1/04/2010 11:37:38
AVSCAN.DLL : 10.0.3.0 46440 Bytes 1/04/2010 11:57:04
LUKE.DLL : 10.0.2.3 104296 Bytes 7/03/2010 17:33:04
LUKERES.DLL : 10.0.0.1 12648 Bytes 10/02/2010 22:40:49
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 5/03/2010 10:29:03
VBASE005.VDF : 7.10.4.204 2048 Bytes 5/03/2010 10:29:03
VBASE006.VDF : 7.10.4.205 2048 Bytes 5/03/2010 10:29:03
VBASE007.VDF : 7.10.4.206 2048 Bytes 5/03/2010 10:29:03
VBASE008.VDF : 7.10.4.207 2048 Bytes 5/03/2010 10:29:03
VBASE009.VDF : 7.10.4.208 2048 Bytes 5/03/2010 10:29:03
VBASE010.VDF : 7.10.4.209 2048 Bytes 5/03/2010 10:29:03
VBASE011.VDF : 7.10.4.210 2048 Bytes 5/03/2010 10:29:03
VBASE012.VDF : 7.10.4.211 2048 Bytes 5/03/2010 10:29:03
VBASE013.VDF : 7.10.4.242 153088 Bytes 8/03/2010 14:43:21
VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 14:24:21
VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 16:41:40
VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 08:25:53
VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 08:39:58
VBASE018.VDF : 7.10.5.121 112640 Bytes 18/03/2010 12:01:24
VBASE019.VDF : 7.10.5.138 139776 Bytes 18/03/2010 09:24:56
VBASE020.VDF : 7.10.5.164 113152 Bytes 22/03/2010 06:04:23
VBASE021.VDF : 7.10.5.182 108032 Bytes 23/03/2010 08:23:02
VBASE022.VDF : 7.10.5.199 123904 Bytes 24/03/2010 16:47:50
VBASE023.VDF : 7.10.5.217 279552 Bytes 25/03/2010 18:11:22
VBASE024.VDF : 7.10.5.234 202240 Bytes 26/03/2010 16:53:48
VBASE025.VDF : 7.10.5.254 187904 Bytes 30/03/2010 12:56:47
VBASE026.VDF : 7.10.6.18 130560 Bytes 1/04/2010 04:56:20
VBASE027.VDF : 7.10.6.34 136192 Bytes 6/04/2010 08:43:55
VBASE028.VDF : 7.10.6.44 232448 Bytes 7/04/2010 08:59:22
VBASE029.VDF : 7.10.6.60 124416 Bytes 12/04/2010 11:43:17
VBASE030.VDF : 7.10.6.61 2048 Bytes 12/04/2010 11:43:17
VBASE031.VDF : 7.10.6.62 17408 Bytes 12/04/2010 11:43:17
Engineversion : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 13/02/2010 11:16:21
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 1/04/2010 15:05:26
AESCN.DLL : 8.1.5.0 127347 Bytes 25/02/2010 17:38:41
AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 10:09:47
AERDL.DLL : 8.1.4.3 541043 Bytes 17/03/2010 10:09:47
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 11:34:51
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 10:09:46
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 26/03/2010 17:43:13
AEHELP.DLL : 8.1.11.3 242039 Bytes 1/04/2010 15:05:25
AEGEN.DLL : 8.1.3.6 373108 Bytes 1/04/2010 15:05:25
AEEMU.DLL : 8.1.1.0 393587 Bytes 10/11/2009 08:04:22
AECORE.DLL : 8.1.13.1 188790 Bytes 1/04/2010 15:05:25
AEBB.DLL : 8.1.0.3 53618 Bytes 10/09/2009 11:15:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14/01/2010 11:03:38
AVPREF.DLL : 10.0.0.0 44904 Bytes 14/01/2010 11:03:35
AVREP.DLL : 10.0.0.8 62209 Bytes 18/02/2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 1/04/2010 11:35:46
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 1/04/2010 11:39:51
AVARKT.DLL : 10.0.0.14 227176 Bytes 1/04/2010 11:22:13
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26/01/2010 08:53:30
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28/01/2010 11:57:58
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16/03/2010 14:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 19/02/2010 13:41:00
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28/01/2010 12:10:20
RCTEXT.DLL : 10.0.53.0 97128 Bytes 9/04/2010 13:14:29

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Extended process scan...............: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: jeudi 22 juillet 2010 18:03

Starting search for hidden objects.
An ARK library instance is already running.

The scan of running processes will be started
Scan process 'avscan.exe' - '59' Module(s) have been scanned
Scan process 'avscan.exe' - '59' Module(s) have been scanned
Scan process 'avcenter.exe' - '61' Module(s) have been scanned
Scan process 'Explorer.EXE' - '81' Module(s) have been scanned
Scan process 'svchost.exe' - '64' Module(s) have been scanned
Scan process 'svchost.exe' - '38' Module(s) have been scanned
Scan process 'svchost.exe' - '32' Module(s) have been scanned
Scan process 'lsass.exe' - '48' Module(s) have been scanned
Scan process 'services.exe' - '44' Module(s) have been scanned
Scan process 'winlogon.exe' - '59' Module(s) have been scanned
Scan process 'csrss.exe' - '11' Module(s) have been scanned
Scan process 'smss.exe' - '2' Module(s) have been scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Master boot sector HD2
[INFO] No virus was found!
Master boot sector HD3
[INFO] No virus was found!
Master boot sector HD4
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '507' files ).


Starting the file scan:

Begin scan in 'C:\' <HP_PAVILION>
C:\WINDOWS\system32\dllcache\cdaudio.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\cdaudio.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\qttqdadi.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <HP_RECOVERY>


End of the scan: jeudi 22 juillet 2010 22:08
Used time: 4:05:41 Hour(s)

The scan has been done completely.

8325 Scanned directories
547215 Files were scanned
0 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
0 Files were moved to quarantine
0 Files were renamed
3 Files cannot be scanned
547212 Files not concerned
15246 Archives were scanned
3 Warnings
0 Notes

Autres pages sur : demarrage uniquement mode echec virus

13 Août 2010 15:40:22

Bonjour je me permet de relancer

j'étais partis en vacances mais le problème persiste

Merci d'avance
14 Août 2010 14:19:07

Salut,

On va essayer de voir ça :

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Dans la section "Analyse des fichiers", "Âge du fichier", met 30 jours
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    Contenus similaires
    14 Août 2010 17:27:49

    Bonjour,

    Oui j'avais vu qu'on t'avait dit ça, c'est moi qui ait supprimé les messages parce qu'Antivir fonctionne très bien.
    Et le truc, c'est qu'un antivirus n'est utile que s'il est installé avant l'infection, après l'infection il ne pourra plus rien faire la plupart du temps. Donc, changer d'antivirus comme ça ne changera rien.

    On va supprimer quelques trucs :

    1)

    Télécharge Ad-Remover (C_XX) sur ton Bureau.
    /!\ Déconnecte-toi et ferme toutes applications en cours /!\
    Double-cliquez sur AD-R présent sur ton bureau. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA)
    Patiente jusqu'à l'apparition du menu principale. A partir de là, clique sur Scanner. Ont te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.
    !! Laisse Travailler l'outil !!
    Une fenêtre contenant le rapport va s'ouvrir, poste moi le rapport dans ta prochaine réponse.
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    Ensuite clique sur Quitter pour fermer Ad-Remover.

    Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-SCAN


    2)

    Télécharge UsbFix (de El desaparecido & C_XX) sur ton bureau.
    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées, sans les ouvrir

  • Double-clique sur "USBFix.exe" pour lancer l'outil.
  • Au menu choisis principal, clique sur Recherche.
  • Puis laisse travailler l'outil ...
  • Une fois terminé, poste le rapport USBFix.txt qui est généré ...


    Note : le rapport est sauvegardé à la racine du disque. (C:\USBFix.txt)

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    3)

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    O4 - HKCU..\RunOnce: [scan_after_setup] c:\program files\avira\antivir desktop\avcenter.exe File not found
    O4 - Startup: C:\Documents and Settings\HP_Propriétaire\Menu Démarrer\Programmes\Démarrage\srvklw32.exe ()
    [2010/07/21 13:14:27 | 000,000,008 | ---- | M] () -- C:\Documents and Settings\HP_Propriétaire\Application Data\avdrn.dat

    :Services

    :Reg

    :Files

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL
    15 Août 2010 17:00:30

    Voici déjà le rapport de Ad Remover

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:47:22 le 15/08/2010, Mode sans echec

    Microsoft Windows XP Édition familiale Service Pack 2 (X86)
    HP_Propriétaire@DEWEERHUBLET ( )

    ============== RECHERCHE ==============


    0,Dossier trouvé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    0,Fichier trouvé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    0,Dossier trouvé: C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\AskSearch
    0,Dossier trouvé: C:\Program Files\Ask.com
    0,Dossier trouvé: C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\AskToolbar
    3,Fichier trouvé: C:\WINDOWS\Installer\89d248a4.msi

    1,Clé trouvée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    1,Clé trouvée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{144940B1-F191-11D0-A8E2-00A0C90F29FC}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    1,Clé trouvée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    0,Clé trouvée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    0,Clé trouvée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    0,Clé trouvée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    1,Clé trouvée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    0,Clé trouvée: HKCU\Software\Ask.com
    0,Clé trouvée: HKCU\Software\AskToolbar
    0,Clé trouvée: HKCU\Software\Trymedia Systems
    0,Clé trouvée: HKCU\Software\AppDataLow\AskToolbarInfo
    3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

    0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [7.0.5730.11] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\windows\system32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Show_ToolBar: yes
    Start Page: hxxp://www.24heuresvelo.be/
    Use Custom Search URL: 0

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\windows\system32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 15/08/2010 (886 Octet(s))

    Fin à: 16:52:40, 15/08/2010

    ============== E.O.F ==============
    15 Août 2010 17:10:54

    voici usb fix

    ############################## | UsbFix 7.020 | [Recherche]

    Utilisateur: HP_Propriétaire (Administrateur) # DEWEERHUBLET [ ]
    Mis à jour le 12/08/10 par El Desaparecido / C_XX
    Lancé à 17:04:01 | 15/08/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: AMD Athlon(tm) 64 Processor 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 7.0.5730.11

    Pare-feu Windows: Activé
    RAM -> 510 Mo
    C:\ (%systemdrive%) -> Disque fixe # 142 Go (102 Go libre(s) - 72%) [HP_PAVILION] # NTFS
    D:\ -> Disque fixe # 7 Go (3 Go libre(s) - 42%) [HP_RECOVERY] # FAT32
    I:\ -> CD-ROM
    J:\ -> CD-ROM

    ################## | Éléments infectieux |

    Présent! C:\Documents and Settings\HP_Propriétaire\Application Data\mdbu.bin
    Présent! C:\Documents and Settings\HP_Propriétaire\Menu Démarrer\Programmes\Démarrage\srvklw32.exe

    ################## | Registre |


    ################## | Mountpoints2 |


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    15 Août 2010 17:28:14

    voici le log OTL

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijYt4OJ...

    et un autre doc qui s'est ouvert

    All processes killed
    ========== OTL ==========
    Process explorer.exe killed successfully!
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\scan_after_setup deleted successfully.
    C:\Documents and Settings\HP_Propriétaire\Menu Démarrer\Programmes\Démarrage\srvklw32.exe moved successfully.
    C:\Documents and Settings\HP_Propriétaire\Application Data\avdrn.dat moved successfully.
    ========== SERVICES/DRIVERS ==========
    ========== REGISTRY ==========
    ========== FILES ==========
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 216556 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 9465 bytes
    ->Temporary Internet Files folder emptied: 32768 bytes

    User: HP_Propriétaire
    ->Temp folder emptied: 2770720 bytes
    ->Temporary Internet Files folder emptied: 48443333 bytes
    ->Java cache emptied: 17484430 bytes
    ->Flash cache emptied: 1603872 bytes

    User: LocalService
    ->Temp folder emptied: 65748 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 39138 bytes
    %systemroot%\System32 .tmp files removed: 3072 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 373124 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 68,00 mb


    OTL by OldTimer - Version 3.2.9.1 log created on 08152010_171431

    Files\Folders moved on Reboot...
    C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\LBGAAFEL\ads[1].htm moved successfully.
    C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\IPYVD0G3\cdntests_cedexis[1].htm moved successfully.
    C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\IPYVD0G3\v=4;m=3;l=10600;ts=%3Ctimestamp%3E[1].htm moved successfully.
    C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2N9BJHMM\ads[3].htm moved successfully.
    C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2004PH15\294376-11-demarrage-uniquement-mode-echec-virus[1].htm moved successfully.
    C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2004PH15\like[2].htm moved successfully.
    C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2004PH15\v=4;m=3;l=10599;ts=%3Ctimestamp%3E[1].htm moved successfully.
    File move failed. C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
    15 Août 2010 17:41:18

    oups désolé je me rend compte que j'aurais du transmettre tous les rapports avec le lien www.ci-joint.fr

    j'y penserai pour la suite
    16 Août 2010 00:50:40

    Bonsoir,

    Très bien.
    Pour les rapports, c'est principalement celui d'OTL qu'il faut mettre sur cijoint, parce qu'ils sont gros et parce que le forum les déforme, mais sinon pour les autres c'est bon comme ça ;) 

    On va nettoyer tout ça :

    1)
    /!\ Déconnecte toi et ferme toutes applications en cours /!\
    Relance AD-R à partir de ton bureau. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA)
    Patiente jusqu'à l'apparition du menu principale. A partir de là, clique sur Nettoyer. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.
    !! Laisse Travailler l'outil !!
    A la fin du scan on te propose de redémarrer, accepte en cliquant sur oui. Ton PC va redémarrer.
    Une fois ton PC rallumé, rend toi ici : C:\ et ouvre le fichier nommé Ad-Report-CLEAN.
    Poste moi dans ta prochaine réponse le contenu de Ad-Report-CLEAN.
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    2)

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées, sans les ouvrir

  • Double clic sur le raccourci UsbFix présent sur ton bureau.
  • Au menu principal clique sur Suppression.
  • Il est possible que ton bureau disparaisse et que le pc redémarre.
  • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
  • Ensuite postes le rapport UsbFix.txt qui apparaitra avec le bureau .


    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    3) Une fois que tout ça est fait, est-ce que tu peux refaire un log OTL et le mettre sur cijoint s'il te plait ?
    16 Août 2010 17:56:03

    voici le report ad-r

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:45:25 le 16/08/2010, Mode sans echec

    Microsoft Windows XP Édition familiale Service Pack 2 (X86)
    HP_Propriétaire@DEWEERHUBLET ( )

    ============== ACTION(S) ==============


    0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    0,Dossier supprimé: C:\Program Files\Ask.com
    0,Dossier supprimé: C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\AskToolbar
    3,Fichier supprimé: C:\WINDOWS\Installer\89d248a4.msi

    (!) -- Fichiers temporaires supprimés.


    1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{144940B1-F191-11D0-A8E2-00A0C90F29FC}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    0,Clé supprimée: HKCU\Software\Ask.com
    0,Clé supprimée: HKCU\Software\AskToolbar
    0,Clé supprimée: HKCU\Software\Trymedia Systems
    0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

    0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [7.0.5730.11] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 0

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\windows\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 15 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 16/08/2010 (877 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 15/08/2010 (4191 Octet(s))

    Fin à: 17:50:37, 16/08/2010

    ============== E.O.F ==============
    16 Août 2010 18:02:06

    et usb fix

    ############################## | UsbFix 7.020 | [Suppression]

    Utilisateur: HP_Propriétaire (Administrateur) # DEWEERHUBLET [ ]
    Mis à jour le 12/08/10 par El Desaparecido / C_XX
    Lancé à 17:58:54 | 16/08/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: AMD Athlon(tm) 64 Processor 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 7.0.5730.11

    Pare-feu Windows: Activé
    RAM -> 510 Mo
    C:\ (%systemdrive%) -> Disque fixe # 142 Go (102 Go libre(s) - 72%) [HP_PAVILION] # NTFS
    D:\ -> Disque fixe # 7 Go (3 Go libre(s) - 42%) [HP_RECOVERY] # FAT32
    I:\ -> CD-ROM
    J:\ -> CD-ROM

    ################## | Éléments infectieux |

    Supprimé! C:\Documents and Settings\HP_Propriétaire\Application Data\mdbu.bin

    ################## | Registre |


    ################## | Mountpoints2 |


    ################## | Listing |

    [16/08/2010 - 17:50:38 | A | 4293] C:\Ad-Report-CLEAN[1].txt
    [15/08/2010 - 16:52:40 | A | 4191] C:\Ad-Report-SCAN[1].txt
    [23/11/2004 - 16:21:48 | A | 0] C:\AUTOEXEC.BAT
    [02/07/2008 - 00:57:31 | D ] C:\avenger
    [04/06/2005 - 18:37:55 | RASH | 218] C:\BOOT.BAK
    [04/06/2005 - 18:53:19 | RASH | 298] C:\boot.ini
    [05/08/2004 - 06:00:00 | RASH | 4952] C:\Bootfont.bin
    [30/12/2009 - 16:04:50 | D ] C:\BrowserPlusPlugins
    [04/06/2005 - 18:53:18 | RSHD ] C:\cmdcons
    [05/08/2004 - 06:00:00 | RSH | 263488] C:\cmldr
    [21/07/2010 - 13:28:19 | HD ] C:\Config.Msi
    [23/11/2004 - 16:21:48 | A | 0] C:\CONFIG.SYS
    [26/04/2006 - 11:25:11 | D ] C:\dexia
    [18/06/2005 - 21:51:23 | D ] C:\dexiaOffline
    [06/10/2007 - 19:28:35 | D ] C:\Documents and Settings
    [10/07/2007 - 23:27:12 | D ] C:\Downloads
    [19/11/2006 - 04:01:42 | D ] C:\ea35eb3be8430b3f87a8e5
    [02/01/2005 - 07:25:12 | AHD ] C:\hp
    [01/01/2005 - 22:10:17 | AH | 2] C:\hpbi.log
    [23/11/2004 - 16:21:48 | RASH | 0] C:\IO.SYS
    [23/11/2004 - 16:21:48 | RASH | 0] C:\MSDOS.SYS
    [06/06/2005 - 18:10:19 | RHD ] C:\MSOCache
    [05/08/2004 - 06:00:00 | RASH | 47564] C:\NTDETECT.COM
    [01/07/2008 - 22:35:07 | RASH | 252240] C:\ntldr
    [16/08/2010 - 17:52:45 | ASH | 805306368] C:\pagefile.sys
    [16/08/2010 - 17:50:33 | D ] C:\Program Files
    [11/01/2009 - 12:53:02 | HD ] C:\Python22
    [07/10/2007 - 00:31:57 | D ] C:\qoobox
    [16/08/2010 - 18:01:00 | SHD ] C:\RECYCLER
    [30/08/2009 - 16:03:52 | AH | 232] C:\sqmdata00.sqm
    [06/09/2009 - 19:08:11 | AH | 232] C:\sqmdata01.sqm
    [12/09/2009 - 11:53:32 | AH | 232] C:\sqmdata02.sqm
    [13/09/2009 - 17:17:32 | AH | 232] C:\sqmdata03.sqm
    [20/09/2009 - 17:06:49 | AH | 232] C:\sqmdata04.sqm
    [03/10/2009 - 17:28:07 | AH | 232] C:\sqmdata05.sqm
    [10/10/2009 - 18:55:56 | AH | 232] C:\sqmdata06.sqm
    [17/10/2009 - 15:45:09 | AH | 232] C:\sqmdata07.sqm
    [18/10/2009 - 19:14:06 | AH | 232] C:\sqmdata08.sqm
    [06/12/2009 - 13:04:11 | AH | 232] C:\sqmdata09.sqm
    [06/12/2009 - 13:04:35 | AH | 232] C:\sqmdata10.sqm
    [30/12/2009 - 16:19:24 | AH | 232] C:\sqmdata11.sqm
    [28/04/2010 - 19:09:35 | AH | 232] C:\sqmdata12.sqm
    [12/08/2009 - 20:15:10 | AH | 232] C:\sqmdata13.sqm
    [15/08/2009 - 11:39:52 | AH | 232] C:\sqmdata14.sqm
    [16/08/2009 - 17:26:45 | AH | 232] C:\sqmdata15.sqm
    [18/08/2009 - 19:35:38 | AH | 232] C:\sqmdata16.sqm
    [19/08/2009 - 23:47:13 | AH | 232] C:\sqmdata17.sqm
    [22/08/2009 - 00:17:22 | AH | 232] C:\sqmdata18.sqm
    [28/08/2009 - 19:41:09 | AH | 232] C:\sqmdata19.sqm
    [30/08/2009 - 16:03:52 | AH | 244] C:\sqmnoopt00.sqm
    [06/09/2009 - 19:08:11 | AH | 244] C:\sqmnoopt01.sqm
    [12/09/2009 - 11:53:32 | AH | 244] C:\sqmnoopt02.sqm
    [13/09/2009 - 17:17:32 | AH | 244] C:\sqmnoopt03.sqm
    [20/09/2009 - 17:06:49 | AH | 244] C:\sqmnoopt04.sqm
    [03/10/2009 - 17:28:07 | AH | 244] C:\sqmnoopt05.sqm
    [10/10/2009 - 18:55:56 | AH | 244] C:\sqmnoopt06.sqm
    [17/10/2009 - 15:45:09 | AH | 244] C:\sqmnoopt07.sqm
    [18/10/2009 - 19:14:06 | AH | 244] C:\sqmnoopt08.sqm
    [06/12/2009 - 13:04:11 | AH | 244] C:\sqmnoopt09.sqm
    [06/12/2009 - 13:04:35 | AH | 244] C:\sqmnoopt10.sqm
    [30/12/2009 - 16:19:24 | AH | 244] C:\sqmnoopt11.sqm
    [28/04/2010 - 19:09:35 | AH | 244] C:\sqmnoopt12.sqm
    [12/08/2009 - 20:15:10 | AH | 244] C:\sqmnoopt13.sqm
    [15/08/2009 - 11:39:52 | AH | 244] C:\sqmnoopt14.sqm
    [16/08/2009 - 17:26:45 | AH | 244] C:\sqmnoopt15.sqm
    [18/08/2009 - 19:35:38 | AH | 244] C:\sqmnoopt16.sqm
    [19/08/2009 - 23:47:13 | AH | 244] C:\sqmnoopt17.sqm
    [22/08/2009 - 00:17:22 | AH | 244] C:\sqmnoopt18.sqm
    [28/08/2009 - 19:41:09 | AH | 244] C:\sqmnoopt19.sqm
    [04/06/2005 - 18:38:27 | D ] C:\sysprep
    [27/09/2007 - 19:22:40 | SHD ] C:\System Volume Information
    [02/01/2005 - 07:25:13 | HD ] C:\system.sav
    [27/07/2008 - 19:41:36 | A | 26] C:\UpdaterforApp.ini
    [16/08/2010 - 18:01:00 | D ] C:\UsbFix
    [16/08/2010 - 18:01:01 | A | 857] C:\UsbFix.txt
    [15/08/2010 - 17:15:15 | D ] C:\WINDOWS
    [15/08/2010 - 17:14:32 | D ] C:\_OTL
    [28/07/2001 - 07:07:38 | SH | 0] D:\AUTOEXEC.BAT
    [16/09/2004 - 16:27:24 | SH | 6] D:\BLOCK.RIN
    [09/01/2002 - 20:52:30 | SH | 244] D:\BOOT.INI
    [17/08/2001 - 10:26:26 | SH | 237728] D:\CMLDR
    [28/07/2001 - 07:07:38 | SH | 0] D:\CONFIG.SYS
    [10/09/2002 - 00:14:14 | SH | 100] D:\Desktop.ini
    [10/09/2002 - 18:21:08 | SH | 7850] D:\Folder.htt
    [30/04/2001 - 21:16:46 | SH | 14] D:\Graph
    [25/01/2002 - 19:21:24 | SH | 0] D:\GRAPH16
    [30/11/2004 - 13:01:50 | SH | 73728] D:\Info.exe
    [28/07/2001 - 07:07:38 | SH | 0] D:\IO.SYS
    [02/01/2005 - 06:47:24 | SH | 938] D:\MASTER.LOG
    [28/07/2001 - 07:07:38 | SH | 0] D:\MSDOS.SYS
    [25/07/2001 - 23:00:00 | SH | 45124] D:\NTDETECT.COM
    [17/08/2001 - 16:32:24 | SH | 0] D:\NTFS
    [25/07/2001 - 23:00:00 | SH | 222880] D:\NTLDR
    [10/09/2002 - 15:58:12 | SH | 181616] D:\protect.ed
    [23/11/2004 - 17:39:42 | SH | 36] D:\SaveFile.Dir
    [30/04/2001 - 21:16:46 | SH | 14] D:\SVGA
    [23/11/2004 - 18:56:24 | SH | 18] D:\USER
    [09/02/2002 - 00:44:24 | SH | 88038] D:\Warning.bmp
    [18/08/2001 - 16:00:00 | SH | 10] D:\WIN51
    [22/01/2001 - 16:00:00 | SH | 11] D:\WIN51.B2
    [25/07/2001 - 16:00:00 | SH | 11] D:\WIN51.RC1
    [25/07/2001 - 21:47:04 | SH | 11] D:\WIN51.RC2
    [18/08/2001 - 16:00:00 | SH | 10] D:\WIN51IC
    [20/03/2001 - 16:00:00 | SH | 11] D:\WIN51IC.B2
    [25/07/2001 - 16:00:00 | SH | 11] D:\WIN51IC.RC1
    [25/07/2001 - 16:00:00 | SH | 11] D:\WIN51IC.RC2
    [17/08/2001 - 16:00:00 | SH | 10] D:\WIN51IP
    [22/01/2001 - 16:00:00 | SH | 11] D:\WIN51IP.B2
    [25/07/2001 - 21:47:04 | SH | 11] D:\WIN51IP.RC2
    [17/08/2001 - 14:17:02 | SH | 184] D:\WINBOM.INI
    [01/01/2005 - 21:37:58 | SHD ] D:\cmdcons
    [01/01/2005 - 21:37:58 | SHD ] D:\hp
    [01/01/2005 - 21:38:56 | SHD ] D:\I386
    [01/01/2005 - 21:38:56 | SHD ] D:\MiniNT
    [01/01/2005 - 22:09:44 | SHD ] D:\PRELOAD
    [24/11/2004 - 21:55:24 | RD ] D:\Réinstallation Système
    [30/03/1999 - 18:17:54 | SHD ] D:\SYSTEM.SAV
    [01/01/2005 - 21:37:58 | SHD ] D:\TOOLS
    [04/06/2005 - 18:38:54 | SHD ] D:\System Volume Information
    [01/01/2005 - 21:37:58 | SHD ] D:\RECOVERY
    [01/02/2005 - 15:49:04 | SH | 535] D:\install.bat
    [01/03/2005 - 17:39:48 | SH | 7] D:\Softthinks_MLSP_ALL_BLU_WW-01.block
    [01/03/2005 - 17:39:34 | SH | 2213] D:\Softthinks_MLSP_ALL_BLU_WW.txt
    [05/06/2005 - 23:58:20 | SHD ] D:\Recycled

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_DEWEERHUBLET.zip
    http://chiquitine.changelog.fr/Sample/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    16 Août 2010 19:01:01

    Bonsoir,

    1) Tu as essayé de redémarrer en mode normal ? Ca ne marche toujours pas ?

    2) Je vois qu'il y a beaucoup de choses dans ton fichier hosts, mais qui a l'air d'être une protection pour ne pas accéder à certains sites web.
    Tu me confirmes que c'est bien toi qui a fait ça ?

    3)
    On va continuer un peu le nettoyage:
    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    SRV - (Planificateur LiveUpdate automatique) -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe File not found
    SRV - (aspimgr) -- C:\WINDOWS\System32\aspimgr.exe File not found
    SRV - (AntiVirUpgradeService) -- C:\WINDOWS\TEMP\AVSETUP_4c46d9da\avupgsvc.exe File not found
    DRV - (catchme) -- C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\catchme.sys File not found
    DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
    O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
    O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
    O4 - HKLM..\RunOnce: [] File not found

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL

    4)
    On va vérifier des fichiers :
    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    - Coche Afficher les fichiers et dossiers cachés
    - Décoche Masquer les extensions des fichiers dont le type est connu
    - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser le(s) fichier(s) suivants sur Virustotal

  • Clique sur Parcourir, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\System32\drivers\qttqdadi.sys
  • Clique maintenant sur Send file et laisse travailler tant que "Current status : analysing" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Current status: finished"), clique sur Compact
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur l'onglet BBCode
  • Sélectionne tout le contenu de la page
  • Enfin colle le résultat dans ta prochaine réponse.

  • Fais la même chose avec ce fichier : C:\WINDOWS\System32\drivers\cdaudio.sys
    17 Août 2010 16:20:36

    Bonjour Omar

    1) oui j'ai essayé de démarrer en mode normal mais cela ne fonctionne pas

    2) pour ce qui est dans le fichier host. je t'avoue que je ne sais pas du tout (donc à priori je n'ai rien fait à ce niveau la)

    3) et 4) je ferai cela ce soir car pour l'instant je suis au bureau

    bàt
    17 Août 2010 17:42:32

    Bonjour,

    Pour le fichier hosts, c'est possible que ce soit un logiciel de protection qui ai fait ça. Parce qu'il a l'air de bloquer des sites malveillants. Le soucis est que je n'ai pas le résultat entier, du coup, pas moyen de savoir s'il n'y a que des sites malveillants.
    Est-ce que tu pourrais uploader sur cijoint le fichier suivant C:\WINDOWS\system32\drivers\etc\hosts ?
    Et on avisera ensuite pour le réinitialiser si besoin.
    17 Août 2010 18:19:02

    je viens d'essayer virus total mais après avoir fait send une fenêtre s'ouvre et se referme directement ensuite je reviens à l'écran d'acceuil donc pas moyen de faire les étapes suivantes


    Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses.
    En ce cas, il te faudra patienter sans actualiser la page.
    Lorsque l'analyse est terminée ("Current status: finished" ), clique sur Compact
    Une nouvelle fenêtre de ton navigateur va apparaître
    Clique alors sur l'onglet BBCode
    Sélectionne tout le contenu de la page
    Enfin colle le résultat dans ta prochaine réponse.


    Dois-je essayer avec le 2è fichier?
    17 Août 2010 18:27:30

    Par rapport au fichier hosts

    cijoint me dit que je ne epux poster ce type de fichier (idem pour le fichier log qui apparait à l'ouverture de OTL après la correction)
    17 Août 2010 18:42:29

    "N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important "

    dois-je déjà les recacher?
    17 Août 2010 20:29:40

    Bonsoir,

    1) C'est bizarre pour VirusTotal, il y avait peut être un problème tout à l'heure, est-ce que tu peux réessayer ?

    2) Copie le fichier hosts sur ton bureau, et renomme le en hosts.txt, cijoint devrait l'accepter ;) 

    3) Tu les recacheras une fois qu'on aura fini
    18 Août 2010 18:42:45

    Bizarre pour virustotal... Essaie avec ce site sinon : http://virusscan.jotti.org/en

    Pour le fichier hosts, c'est bien ce que je pensais, une protection d'un de tes programmes (Spybot en l'occurrence).
    18 Août 2010 18:56:26

    ok je pense avoir compris le problème en utilisant virusscan

    il dit que le file is empty
    18 Août 2010 18:57:28

    idem pour le 2è

    c'est assez étrange car quand je vais voir leur taille l'un fait 552ko et l'autre 738ko
    18 Août 2010 22:02:27

    J'ai envie de te dire qu'on va nettoyer ça alors. C'est suspect ça ;) 
    Et puis, il est modifié assez souvent, donc suppression !

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    [2010/08/17 18:06:58 | 000,565,280 | ---- | M] () -- C:\WINDOWS\System32\drivers\qttqdadi.sys
    [2010/08/17 18:06:54 | 000,756,224 | ---- | M] () -- C:\WINDOWS\System32\drivers\cdaudio.sys


    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL
    20 Août 2010 01:09:03

    Bonsoir,

    Tu as bien fait le log après avoir fait la suppression ? (et tu as bien redémarré entre temps ?) parce que les deux fichiers y sont toujours dans le nouveau log OTL.
    20 Août 2010 09:38:31

    oui oui j'ai d'abord fait la suppression, ensuite redémarré (le pc le fait automatiquement) et ensuite le log
    20 Août 2010 13:52:31

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  • Effectue les mises à jour.
  • Ensuite, déconnecte toi et ferme toutes applications en cours.
  • Fais un examen dit Rapide.

    --> Laisse le programme travailler (et ne rien faire d'autre avec le PC durant le scan).
    --> à la fin tu cliques sur Résultat .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur Suppression.

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
    20 Août 2010 17:13:51

    Bonjour Omar

    voici le rapport

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4451

    Windows 5.1.2600 Service Pack 2 (Safe Mode)
    Internet Explorer 7.0.5730.11

    20/08/2010 17:09:17
    mbam-log-2010-08-20 (17-09-17).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 142329
    Temps écoulé: 5 minute(s), 47 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Sft (Backdoor.Agent) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Downloads\18Wheels_of_Steel-dm[1].exe (Adware.TryMedia) -> Quarantined and deleted successfully.
    C:\WINDOWS\s32.txt (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\ws386.ini (Malware.Trace) -> Quarantined and deleted successfully.


    PS: pour info je suis tjr en mode sans échec (pas moyen de démarrer en mode normal
    20 Août 2010 17:32:45

    Inquiétant pour le mode normal.

    On va essayer d'autres trucs...

  • Télécharge Gmer. (Przemyslaw Gmerek)
  • Dézippe-le dans un dossier dédié ou sur ton Bureau.
  • Déconnecte toi d'Internet puis ferme tous les programmes.
  • Double-clique sur Gmer.exe.
    Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet Rootkit.
  • A droite, coche seulement Files, Services & Registry.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
  • Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    21 Août 2010 14:26:19

    Bonjour Omar

    voici le rapport

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-08-21 14:25:51
    Windows 5.1.2600 Service Pack 2
    Running: gmer.exe; Driver: C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\kftcyuog.sys


    ---- Services - GMER 1.0.15 ----

    Service (*** hidden *** ) [SYSTEM] Cdaudio <-- ROOTKIT !!!
    Service (*** hidden *** ) [BOOT] qttqdadi <-- ROOTKIT !!!

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\Cdaudio@ErrorControl 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Cdaudio@Group Filter
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Cdaudio@Start 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Cdaudio@Tag 6
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Cdaudio@Type 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\cdaudio@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\cdaudio@TypesSupported 7
    Reg HKLM\SYSTEM\CurrentControlSet\Services\qttqdadi@Type 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\qttqdadi@Start 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\qttqdadi@ErrorControl 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\qttqdadi@Group Boot Bus Extender
    Reg HKLM\SYSTEM\ControlSet003\Services\Cdaudio@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet003\Services\Cdaudio@Group Filter
    Reg HKLM\SYSTEM\ControlSet003\Services\Cdaudio@Start 1
    Reg HKLM\SYSTEM\ControlSet003\Services\Cdaudio@Tag 6
    Reg HKLM\SYSTEM\ControlSet003\Services\Cdaudio@Type 1
    Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\cdaudio@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll
    Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\System\cdaudio@TypesSupported 7
    Reg HKLM\SYSTEM\ControlSet003\Services\qttqdadi@Type 1
    Reg HKLM\SYSTEM\ControlSet003\Services\qttqdadi@Start 0
    Reg HKLM\SYSTEM\ControlSet003\Services\qttqdadi@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet003\Services\qttqdadi@Group Boot Bus Extender

    ---- EOF - GMER 1.0.15 ----
    23 Août 2010 14:38:35

    Bonjour Omar

    t'es plus la?

    Merci
    28 Août 2010 19:18:58

    Salut,

    Désolé pour le retard, j'étais en vacances.
    Il y a bien des rootkits, on va nettoyer ça :


    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DÉSACTIVE TOUTES TES DÉFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil (voire planter le PC)...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto (aide) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPÉRATIF d'installer la Console de Récupération de Windows si l'outil le demande (voir tuto ci-dessus).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Clique droit/ "exécuter en tant qu'admin..." sur l'icône "ComboFix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> Ne rien faire avec le PC pendant le scan !
    -> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Si l'outil t'annonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses une fois la procédure terminée.


    > Poste le rapport ComboFix pour analyse et attends la suite ...
    1 Septembre 2010 11:56:07

    Salut Omar,

    pas de soucis j'étais moi même absents quelques jours

    voici le rapport

    ComboFix 10-08-31.02 - HP_Propriétaire 01/09/2010 11:43:40.8.1 - x86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.32.1036.18.510.253 [GMT 2:00]
    Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\g32.txt
    c:\windows\system32\driVERs\qttqdadi.sys
    c:\windows\system32\scrrnfr.dll
    c:\windows\system32\tmp.reg

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_qttqdadi
    -------\Service_qttqdadi


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-01 au 2010-09-01 ))))))))))))))))))))))))))))))))))))
    .

    2010-08-20 15:01 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-08-20 15:01 . 2010-08-20 15:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-08-20 15:01 . 2010-08-20 15:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-08-20 15:01 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-08-16 16:01 . 2010-08-16 16:01 11528 ----a-w- C:\UsbFix_Upload_Me_DEWEERHUBLET.zip
    2010-08-15 15:14 . 2010-08-15 15:14 -------- d-----w- C:\_OTL
    2010-08-15 15:03 . 2010-08-16 16:01 -------- d-----w- C:\UsbFix
    2010-08-15 14:47 . 2010-08-16 15:50 -------- d-----w- c:\program files\Ad-Remover
    2010-08-13 13:45 . 2010-08-26 15:53 664 ----a-w- c:\windows\system32\d3d9caps.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-01 09:53 . 2010-07-21 11:25 756224 ----a-w- c:\windows\system32\drivers\cdaudio.sys
    2010-06-12 09:26 . 2004-11-23 14:26 78900 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-12 09:26 . 2004-11-23 14:26 479044 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\30435\AdobeARM.exe
    2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\30435\AdobeExtractFiles.dll
    2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\30435\ReaderUpdater.exe
    2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\30435\AcrobatUpdater.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
    "Creative Detector"="c:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
    "TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
    "RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2010-07-20 67448]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe" [2010-06-12 231888]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
    "AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 88209]
    "HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
    "HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
    "KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2004-10-13 278528]
    "Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-03 344064]
    "PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
    "LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
    "Reminder"="c:\windows\Creator\Remind_XP.exe" [2004-12-13 663552]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-01 98304]
    "ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
    AutoTBar.exe [2003-9-30 57344]

    c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
    AutoTBar.exe [2003-9-30 57344]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2008-7-27 40960]

    c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
    AutoTBar.exe [2003-9-30 57344]

    c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
    AutoTBar.exe [2003-9-30 57344]

    [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
    "NoAutoUpdate"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\BitTorrent\\bittorrent.exe"=

    S0 xeutkpv;xeutkpv;c:\windows\system32\drivers\adljigcj.sys --> c:\windows\system32\drivers\adljigcj.sys [?]
    S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [27/07/2010 18:30 165456]
    S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/07/2010 18:30 17744]
    S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usb.sys [24/03/2006 19:14 33536]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - Cdaudio
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-22 c:\windows\Tasks\RegistryBooster.job
    - c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2010-07-22 14:04]
    .
    .
    ------- Examen supplémentaire -------
    .
    Trusted Zone: dexia.be\directnet
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    AddRemove-HijackThis - c:\documents and settings\HP_Propriétaire\Bureau\HijackThis.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-01 11:51
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdaudio]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(456)
    c:\windows\system32\Ati2evxx.dll
    .
    Heure de fin: 2010-09-01 11:55:01 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-09-01 09:54

    Avant-CF: 109.348.052.992 octets libres
    Après-CF: 109.266.530.304 octets libres

    - - End Of File - - 547F4146CE818AF87CDB277E81CF8677
    2 Septembre 2010 00:17:31

    Salut,

    Désolé pour le retard.

    1
    Copie (Ctrl+C) le texte ci-dessous :
    Driver::
    xeutkpv
    File::
    c:\windows\system32\drivers\adljigcj.sys



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

    http://i263.photobucket.com/albums/ii126/Sham_Rock1/CFScript-1.gif
  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer



    2

    Suis ce tuto TDSSKiller de Kaspersky:
    http://lanceyien.info/Forum/index.php?topic=1014.0

    Poste le rapport.

    3

    Télécharge bootkit_remover :
    > http://www.esagelab.com/files/bootkit_remover.rar

  • Extrait le contenu de l'archive sur ton bureau .
  • ! Désactive ton antivirus et ferme toutes applications en cours !
  • Lance l'outil "en tant qu'admin...".
  • Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    note :
    pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"



    Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier" ....

    Il suffit ensuite de le "coller" sur le forum ...
    2 Septembre 2010 19:33:15

    Voici mon rapport:

    les problèmes sont les suivants:
    Démarrage uniquement en mode sans échec
    pas de son
    pas de windows média player

    ComboFix 10-09-01.04 - HP_Propriétaire 02/09/2010 19:11:44.9.1 - x86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.32.1036.18.510.376 [GMT 2:00]
    Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt

    FILE ::
    "c:\windows\system32\drivers\adljigcj.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_USNJSVC
    -------\Service_usnjsvc
    -------\Service_xeutkpv


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-02 au 2010-09-02 ))))))))))))))))))))))))))))))))))))
    .

    2010-08-20 15:01 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-08-20 15:01 . 2010-08-20 15:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-08-20 15:01 . 2010-08-20 15:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-08-20 15:01 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-08-16 16:01 . 2010-08-16 16:01 11528 ----a-w- C:\UsbFix_Upload_Me_DEWEERHUBLET.zip
    2010-08-15 15:14 . 2010-08-15 15:14 -------- d-----w- C:\_OTL
    2010-08-15 15:03 . 2010-08-16 16:01 -------- d-----w- C:\UsbFix
    2010-08-15 14:47 . 2010-08-16 15:50 -------- d-----w- c:\program files\Ad-Remover
    2010-08-13 13:45 . 2010-09-01 16:44 664 ----a-w- c:\windows\system32\d3d9caps.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-02 17:20 . 2010-07-21 11:25 756224 ----a-w- c:\windows\system32\drivers\cdaudio.sys
    2010-06-12 09:26 . 2004-11-23 14:26 78900 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-12 09:26 . 2004-11-23 14:26 479044 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\30435\AdobeARM.exe
    2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\30435\AdobeExtractFiles.dll
    2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\30435\ReaderUpdater.exe
    2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\30435\AcrobatUpdater.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
    "Creative Detector"="c:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
    "TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
    "RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2010-07-20 67448]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe" [2010-06-12 231888]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
    "AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 88209]
    "HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
    "HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
    "KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2004-10-13 278528]
    "Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-03 344064]
    "PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
    "LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
    "Reminder"="c:\windows\Creator\Remind_XP.exe" [2004-12-13 663552]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-01 98304]
    "ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
    AutoTBar.exe [2003-9-30 57344]

    c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
    AutoTBar.exe [2003-9-30 57344]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2008-7-27 40960]

    c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
    AutoTBar.exe [2003-9-30 57344]

    [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
    "NoAutoUpdate"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\BitTorrent\\bittorrent.exe"=

    S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [27/07/2010 18:30 165456]
    S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/07/2010 18:30 17744]
    S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usb.sys [24/03/2006 19:14 33536]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - Cdaudio
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-22 c:\windows\Tasks\RegistryBooster.job
    - c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2010-07-22 14:04]
    .
    .
    ------- Examen supplémentaire -------
    .
    Trusted Zone: dexia.be\directnet
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-02 19:18
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdaudio]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(452)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(1452)
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    .
    Heure de fin: 2010-09-02 19:22:13 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-09-02 17:22
    ComboFix2.txt 2010-09-01 09:55

    Avant-CF: 109.274.021.888 octets libres
    Après-CF: 109.264.769.024 octets libres

    - - End Of File - - 2840843E9EDCC3CCE0C9E809CC972009


    2 Septembre 2010 19:39:38

    Salut Omar

    voici le 2è rapport

    2010/09/02 19:39:38.0250 TDSS rootkit removing tool 2.4.1.4 Aug 31 2010 16:55:25
    2010/09/02 19:39:38.0265 ================================================================================
    2010/09/02 19:39:38.0265 SystemInfo:
    2010/09/02 19:39:38.0265
    2010/09/02 19:39:38.0265 OS Version: 5.1.2600 ServicePack: 2.0
    2010/09/02 19:39:38.0265 Product type: Workstation
    2010/09/02 19:39:38.0265 ComputerName: DEWEERHUBLET
    2010/09/02 19:39:38.0265 UserName: HP_Propriétaire
    2010/09/02 19:39:38.0265 Windows directory: C:\WINDOWS
    2010/09/02 19:39:38.0265 System windows directory: C:\WINDOWS
    2010/09/02 19:39:38.0265 Processor architecture: Intel x86
    2010/09/02 19:39:38.0265 Number of processors: 1
    2010/09/02 19:39:38.0265 Page size: 0x1000
    2010/09/02 19:39:38.0265 Boot type: Safe boot with network
    2010/09/02 19:39:38.0265 ================================================================================
    2010/09/02 19:39:38.0406 Initialize success
    2010/09/02 19:39:42.0796 ================================================================================
    2010/09/02 19:39:42.0796 Scan started
    2010/09/02 19:39:42.0796 Mode: Manual;
    2010/09/02 19:39:42.0796 ================================================================================
    2010/09/02 19:39:44.0640 Aavmker4 (467f062f76e07512ecc1f5f60aab2988) C:\WINDOWS\system32\drivers\Aavmker4.sys
    2010/09/02 19:39:44.0812 ACPI (0bd94fbfc14ea3606cd6ca4c0255baa3) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    2010/09/02 19:39:44.0859 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
    2010/09/02 19:39:44.0921 ACSSCR (b6a0f723a54884e77fce0f69083f90c9) C:\WINDOWS\system32\DRIVERS\a38usb.sys
    2010/09/02 19:39:44.0984 aec (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
    2010/09/02 19:39:45.0062 Afc (a7b8a3a79d35215d798a300df49ed23f) C:\WINDOWS\system32\drivers\Afc.sys
    2010/09/02 19:39:45.0125 AFD (944ca435bfcfc82cc1ed9e3a7d731aa9) C:\WINDOWS\System32\drivers\afd.sys
    2010/09/02 19:39:45.0203 AgereSoftModem (994a42d273c35b43ee9d1e8a5d8bc639) C:\WINDOWS\system32\DRIVERS\AGRSM.sys
    2010/09/02 19:39:45.0437 ALCXWDM (8d6c30e515717248e0e52b85fd7ac466) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
    2010/09/02 19:39:45.0578 AmdK8 (841871eac4e0dab2bd2b56ce59ef9511) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
    2010/09/02 19:39:45.0671 Arp1394 (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
    2010/09/02 19:39:45.0843 aswFsBlk (0c0b08847f2f24baa7bd43d8f2c6c8b0) C:\WINDOWS\system32\drivers\aswFsBlk.sys
    2010/09/02 19:39:45.0890 aswMon2 (aa504fa592c9ed79174cb06b8ae340aa) C:\WINDOWS\system32\drivers\aswMon2.sys
    2010/09/02 19:39:45.0921 aswRdr (f385ffd39165453fda96736aa3edfd9d) C:\WINDOWS\system32\drivers\aswRdr.sys
    2010/09/02 19:39:45.0984 aswSP (45adea26bf613a54fed64ecdd12e58a7) C:\WINDOWS\system32\drivers\aswSP.sys
    2010/09/02 19:39:46.0031 aswTdi (c4ee975c87176f1900662d2874233c7f) C:\WINDOWS\system32\drivers\aswTdi.sys
    2010/09/02 19:39:46.0093 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    2010/09/02 19:39:46.0140 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
    2010/09/02 19:39:46.0265 ati2mtag (f43601d255762f20d0e23a6d97062b0d) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
    2010/09/02 19:39:46.0343 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    2010/09/02 19:39:46.0406 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    2010/09/02 19:39:46.0453 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    2010/09/02 19:39:46.0515 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    2010/09/02 19:39:46.0562 Suspicious service (NoAccess): Cdaudio
    2010/09/02 19:39:46.0640 Cdaudio (ec3331517684c595384e27d3f0eb79c1) C:\WINDOWS\system32\drivers\Cdaudio.sys
    2010/09/02 19:39:46.0640 Suspicious file (NoAccess): C:\WINDOWS\system32\drivers\Cdaudio.sys. md5: ec3331517684c595384e27d3f0eb79c1
    2010/09/02 19:39:46.0640 Cdaudio - detected Locked service (1)
    2010/09/02 19:39:46.0703 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
    2010/09/02 19:39:46.0734 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    2010/09/02 19:39:46.0796 Changer (daf1a8193b6caf0fb858cadcc5c4af4a) C:\WINDOWS\system32\drivers\Changer.sys
    2010/09/02 19:39:47.0015 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
    2010/09/02 19:39:47.0093 dmboot (e2d3b7620310fe56685f9b15a6b404b3) C:\WINDOWS\system32\drivers\dmboot.sys
    2010/09/02 19:39:47.0156 dmio (c77f5c20aa70197a69aa84baa9de43c8) C:\WINDOWS\system32\drivers\dmio.sys
    2010/09/02 19:39:47.0218 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    2010/09/02 19:39:47.0265 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
    2010/09/02 19:39:47.0343 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
    2010/09/02 19:39:47.0406 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
    2010/09/02 19:39:47.0468 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
    2010/09/02 19:39:47.0515 Fips (8b121ff880683607ab2aef0340721718) C:\WINDOWS\system32\drivers\Fips.sys
    2010/09/02 19:39:47.0546 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
    2010/09/02 19:39:47.0578 FltMgr (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
    2010/09/02 19:39:47.0609 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    2010/09/02 19:39:47.0656 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    2010/09/02 19:39:47.0703 GEARAspiWDM (2fb04db459c71f416ee8b05448ca4ac3) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
    2010/09/02 19:39:47.0750 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    2010/09/02 19:39:47.0812 HidUsb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
    2010/09/02 19:39:47.0890 HTTP (cb77bb47e67e84deb17ba29632501730) C:\WINDOWS\system32\Drivers\HTTP.sys
    2010/09/02 19:39:47.0953 i2omgmt (8f09f91b5c91363b77bcd15599570f2c) C:\WINDOWS\system32\drivers\i2omgmt.sys
    2010/09/02 19:39:48.0031 i8042prt (d1efcbd693b5ba21314d06368c471070) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    2010/09/02 19:39:48.0062 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
    2010/09/02 19:39:48.0171 IntelIde (1367812f8a974e0c13a4888fa5e7ede6) C:\WINDOWS\system32\DRIVERS\intelide.sys
    2010/09/02 19:39:48.0218 intelppm (dd5ad1e79ac26d3f8d8828ad4627f160) C:\WINDOWS\system32\DRIVERS\intelppm.sys
    2010/09/02 19:39:48.0265 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
    2010/09/02 19:39:48.0312 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    2010/09/02 19:39:48.0343 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    2010/09/02 19:39:48.0390 IpNat (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    2010/09/02 19:39:48.0437 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    2010/09/02 19:39:48.0484 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
    2010/09/02 19:39:48.0531 isapnp (54632f1a7de61dc3615d756f2a90fa72) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    2010/09/02 19:39:48.0609 Iviaspi (f59c3569a2f2c464bb78cb1bdcdca55e) C:\WINDOWS\system32\drivers\iviaspi.sys
    2010/09/02 19:39:48.0671 Jukebox3 (c4d1e49a7d853a6fdfe8ec2906ae5aaa) C:\WINDOWS\system32\DRIVERS\ctpdusb.sys
    2010/09/02 19:39:48.0718 Kbdclass (e798705e8dc7fab596ef6bfdf167e007) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    2010/09/02 19:39:48.0765 kbdhid (62dd5eefcec4ef4163f1168d4262a9e4) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
    2010/09/02 19:39:48.0796 kmixer (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
    2010/09/02 19:39:48.0843 KSecDD (eb7ffe87fd367ea8fca0506f74a87fbb) C:\WINDOWS\system32\drivers\KSecDD.sys
    2010/09/02 19:39:48.0906 lbrtfdc (cc50a66548c2f285bc8a7b0b8aa578e3) C:\WINDOWS\system32\drivers\lbrtfdc.sys
    2010/09/02 19:39:48.0984 ltmodem5 (919de7d76d2c0c0139e08b3e7592d62e) C:\WINDOWS\system32\DRIVERS\ltmdmnt.sys
    2010/09/02 19:39:49.0046 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
    2010/09/02 19:39:49.0109 Modem (5ac7e16f5b40a6da14b5f2b3ada4693e) C:\WINDOWS\system32\drivers\Modem.sys
    2010/09/02 19:39:49.0140 Mouclass (7d4f19411bd941e1d432a99e24230386) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    2010/09/02 19:39:49.0187 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
    2010/09/02 19:39:49.0234 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
    2010/09/02 19:39:49.0312 MRxDAV (29414447eb5bde2f8397dc965dbb3156) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
    2010/09/02 19:39:49.0375 MRxSmb (025af03ce51645c62f3b6907a7e2be5e) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    2010/09/02 19:39:49.0562 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
    2010/09/02 19:39:49.0640 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    2010/09/02 19:39:49.0671 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    2010/09/02 19:39:49.0703 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
    2010/09/02 19:39:49.0765 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    2010/09/02 19:39:49.0796 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
    2010/09/02 19:39:49.0843 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
    2010/09/02 19:39:49.0875 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
    2010/09/02 19:39:49.0906 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    2010/09/02 19:39:49.0953 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
    2010/09/02 19:39:49.0984 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
    2010/09/02 19:39:50.0031 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
    2010/09/02 19:39:50.0062 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
    2010/09/02 19:39:50.0140 NIC1394 (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINDOWS\system32\DRIVERS\nic1394.sys
    2010/09/02 19:39:50.0171 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
    2010/09/02 19:39:50.0234 Ntfs (19a811ef5f1ed5c926a028ce107ff1af) C:\WINDOWS\system32\drivers\Ntfs.sys
    2010/09/02 19:39:50.0296 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    2010/09/02 19:39:50.0343 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
    2010/09/02 19:39:50.0390 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
    2010/09/02 19:39:50.0453 ohci1394 (0951db8e5823ea366b0e408d71e1ba2a) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
    2010/09/02 19:39:50.0515 Parport (318696359ac7df48d1e51974ec527dd2) C:\WINDOWS\system32\DRIVERS\parport.sys
    2010/09/02 19:39:50.0546 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
    2010/09/02 19:39:50.0593 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
    2010/09/02 19:39:50.0656 PCI (7c5da5c1ed801ad8b0309d5514f0b75e) C:\WINDOWS\system32\DRIVERS\pci.sys
    2010/09/02 19:39:50.0734 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
    2010/09/02 19:39:50.0781 Pcmcia (641da274e163617ea7a33506bc6da8e3) C:\WINDOWS\system32\drivers\Pcmcia.sys
    2010/09/02 19:39:51.0046 Pfc (444f122e68db44c0589227781f3c8b3f) C:\WINDOWS\system32\drivers\pfc.sys
    2010/09/02 19:39:51.0109 PfModNT (0abc514f6606324ce15484d079027798) C:\WINDOWS\system32\drivers\PfModNT.sys
    2010/09/02 19:39:51.0187 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    2010/09/02 19:39:51.0234 Processor (f480712b761e538bc8e44ede60f3a3c3) C:\WINDOWS\system32\DRIVERS\processr.sys
    2010/09/02 19:39:51.0296 Ps2 (bffdb363485501a38f0bca83aec810db) C:\WINDOWS\system32\DRIVERS\PS2.sys
    2010/09/02 19:39:51.0343 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
    2010/09/02 19:39:51.0375 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    2010/09/02 19:39:51.0437 PxHelp20 (1962166e0ceb740704f30fa55ad3d509) C:\WINDOWS\system32\Drivers\PxHelp20.sys
    2010/09/02 19:39:51.0625 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    2010/09/02 19:39:51.0703 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    2010/09/02 19:39:51.0750 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    2010/09/02 19:39:51.0781 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    2010/09/02 19:39:51.0828 Rdbss (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    2010/09/02 19:39:51.0859 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    2010/09/02 19:39:51.0937 RDPWD (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
    2010/09/02 19:39:51.0984 redbook (2cc30b68dd62b73d444a41322cd7fc4c) C:\WINDOWS\system32\DRIVERS\redbook.sys
    2010/09/02 19:39:52.0062 rtl8139 (2ef9c0dc26b30b2318b1fc3faa1f0ae7) C:\WINDOWS\system32\DRIVERS\R8139n51.SYS
    2010/09/02 19:39:52.0125 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    2010/09/02 19:39:52.0187 Serial (653201755ca96ab4aaa4131daf6da356) C:\WINDOWS\system32\drivers\Serial.sys
    2010/09/02 19:39:52.0218 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
    2010/09/02 19:39:52.0343 SONYPVU1 (a1eceeaa5c5e74b2499eb51d38185b84) C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS
    2010/09/02 19:39:52.0437 splitter (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
    2010/09/02 19:39:52.0484 sr (b52181023b827acda36c1b76751ebffd) C:\WINDOWS\system32\DRIVERS\sr.sys
    2010/09/02 19:39:52.0531 Srv (ea554a3ffc3f536fe8320eb38f5e4843) C:\WINDOWS\system32\DRIVERS\srv.sys
    2010/09/02 19:39:52.0593 StillCam (3f669c9fc6411bdbc0155544aa876e46) C:\WINDOWS\system32\DRIVERS\serscan.sys
    2010/09/02 19:39:52.0640 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
    2010/09/02 19:39:52.0671 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
    2010/09/02 19:39:52.0859 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
    2010/09/02 19:39:52.0937 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    2010/09/02 19:39:53.0000 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
    2010/09/02 19:39:53.0031 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
    2010/09/02 19:39:53.0093 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
    2010/09/02 19:39:53.0187 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
    2010/09/02 19:39:53.0265 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
    2010/09/02 19:39:53.0312 usbccgp (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
    2010/09/02 19:39:53.0359 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    2010/09/02 19:39:53.0406 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    2010/09/02 19:39:53.0437 usbohci (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
    2010/09/02 19:39:53.0484 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
    2010/09/02 19:39:53.0531 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    2010/09/02 19:39:53.0578 usbuhci (f8fd1400092e23c8f2f31406ef06167b) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
    2010/09/02 19:39:53.0609 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
    2010/09/02 19:39:53.0656 ViaIde (59cb1338ad3654417bea49636457f65d) C:\WINDOWS\system32\DRIVERS\viaide.sys
    2010/09/02 19:39:53.0703 VolSnap (313b1a0d5db26dfe1c34a6c13b2ce0a7) C:\WINDOWS\system32\drivers\VolSnap.sys
    2010/09/02 19:39:53.0765 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    2010/09/02 19:39:53.0843 wdmaud (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
    2010/09/02 19:39:53.0984 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
    2010/09/02 19:39:54.0062 ================================================================================
    2010/09/02 19:39:54.0062 Scan finished
    2010/09/02 19:39:54.0062 ================================================================================
    2010/09/02 19:39:54.0078 Detected object count: 1
    2010/09/02 19:40:01.0093 Locked service(Cdaudio) - User select action: Skip
    2 Septembre 2010 19:45:06

    Bootkit Remover
    (c) 2009 eSage Lab
    www.esagelab.com

    Program version: 1.2.0.0
    OS Version: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

    System volume is \\.\C:
    \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000001`be32e000
    Boot sector MD5 is: 04bb945744f67e09eac699dea7655d04

    Size Device Name MBR Status
    --------------------------------------------
    149 GB \\.\PhysicalDrive0 Unknown boot code

    Unknown boot code has been found on some of your physical disks.
    To inspect the boot code manually, dump the master boot sector:
    remover.exe dump <device_name> [output_file]
    To disinfect the master boot sector, use the following command:
    remover.exe fix <device_name>


    Done;
    Press any key to quit...
    2 Septembre 2010 19:55:07

    Bootkit Remover
    (c) 2009 eSage Lab
    www.esagelab.com

    Program version: 1.2.0.0
    OS Version: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

    System volume is \\.\C:
    \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000001`be32e000
    Boot sector MD5 is: 04bb945744f67e09eac699dea7655d04

    Size Device Name MBR Status
    --------------------------------------------
    149 GB \\.\PhysicalDrive0 Unknown boot code

    Unknown boot code has been found on some of your physical disks.
    To inspect the boot code manually, dump the master boot sector:
    remover.exe dump <device_name> [output_file]
    To disinfect the master boot sector, use the following command:
    remover.exe fix <device_name>


    Done;
    Press any key to quit...
    2 Septembre 2010 23:40:08

    Bonsoir,

    1)

    Est-ce que tu peux relancer TDSSKiller, mais cette fois-ci, au lieu de faire "Skip" pour cdaudio, choisi "Cure".

    2)

    Créer un doc texte sur ton bureau :

  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    @ECHO OFF
    START remover.exe fix \\.\PhysicalDrive0
    EXIT



  • Sauvegarde le document sur ton bureau :
    Va sur "fichier"/"enregistrer sous" :
    -> Nom du fichier, tu tapes : fix.bat
    Type de fichier, tu choisis : "tous les fichiers"
    -> clique sur "enregistrer"
    ( le .bat à la fin est important )

    ! Désactive ton antivirus et ferme toutes applications en cours !

  • Double clique sur fix.bat > ça doit ouvrir une fenêtre noir qui va se refermer.

  • Une fois fini, une nouvelle fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...
    4 Septembre 2010 15:22:02

    Salut Omar

    pour tds killer est-ce que Cure et Delete est la même action car pour cdaudio il n'y a pas "cure" dans les choix mais bien skip, quarantine et delete
    4 Septembre 2010 15:26:38

    pour la 2è action que tu me demande il y a un message d'erreur disant que Windows n'as pas trouvé remover.exe
    4 Septembre 2010 16:05:24

    Salut,

    1) Dans ce cas, fais quarantine. Ca permettra de le garder au cas où...

    2) En effet, le nom de l'exécutable a changé, il ne s'appelle pas remover.exe mais bootkit_remover.exe
    Refais la même chose, mais avec ce contenu pour le fichier :
    @ECHO OFF
    START bootkit_remover.exe fix \\.\PhysicalDrive0
    EXIT
    4 Septembre 2010 17:09:16

    Salut

    voici le rapport de tds

    2010/09/04 17:10:21.0359 TDSS rootkit removing tool 2.4.1.4 Aug 31 2010 16:55:25
    2010/09/04 17:10:21.0359 ================================================================================
    2010/09/04 17:10:21.0359 SystemInfo:
    2010/09/04 17:10:21.0359
    2010/09/04 17:10:21.0359 OS Version: 5.1.2600 ServicePack: 2.0
    2010/09/04 17:10:21.0359 Product type: Workstation
    2010/09/04 17:10:21.0359 ComputerName: DEWEERHUBLET
    2010/09/04 17:10:21.0359 UserName: HP_Propriétaire
    2010/09/04 17:10:21.0359 Windows directory: C:\WINDOWS
    2010/09/04 17:10:21.0359 System windows directory: C:\WINDOWS
    2010/09/04 17:10:21.0359 Processor architecture: Intel x86
    2010/09/04 17:10:21.0359 Number of processors: 1
    2010/09/04 17:10:21.0359 Page size: 0x1000
    2010/09/04 17:10:21.0359 Boot type: Safe boot with network
    2010/09/04 17:10:21.0359 ================================================================================
    2010/09/04 17:10:21.0531 Initialize success
    2010/09/04 17:10:23.0609 ================================================================================
    2010/09/04 17:10:23.0609 Scan started
    2010/09/04 17:10:23.0609 Mode: Manual;
    2010/09/04 17:10:23.0609 ================================================================================
    2010/09/04 17:10:24.0875 Aavmker4 (467f062f76e07512ecc1f5f60aab2988) C:\WINDOWS\system32\drivers\Aavmker4.sys
    2010/09/04 17:10:25.0031 ACPI (0bd94fbfc14ea3606cd6ca4c0255baa3) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    2010/09/04 17:10:25.0078 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
    2010/09/04 17:10:25.0140 ACSSCR (b6a0f723a54884e77fce0f69083f90c9) C:\WINDOWS\system32\DRIVERS\a38usb.sys
    2010/09/04 17:10:25.0203 aec (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
    2010/09/04 17:10:25.0265 Afc (a7b8a3a79d35215d798a300df49ed23f) C:\WINDOWS\system32\drivers\Afc.sys
    2010/09/04 17:10:25.0312 AFD (944ca435bfcfc82cc1ed9e3a7d731aa9) C:\WINDOWS\System32\drivers\afd.sys
    2010/09/04 17:10:25.0406 AgereSoftModem (994a42d273c35b43ee9d1e8a5d8bc639) C:\WINDOWS\system32\DRIVERS\AGRSM.sys
    2010/09/04 17:10:25.0640 ALCXWDM (8d6c30e515717248e0e52b85fd7ac466) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
    2010/09/04 17:10:25.0718 AmdK8 (841871eac4e0dab2bd2b56ce59ef9511) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
    2010/09/04 17:10:25.0828 Arp1394 (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
    2010/09/04 17:10:25.0984 aswFsBlk (0c0b08847f2f24baa7bd43d8f2c6c8b0) C:\WINDOWS\system32\drivers\aswFsBlk.sys
    2010/09/04 17:10:26.0031 aswMon2 (aa504fa592c9ed79174cb06b8ae340aa) C:\WINDOWS\system32\drivers\aswMon2.sys
    2010/09/04 17:10:26.0062 aswRdr (f385ffd39165453fda96736aa3edfd9d) C:\WINDOWS\system32\drivers\aswRdr.sys
    2010/09/04 17:10:26.0109 aswSP (45adea26bf613a54fed64ecdd12e58a7) C:\WINDOWS\system32\drivers\aswSP.sys
    2010/09/04 17:10:26.0171 aswTdi (c4ee975c87176f1900662d2874233c7f) C:\WINDOWS\system32\drivers\aswTdi.sys
    2010/09/04 17:10:26.0234 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    2010/09/04 17:10:26.0281 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
    2010/09/04 17:10:26.0406 ati2mtag (f43601d255762f20d0e23a6d97062b0d) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
    2010/09/04 17:10:26.0437 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    2010/09/04 17:10:26.0484 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    2010/09/04 17:10:26.0531 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    2010/09/04 17:10:26.0609 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    2010/09/04 17:10:26.0640 Suspicious service (NoAccess): Cdaudio
    2010/09/04 17:10:26.0703 Cdaudio (ec3331517684c595384e27d3f0eb79c1) C:\WINDOWS\system32\drivers\Cdaudio.sys
    2010/09/04 17:10:26.0703 Suspicious file (NoAccess): C:\WINDOWS\system32\drivers\Cdaudio.sys. md5: ec3331517684c595384e27d3f0eb79c1
    2010/09/04 17:10:26.0718 Cdaudio - detected Locked service (1)
    2010/09/04 17:10:26.0765 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
    2010/09/04 17:10:26.0812 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    2010/09/04 17:10:26.0875 Changer (daf1a8193b6caf0fb858cadcc5c4af4a) C:\WINDOWS\system32\drivers\Changer.sys
    2010/09/04 17:10:27.0078 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
    2010/09/04 17:10:27.0156 dmboot (e2d3b7620310fe56685f9b15a6b404b3) C:\WINDOWS\system32\drivers\dmboot.sys
    2010/09/04 17:10:27.0203 dmio (c77f5c20aa70197a69aa84baa9de43c8) C:\WINDOWS\system32\drivers\dmio.sys
    2010/09/04 17:10:27.0265 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    2010/09/04 17:10:27.0312 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
    2010/09/04 17:10:27.0390 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
    2010/09/04 17:10:27.0453 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
    2010/09/04 17:10:27.0515 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
    2010/09/04 17:10:27.0562 Fips (8b121ff880683607ab2aef0340721718) C:\WINDOWS\system32\drivers\Fips.sys
    2010/09/04 17:10:27.0593 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
    2010/09/04 17:10:27.0656 FltMgr (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
    2010/09/04 17:10:27.0703 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    2010/09/04 17:10:27.0734 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    2010/09/04 17:10:27.0781 GEARAspiWDM (2fb04db459c71f416ee8b05448ca4ac3) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
    2010/09/04 17:10:27.0828 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    2010/09/04 17:10:27.0890 HidUsb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
    2010/09/04 17:10:27.0968 HTTP (cb77bb47e67e84deb17ba29632501730) C:\WINDOWS\system32\Drivers\HTTP.sys
    2010/09/04 17:10:28.0031 i2omgmt (8f09f91b5c91363b77bcd15599570f2c) C:\WINDOWS\system32\drivers\i2omgmt.sys
    2010/09/04 17:10:28.0109 i8042prt (d1efcbd693b5ba21314d06368c471070) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    2010/09/04 17:10:28.0156 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
    2010/09/04 17:10:28.0250 IntelIde (1367812f8a974e0c13a4888fa5e7ede6) C:\WINDOWS\system32\DRIVERS\intelide.sys
    2010/09/04 17:10:28.0312 intelppm (dd5ad1e79ac26d3f8d8828ad4627f160) C:\WINDOWS\system32\DRIVERS\intelppm.sys
    2010/09/04 17:10:28.0359 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
    2010/09/04 17:10:28.0390 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    2010/09/04 17:10:28.0437 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    2010/09/04 17:10:28.0484 IpNat (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    2010/09/04 17:10:28.0546 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    2010/09/04 17:10:28.0578 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
    2010/09/04 17:10:28.0656 isapnp (54632f1a7de61dc3615d756f2a90fa72) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    2010/09/04 17:10:28.0718 Iviaspi (f59c3569a2f2c464bb78cb1bdcdca55e) C:\WINDOWS\system32\drivers\iviaspi.sys
    2010/09/04 17:10:28.0765 Jukebox3 (c4d1e49a7d853a6fdfe8ec2906ae5aaa) C:\WINDOWS\system32\DRIVERS\ctpdusb.sys
    2010/09/04 17:10:28.0828 Kbdclass (e798705e8dc7fab596ef6bfdf167e007) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    2010/09/04 17:10:28.0859 kbdhid (62dd5eefcec4ef4163f1168d4262a9e4) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
    2010/09/04 17:10:28.0906 kmixer (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
    2010/09/04 17:10:28.0953 KSecDD (eb7ffe87fd367ea8fca0506f74a87fbb) C:\WINDOWS\system32\drivers\KSecDD.sys
    2010/09/04 17:10:29.0015 lbrtfdc (cc50a66548c2f285bc8a7b0b8aa578e3) C:\WINDOWS\system32\drivers\lbrtfdc.sys
    2010/09/04 17:10:29.0093 ltmodem5 (919de7d76d2c0c0139e08b3e7592d62e) C:\WINDOWS\system32\DRIVERS\ltmdmnt.sys
    2010/09/04 17:10:29.0156 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
    2010/09/04 17:10:29.0218 Modem (5ac7e16f5b40a6da14b5f2b3ada4693e) C:\WINDOWS\system32\drivers\Modem.sys
    2010/09/04 17:10:29.0265 Mouclass (7d4f19411bd941e1d432a99e24230386) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    2010/09/04 17:10:29.0312 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
    2010/09/04 17:10:29.0359 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
    2010/09/04 17:10:29.0437 MRxDAV (29414447eb5bde2f8397dc965dbb3156) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
    2010/09/04 17:10:29.0484 MRxSmb (025af03ce51645c62f3b6907a7e2be5e) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    2010/09/04 17:10:29.0531 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
    2010/09/04 17:10:29.0593 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    2010/09/04 17:10:29.0625 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    2010/09/04 17:10:29.0671 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
    2010/09/04 17:10:29.0718 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    2010/09/04 17:10:29.0750 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
    2010/09/04 17:10:29.0796 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
    2010/09/04 17:10:29.0828 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
    2010/09/04 17:10:29.0875 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    2010/09/04 17:10:29.0906 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
    2010/09/04 17:10:29.0937 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
    2010/09/04 17:10:29.0984 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
    2010/09/04 17:10:30.0015 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
    2010/09/04 17:10:30.0093 NIC1394 (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINDOWS\system32\DRIVERS\nic1394.sys
    2010/09/04 17:10:30.0125 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
    2010/09/04 17:10:30.0171 Ntfs (19a811ef5f1ed5c926a028ce107ff1af) C:\WINDOWS\system32\drivers\Ntfs.sys
    2010/09/04 17:10:30.0218 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    2010/09/04 17:10:30.0265 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
    2010/09/04 17:10:30.0281 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
    2010/09/04 17:10:30.0359 ohci1394 (0951db8e5823ea366b0e408d71e1ba2a) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
    2010/09/04 17:10:30.0421 Parport (318696359ac7df48d1e51974ec527dd2) C:\WINDOWS\system32\DRIVERS\parport.sys
    2010/09/04 17:10:30.0453 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
    2010/09/04 17:10:30.0500 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
    2010/09/04 17:10:30.0562 PCI (7c5da5c1ed801ad8b0309d5514f0b75e) C:\WINDOWS\system32\DRIVERS\pci.sys
    2010/09/04 17:10:30.0640 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
    2010/09/04 17:10:30.0687 Pcmcia (641da274e163617ea7a33506bc6da8e3) C:\WINDOWS\system32\drivers\Pcmcia.sys
    2010/09/04 17:10:30.0937 Pfc (444f122e68db44c0589227781f3c8b3f) C:\WINDOWS\system32\drivers\pfc.sys
    2010/09/04 17:10:31.0000 PfModNT (0abc514f6606324ce15484d079027798) C:\WINDOWS\system32\drivers\PfModNT.sys
    2010/09/04 17:10:31.0078 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    2010/09/04 17:10:31.0156 Processor (f480712b761e538bc8e44ede60f3a3c3) C:\WINDOWS\system32\DRIVERS\processr.sys
    2010/09/04 17:10:31.0218 Ps2 (bffdb363485501a38f0bca83aec810db) C:\WINDOWS\system32\DRIVERS\PS2.sys
    2010/09/04 17:10:31.0265 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
    2010/09/04 17:10:31.0312 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    2010/09/04 17:10:31.0375 PxHelp20 (1962166e0ceb740704f30fa55ad3d509) C:\WINDOWS\system32\Drivers\PxHelp20.sys
    2010/09/04 17:10:31.0562 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    2010/09/04 17:10:31.0640 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    2010/09/04 17:10:31.0671 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    2010/09/04 17:10:31.0703 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    2010/09/04 17:10:31.0734 Rdbss (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    2010/09/04 17:10:31.0781 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    2010/09/04 17:10:31.0843 RDPWD (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
    2010/09/04 17:10:31.0906 redbook (2cc30b68dd62b73d444a41322cd7fc4c) C:\WINDOWS\system32\DRIVERS\redbook.sys
    2010/09/04 17:10:31.0984 rtl8139 (2ef9c0dc26b30b2318b1fc3faa1f0ae7) C:\WINDOWS\system32\DRIVERS\R8139n51.SYS
    2010/09/04 17:10:32.0046 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    2010/09/04 17:10:32.0109 Serial (653201755ca96ab4aaa4131daf6da356) C:\WINDOWS\system32\drivers\Serial.sys
    2010/09/04 17:10:32.0156 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
    2010/09/04 17:10:32.0265 SONYPVU1 (a1eceeaa5c5e74b2499eb51d38185b84) C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS
    2010/09/04 17:10:32.0359 splitter (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
    2010/09/04 17:10:32.0437 sr (b52181023b827acda36c1b76751ebffd) C:\WINDOWS\system32\DRIVERS\sr.sys
    2010/09/04 17:10:32.0484 Srv (ea554a3ffc3f536fe8320eb38f5e4843) C:\WINDOWS\system32\DRIVERS\srv.sys
    2010/09/04 17:10:32.0546 StillCam (3f669c9fc6411bdbc0155544aa876e46) C:\WINDOWS\system32\DRIVERS\serscan.sys
    2010/09/04 17:10:32.0593 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
    2010/09/04 17:10:32.0625 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
    2010/09/04 17:10:32.0781 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
    2010/09/04 17:10:32.0875 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    2010/09/04 17:10:32.0921 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
    2010/09/04 17:10:32.0968 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
    2010/09/04 17:10:33.0015 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
    2010/09/04 17:10:33.0109 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
    2010/09/04 17:10:33.0187 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
    2010/09/04 17:10:33.0234 usbccgp (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
    2010/09/04 17:10:33.0265 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    2010/09/04 17:10:33.0296 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    2010/09/04 17:10:33.0328 usbohci (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
    2010/09/04 17:10:33.0375 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
    2010/09/04 17:10:33.0421 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    2010/09/04 17:10:33.0468 usbuhci (f8fd1400092e23c8f2f31406ef06167b) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
    2010/09/04 17:10:33.0515 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
    2010/09/04 17:10:33.0562 ViaIde (59cb1338ad3654417bea49636457f65d) C:\WINDOWS\system32\DRIVERS\viaide.sys
    2010/09/04 17:10:33.0609 VolSnap (313b1a0d5db26dfe1c34a6c13b2ce0a7) C:\WINDOWS\system32\drivers\VolSnap.sys
    2010/09/04 17:10:33.0671 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    2010/09/04 17:10:33.0734 wdmaud (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
    2010/09/04 17:10:33.0875 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
    2010/09/04 17:10:33.0953 ================================================================================
    2010/09/04 17:10:33.0953 Scan finished
    2010/09/04 17:10:33.0953 ================================================================================
    2010/09/04 17:10:33.0984 Detected object count: 1
    2010/09/04 17:10:39.0718 Cdaudio (ec3331517684c595384e27d3f0eb79c1) C:\WINDOWS\system32\drivers\Cdaudio.sys
    2010/09/04 17:10:39.0718 Suspicious file (NoAccess): C:\WINDOWS\system32\drivers\Cdaudio.sys. md5: ec3331517684c595384e27d3f0eb79c1
    2010/09/04 17:10:39.0718 C:\WINDOWS\system32\drivers\Cdaudio.sys - quarantined
    2010/09/04 17:10:39.0718 Locked service(Cdaudio) - User select action: Quarantine
    4 Septembre 2010 17:18:22

    bon lors de la 2è action je n'ai pas pu copier la fenêtre car il a directement redémarré. ensuite après cela il disait qu'il y avait un nouveau matériel détecté et qu'il falait encore redémarré (ce qu'il a fait à nouveau automatiquement.)

    Ensuite plus rien de spécial sauf que tjr en mode sans échec.

    4 Septembre 2010 20:12:27

    Ok, dans ce cas est-ce que tu peux refaire un scan avec bootkit_remover voir si c'est mieux ?
    8 Septembre 2010 18:22:16

    Bonjour Omar

    voici (sous compte propriétaire)

    Bootkit Remover
    (c) 2009 eSage Lab
    www.esagelab.com

    Program version: 1.2.0.0
    OS Version: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

    System volume is \\.\C:
    \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000001`be32e000
    Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

    Size Device Name MBR Status
    --------------------------------------------
    149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


    Done;
    Press any key to quit...
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS