Se connecter / S'enregistrer
Votre question

[RESOLU]Tr/Rootkit.Gen

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Avril 2010 14:53:43

Bonjour,

J'ai un petit probleme de Tr/Rootkit.Gen sur mon ordinateur, impossible de les supprimer. Je suis sur winxp sp3, j'ai antivir+Pctool firewall plus+Malwarebytes
Lors d'un premier scan antivir je trouve :

Début de la désinfection :
C:\WINDOWS\system32\drivers\ekvzpvdw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3ec1b6.qua' !
C:\WINDOWS\system32\drivers\hbmkuic.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c35c1ad.qua' !
C:\WINDOWS\system32\drivers\ouojdbk.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c37c1c4.qua' !



J'ai supprimer la quarantaine, re-scan et trouve :

Début de la désinfection :
C:\WINDOWS\system32\drivers\hbmkuic.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c35e895.qua' !
C:\WINDOWS\system32\drivers\mwatfltw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c29e8ac.qua' !


Impossible de les supprimer, ils sont en quarantaine, j'ai passé un coup de Ccleaner :rien
ainsi que MalwareBytes rien non plus: mais mon antivirus à detecter ça pendant le scan
A noter qu'en rebootant windows ne voulait pas demarrer normalement, j'ai du choisir " dernieres bonne config connu"

Logiciel Malveillant detecté:

C:\System Volume Information\_restore{131F561E-53B8-4AB4-AA56-2D56D18147A1}\RP45\A0027126.sys'

C:\System Volume Information\_restore{131F561E-53B8-4AB4-AA56-2D56D18147A1}\RP44\A0026080.sys'

'C:\System Volume Information\_restore{131F561E-53B8-4AB4-AA56-2D56D18147A1}\RP44\A0026071.sys'

->que j'ai supprimer directement


Je laisse un log de Hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:37, on 17/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLAcsd.exe
C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Unlocker2\UnlockerAssistant.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\AOL\1254583293\ee\AOLSoftware.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\notepad.exe
D:\Downloads\hijackthis-2.0.2.75917.exe
C:\DOCUME~1\***\LOCALS~1\Temp\hijackthis-2.0.2.75917.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker2\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1254583293\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real Alternative\mpclauncher.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Fichiers communs\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE (file missing)
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Documents and Settings\***\Local Settings\Temp\{2EDA189F-C58D-428C-BE50-B6DDFD74302C}\NMSAccessU.exe (file missing)
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7887 bytes


Merci du coup de pouce

Autres pages sur : resolu rootkit gen

a c 268 8 Sécurité
17 Avril 2010 15:04:54

Bonjour,

[#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    17 Avril 2010 15:36:10

    Merci pour la rapidité de ta réponse
    Voici le rapport:

    ComboFix 10-04-15.05 - ***17/04/2010 15:14:53.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.767.125 [GMT 2:00]
    Lancé depuis: d:\downloads\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: PC Tools Firewall Plus *disabled* {ABBD5028-5A95-4B6D-996E-98D64AE88D52}
    FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\recycler\S-1-5-21-1229272821-1078145449-839522115-1003(2)
    c:\windows\system32\xa.tmp

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-17 au 2010-04-17 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-17 13:06 . 2010-04-17 13:06 -------- d-----w- c:\windows\LastGood
    2010-04-17 12:33 . 2010-04-17 13:20 586240 ----a-w- c:\windows\system32\drivers\nuvvrmoe.sys
    2010-04-16 21:40 . 2010-04-16 22:02 -------- d-----w- C:\SDFix
    2010-04-13 19:33 . 2010-04-13 19:33 5918776 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-04-13 18:12 . 2010-04-13 18:12 443912 ----a-w- c:\documents and settings\***\Application Data\Real\Update\setup3.10\setup.exe
    2010-03-30 17:07 . 2010-03-30 17:07 -------- d-----w- c:\program files\Fichiers communs\NSV
    2010-03-29 15:07 . 2010-03-29 15:07 10134 ----a-r- c:\documents and settings\***\Application Data\Microsoft\Installer\{2A425503-3D15-BE66-8781-3D153AF1F8A9}\ARPPRODUCTICON.exe
    2010-03-29 15:07 . 2010-03-29 15:07 10134 ----a-r- c:\documents and settings\***\Application Data\Microsoft\Installer\{C02EDE17-BC2E-4393-70BD-36185ABEBFF7}\ARPPRODUCTICON.exe
    2010-03-29 15:06 . 2010-03-29 15:06 10134 ----a-r- c:\documents and settings\***\Application Data\Microsoft\Installer\{18063128-B9E1-AFAE-B7DD-2C313D2C375B}\ARPPRODUCTICON.exe
    2010-03-29 15:06 . 2007-03-22 19:05 520192 ------w- c:\windows\system32\ati2sgag.exe
    2010-03-29 14:58 . 2010-03-29 14:58 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-03-27 00:44 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
    2010-03-27 00:44 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
    2010-03-27 00:44 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
    2010-03-27 00:44 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
    2010-03-27 00:14 . 2010-03-28 15:15 -------- d-----w- c:\documents and settings\***\Local Settings\Application Data\SecondLife
    2010-03-27 00:14 . 2010-03-27 00:15 -------- d-----w- c:\documents and settings\***\Application Data\SecondLife

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-17 13:20 . 2010-02-25 22:17 802304 ----a-w- c:\windows\system32\drivers\hbmkuic.sys
    2010-04-17 13:11 . 2004-08-05 12:00 72728 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-17 13:11 . 2004-08-05 12:00 464034 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-17 13:06 . 2009-04-14 19:53 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2010-04-17 12:57 . 2010-04-17 13:04 186900 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1036.dat
    2010-04-16 23:43 . 2009-11-14 11:10 -------- d-----w- c:\documents and settings\***\Application Data\Winamp
    2010-04-16 20:30 . 2009-04-14 20:44 -------- d-----w- c:\documents and settings\***\Application Data\Free Download Manager
    2010-04-13 19:34 . 2010-02-26 14:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-03-29 22:46 . 2010-02-26 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-03-29 22:45 . 2010-02-26 14:38 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-03-29 15:08 . 2009-06-16 16:35 -------- d-----w- c:\program files\ATI Technologies
    2010-03-28 18:44 . 2008-07-23 20:31 54512 ----a-w- c:\documents and settings\***\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-03-28 15:23 . 2009-11-13 13:24 -------- d-----w- c:\program files\ma-config.com
    2010-03-28 15:23 . 2009-11-13 13:24 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
    2010-03-26 23:20 . 2009-10-03 14:07 -------- d-----w- c:\program files\Pando Networks
    2010-03-21 01:08 . 2010-03-21 01:08 8980180 ----a-w- c:\documents and settings\***\Lili Haydn - Unfolding Grace- Live at MBar.tmp
    2010-03-19 18:08 . 2009-04-24 15:22 -------- d-----w- c:\documents and settings\All Users\Application Data\AOL
    2010-03-19 18:07 . 2009-10-03 15:21 -------- d-----w- c:\program files\Fichiers communs\aol
    2010-03-04 19:37 . 2008-07-18 14:01 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-02-27 21:16 . 2010-02-26 14:39 -------- d-----w- c:\program files\PC Tools Firewall Plus
    2010-02-26 14:51 . 2010-02-26 14:33 -------- d-----w- c:\program files\Spyware Doctor
    2010-02-26 14:49 . 2010-02-26 14:48 -------- d-----w- c:\documents and settings\***\Application Data\PCToolsFirewallPlus
    2010-02-26 14:39 . 2010-02-26 14:39 -------- d-----w- c:\documents and settings\***\Application Data\Malwarebytes
    2010-02-26 14:38 . 2010-02-26 14:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-02-26 14:36 . 2010-02-26 14:33 -------- d-----w- c:\program files\Fichiers communs\PC Tools
    2010-02-26 14:33 . 2010-02-26 14:33 -------- d-----w- c:\documents and settings\***\Application Data\PC Tools
    2010-02-26 14:33 . 2010-02-26 14:33 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
    2010-02-26 14:01 . 2008-07-18 13:59 23032 ----a-w- c:\windows\system32\emptyregdb.dat
    2010-02-25 22:16 . 2010-02-25 22:16 16 ----a-w- c:\documents and settings\NetworkService\Application Data\rbuwzv.dat
    2010-02-12 10:03 . 2010-03-04 20:25 293376 ------w- c:\windows\system32\browserchoice.exe
    2010-02-05 08:25 . 2010-02-26 14:33 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
    2010-02-05 08:17 . 2010-02-26 14:33 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
    2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
    "Steam"="e:\steam\steam.exe" [2010-02-20 1217872]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
    "UnlockerAssistant"="c:\program files\Unlocker2\UnlockerAssistant.exe" [2006-09-07 15872]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
    "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
    "HostManager"="c:\program files\Fichiers communs\AOL\1254583293\ee\AOLSoftware.exe" [2008-06-24 41824]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "RealTray"="c:\program files\Real Alternative\mpclauncher.exe" [2008-03-13 685056]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-12-08 198160]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "00PCTFW"="c:\program files\PC Tools Firewall Plus\FirewallGUI.exe" [2010-01-12 3168216]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - d:\microsoft office 2000\Office\OSA9.EXE [1999-2-17 65588]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\uTorrent\\utorrent.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\acs\\AOLDial.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\acs\\AOLacsd.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\Loader\\aolload.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\System Information\\sinf.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\1254583293\\ee\\aolsoftware.exe"=
    "e:\\AOL 9.1\\waol.exe"=
    "c:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=
    "e:\\Program Files\\Pro Evolution Soccer 2010\\pes2010.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "57956:TCP"= 57956:TCP:p ando Media Booster
    "57956:UDP"= 57956:UDP:p ando Media Booster

    R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [26/02/2010 16:33 207792]
    R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [26/02/2010 16:33 233136]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [28/01/2010 19:00 108289]
    R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [26/02/2010 16:35 112592]
    R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [26/02/2010 16:33 88040]
    R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [16/12/2008 08:47 33792]
    R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [26/02/2010 16:39 70664]
    R3 pctNDIS;PC Tools Driver;c:\windows\system32\drivers\pctNdis.sys [26/02/2010 16:39 58816]
    R3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [26/02/2010 16:39 115216]
    S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18/10/2009 21:46 721904]
    S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [26/08/2003 16:18 58368]
    S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [26/08/2003 16:18 541184]
    S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver;c:\windows\system32\drivers\CnxTgN.sys [26/08/2003 16:18 108260]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/01/2010 17:45 243056]
    S3 ntkvpn;Loki VPN Driver Service;c:\windows\system32\DRIVERS\ntkvpn.sys --> c:\windows\system32\DRIVERS\ntkvpn.sys [?]
    S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [26/02/2010 16:33 365280]
    S3 XDva168;XDva168;\??\c:\windows\system32\XDva168.sys --> c:\windows\system32\XDva168.sys [?]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - NUVVRMOE
    *Deregistered* - hbmkuic
    *Deregistered* - nuvvrmoe
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.aol.com/
    uInternet Settings,ProxyOverride = local
    IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
    IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
    IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
    IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
    LSP: c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll
    Trusted Zone: localhost
    FF - ProfilePath - c:\documents and settings\***\Application Data\Mozilla\Firefox\Profiles\q3zva8fi.default\
    FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
    FF - plugin: c:\documents and settings\All Users\Application Data\NexonUS\NGM\npNxGameUS.dll
    FF - plugin: c:\program files\DivX33\DivX Player\npDivxPlayerPlugin.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npunagi2.dll
    FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    WebBrowser-{C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - (no file)



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-17 15:20
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet007\Services\hbmkuic]

    --

    [HKEY_LOCAL_MACHINE\System\ControlSet007\Services\nuvvrmoe]

    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(980)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'lsass.exe'(1036)
    c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll
    .
    Heure de fin: 2010-04-17 15:22:38
    ComboFix-quarantined-files.txt 2010-04-17 13:22

    Avant-CF: 3 505 557 504 octets libres
    Après-CF: 3 562 008 576 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
    - - End Of File - - 704BFED7E750E433C08E12E5BD9D0C7D



    Je précise qu'en réactivant mon firewall , PC tool m'a "ecris " application inconnu tente d"'acceder à internet", j'ai refusé et du coup impossible de me connecter, j'ai du désactiver le firewall pour poster ce message.
    Contenus similaires
    a c 268 8 Sécurité
    17 Avril 2010 15:57:01

    /!\ Seul yahn_86 peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    Driver::
    XDva168

    File::
    C:\WINDOWS\system32\drivers\ekvzpvdw.sys
    C:\WINDOWS\system32\drivers\ouojdbk.sys
    C:\WINDOWS\system32\drivers\hbmkuic.sys
    C:\WINDOWS\system32\drivers\mwatfltw.sys
    c:\windows\system32\drivers\nuvvrmoe.sys

    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet007\Services\hbmkuic]
    [-HKEY_LOCAL_MACHINE\System\ControlSet007\Services\nuvvrmoe]

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    17 Avril 2010 17:56:46

    Voilà,


    ComboFix 10-04-15.05 - *** 17/04/2010 16:42:51.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.767.265 [GMT 2:00]
    Lancé depuis: d:\downloads\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\***\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: PC Tools Firewall Plus *disabled* {ABBD5028-5A95-4B6D-996E-98D64AE88D52}
    FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

    FILE ::
    "c:\windows\system32\drivers\ekvzpvdw.sys"
    "c:\windows\system32\drivers\hbmkuic.sys"
    "c:\windows\system32\drivers\mwatfltw.sys"
    "c:\windows\system32\drivers\nuvvrmoe.sys"
    "c:\windows\system32\drivers\ouojdbk.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\drivers\hbmkuic.sys
    c:\windows\system32\drivers\nuvvrmoe.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_XDVA168
    -------\Service_XDva168
    -------\Legacy_hbmkuic
    -------\Legacy_nuvvrmoe
    -------\Service_hbmkuic
    -------\Service_nuvvrmoe


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-17 au 2010-04-17 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-16 21:40 . 2010-04-16 22:02 -------- d-----w- C:\SDFix
    2010-04-13 19:33 . 2010-04-13 19:33 5918776 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-04-13 18:12 . 2010-04-13 18:12 443912 ----a-w- c:\documents and settings\***\Application Data\Real\Update\setup3.10\setup.exe
    2010-03-30 17:07 . 2010-03-30 17:07 -------- d-----w- c:\program files\Fichiers communs\NSV
    2010-03-29 15:07 . 2010-03-29 15:07 10134 ----a-r- c:\documents and settings\***\Application Data\Microsoft\Installer\{2A425503-3D15-BE66-8781-3D153AF1F8A9}\ARPPRODUCTICON.exe
    2010-03-29 15:07 . 2010-03-29 15:07 10134 ----a-r- c:\documents and settings\***\Application Data\Microsoft\Installer\{C02EDE17-BC2E-4393-70BD-36185ABEBFF7}\ARPPRODUCTICON.exe
    2010-03-29 15:06 . 2010-03-29 15:06 10134 ----a-r- c:\documents and settings\***\Application Data\Microsoft\Installer\{18063128-B9E1-AFAE-B7DD-2C313D2C375B}\ARPPRODUCTICON.exe
    2010-03-29 15:06 . 2007-03-22 19:05 520192 ------w- c:\windows\system32\ati2sgag.exe
    2010-03-29 14:58 . 2010-03-29 14:58 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-03-27 00:44 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
    2010-03-27 00:44 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
    2010-03-27 00:44 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
    2010-03-27 00:44 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
    2010-03-27 00:14 . 2010-03-28 15:15 -------- d-----w- c:\documents and settings\***\Local Settings\Application Data\SecondLife
    2010-03-27 00:14 . 2010-03-27 00:15 -------- d-----w- c:\documents and settings\***\Application Data\SecondLife

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-17 15:46 . 2009-04-14 19:53 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2010-04-17 13:11 . 2004-08-05 12:00 72728 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-17 13:11 . 2004-08-05 12:00 464034 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-17 12:57 . 2010-04-17 13:04 186900 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1036.dat
    2010-04-16 23:43 . 2009-11-14 11:10 -------- d-----w- c:\documents and settings\***\Application Data\Winamp
    2010-04-16 20:30 . 2009-04-14 20:44 -------- d-----w- c:\documents and settings\***\Application Data\Free Download Manager
    2010-04-13 19:34 . 2010-02-26 14:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-03-29 22:46 . 2010-02-26 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-03-29 22:45 . 2010-02-26 14:38 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-03-29 15:08 . 2009-06-16 16:35 -------- d-----w- c:\program files\ATI Technologies
    2010-03-28 18:44 . 2008-07-23 20:31 54512 ----a-w- c:\documents and settings\***\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-03-28 15:23 . 2009-11-13 13:24 -------- d-----w- c:\program files\ma-config.com
    2010-03-28 15:23 . 2009-11-13 13:24 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
    2010-03-26 23:20 . 2009-10-03 14:07 -------- d-----w- c:\program files\Pando Networks
    2010-03-21 01:08 . 2010-03-21 01:08 8980180 ----a-w- c:\documents and settings\***\Lili Haydn - Unfolding Grace- Live at MBar.tmp
    2010-03-19 18:08 . 2009-04-24 15:22 -------- d-----w- c:\documents and settings\All Users\Application Data\AOL
    2010-03-19 18:07 . 2009-10-03 15:21 -------- d-----w- c:\program files\Fichiers communs\aol
    2010-03-04 19:37 . 2008-07-18 14:01 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-02-27 21:16 . 2010-02-26 14:39 -------- d-----w- c:\program files\PC Tools Firewall Plus
    2010-02-26 14:51 . 2010-02-26 14:33 -------- d-----w- c:\program files\Spyware Doctor
    2010-02-26 14:49 . 2010-02-26 14:48 -------- d-----w- c:\documents and settings\***\Application Data\PCToolsFirewallPlus
    2010-02-26 14:39 . 2010-02-26 14:39 -------- d-----w- c:\documents and settings\***\Application Data\Malwarebytes
    2010-02-26 14:38 . 2010-02-26 14:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-02-26 14:36 . 2010-02-26 14:33 -------- d-----w- c:\program files\Fichiers communs\PC Tools
    2010-02-26 14:33 . 2010-02-26 14:33 -------- d-----w- c:\documents and settings\***\Application Data\PC Tools
    2010-02-26 14:33 . 2010-02-26 14:33 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
    2010-02-26 14:01 . 2008-07-18 13:59 23032 ----a-w- c:\windows\system32\emptyregdb.dat
    2010-02-25 22:16 . 2010-02-25 22:16 16 ----a-w- c:\documents and settings\NetworkService\Application Data\rbuwzv.dat
    2010-02-12 10:03 . 2010-03-04 20:25 293376 ------w- c:\windows\system32\browserchoice.exe
    2010-02-05 08:25 . 2010-02-26 14:33 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
    2010-02-05 08:17 . 2010-02-26 14:33 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
    2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
    "Steam"="e:\steam\steam.exe" [2010-02-20 1217872]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
    "UnlockerAssistant"="c:\program files\Unlocker2\UnlockerAssistant.exe" [2006-09-07 15872]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
    "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
    "HostManager"="c:\program files\Fichiers communs\AOL\1254583293\ee\AOLSoftware.exe" [2008-06-24 41824]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "RealTray"="c:\program files\Real Alternative\mpclauncher.exe" [2008-03-13 685056]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-12-08 198160]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "00PCTFW"="c:\program files\PC Tools Firewall Plus\FirewallGUI.exe" [2010-01-12 3168216]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - d:\microsoft office 2000\Office\OSA9.EXE [1999-2-17 65588]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\uTorrent\\utorrent.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\acs\\AOLDial.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\acs\\AOLacsd.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\Loader\\aolload.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\System Information\\sinf.exe"=
    "c:\\Program Files\\Fichiers communs\\aol\\1254583293\\ee\\aolsoftware.exe"=
    "e:\\AOL 9.1\\waol.exe"=
    "c:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=
    "e:\\Program Files\\Pro Evolution Soccer 2010\\pes2010.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "57956:TCP"= 57956:TCP:p ando Media Booster
    "57956:UDP"= 57956:UDP:p ando Media Booster

    R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [26/02/2010 16:33 207792]
    R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [26/02/2010 16:33 233136]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [28/01/2010 19:00 108289]
    R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [26/02/2010 16:35 112592]
    R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [26/02/2010 16:33 88040]
    R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [16/12/2008 08:47 33792]
    R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [26/02/2010 16:39 70664]
    R3 pctNDIS;PC Tools Driver;c:\windows\system32\drivers\pctNdis.sys [26/02/2010 16:39 58816]
    R3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [26/02/2010 16:39 115216]
    S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18/10/2009 21:46 721904]
    S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [26/08/2003 16:18 58368]
    S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [26/08/2003 16:18 541184]
    S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver;c:\windows\system32\drivers\CnxTgN.sys [26/08/2003 16:18 108260]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/01/2010 17:45 243056]
    S3 ntkvpn;Loki VPN Driver Service;c:\windows\system32\DRIVERS\ntkvpn.sys --> c:\windows\system32\DRIVERS\ntkvpn.sys [?]
    S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [26/02/2010 16:33 365280]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.aol.com/
    uInternet Settings,ProxyOverride = local
    IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
    IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
    IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
    IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
    LSP: c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll
    Trusted Zone: localhost
    FF - ProfilePath - c:\documents and settings\***\Application Data\Mozilla\Firefox\Profiles\q3zva8fi.default\
    FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
    FF - plugin: c:\documents and settings\All Users\Application Data\NexonUS\NGM\npNxGameUS.dll
    FF - plugin: c:\program files\DivX33\DivX Player\npDivxPlayerPlugin.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npunagi2.dll
    FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-17 17:44
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(968)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'lsass.exe'(1024)
    c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll

    - - - - - - - > 'explorer.exe'(2400)
    c:\program files\Unlocker2\UnlockerHook.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\AOL\ACS\AOLAcsd.exe
    c:\program files\PC Tools Firewall Plus\FWService.exe
    c:\program files\Analog Devices\SoundMAX\SMAgent.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\wscntfy.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-04-17 17:50:24 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-04-17 15:50
    ComboFix2.txt 2010-04-17 13:22

    Avant-CF: 3 559 940 096 octets libres
    Après-CF: 3 428 560 896 octets libres

    Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
    - - End Of File - - ED876E6224AD438B9EEE054869087348
    a c 268 8 Sécurité
    17 Avril 2010 18:04:02

  • Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    17 Avril 2010 18:16:32

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4001

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    17/04/2010 18:14:17
    mbam-log-2010-04-17 (18-14-17).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 110322
    Temps écoulé: 5 minute(s), 57 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


    Sinon j'ai toujours mwatfltw.sys et hbmkuic.sys en quarantaine sous antivir
    *Edit* je viens de les supprimer sans problème, j'attend ta réponse mais mon soucis semble etre résolu. Au passage si tu pouvais m'expliquer de quel manière j'ai pu me retrouver avec ça, mon petit cousin utilise l'ordinateur pour jouer en réseau, est-ce que ça peut comporter des risques ?
    a c 268 8 Sécurité
    17 Avril 2010 18:43:52

    Je ne pourrais pas te dire.

    Il joue à quels jeux ?
    17 Avril 2010 19:15:06



    Petite frayeur, j'ai redémarré , et j'ai eu un message d'erreur qui parle du noyau et d'un dll, impossible de lancer xp, j'ai fais un tour dans windows recovery ( qui n'y était pas auparavant )1. C:/windows, je ressort et ça remarche . :??: 

    Sinon il joue à des jeux sur steam , et second life aussi je crois .

    Bon sinon merci beaucoup de ton aide ;) 
    a c 268 8 Sécurité
    17 Avril 2010 23:44:47

    Oui, c'est la console de récupération.

    Les infections ne viennent pas de ces jeux.

    Plus de souci ?
    18 Avril 2010 02:08:34

    A priori ça à l'air d'aller, je referais un scan complet avec Antivir demain si j'ai le temps, et si tout va bien j'indiquerai [RESOLU].
    Merci encore pour le coup de main c'est cool, d'autant que visiblement vous avez pas mal de demande, bon courage, on apprécie ;) 
    18 Avril 2010 19:20:08

    J'etais absent et Antivir à détecter ça : c'est pas la permiere fois que c'est localisé içi.

    Dans le fichier 'C:\System Volume Information\_restore{131F561E-53B8-4AB4-AA56-2D56D18147A1}\RP46\A0027415.sys'
    un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.

    Je viens de lancer un scan complet.

    a c 268 8 Sécurité
    18 Avril 2010 19:22:06

    1/

  • Télécharge ToolsCleaner2 sur ton Bureau.
  • Double-clique sur ToolsCleaner2.exe pour le lancer.
  • Clique sur Recherche et laisse le scan agir.
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options Facultatives.
  • Clique sur Quitter pour obtenir le rapport.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Prévention==

    Pour supprimer les popups d'AntiVir : Lien

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Propriétés, onglet Mises à jour automatiques).

    Par rapport au P2P : Lien

    Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    Sois plus vigilant(e) sur Internet ;) 
    18 Avril 2010 20:10:35

    Scan rapide de C:

    Début de la désinfection :
    C:\System Volume Information\_restore{131F561E-53B8-4AB4-AA56-2D56D18147A1}\RP46\A0027415.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfb4a1e.qua' !
    C:\System Volume Information\_restore{131F561E-53B8-4AB4-AA56-2D56D18147A1}\RP46\A0027416.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a7a2497.qua' !

    -> suppression de la quarantaine


    rapport tool cleaner:

    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\Combofix.txt: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\***\Bureau\HijackThis.lnk: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
    C:\WINDOWS\msnfix.txt: trouvé !

    ---------------------------------
    --> Suppression:

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
    C:\Documents and Settings\***\Bureau\HijackThis.lnk: supprimé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\Combofix.txt: supprimé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
    C:\WINDOWS\msnfix.txt: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !


    CCleaner : c'est fait
    Restauration systeme : c'est fait
    a c 268 8 Sécurité
    18 Avril 2010 20:12:13

    Tu peux supprimer ToolsCleaner ;) 
    18 Avril 2010 20:20:23

    J'attends 24heures le temps de faire un scan complet pour voir si tout se passe bien, si ça roul je clos le topic.
    Merci de ton aide Destrio5.
    Bonne soirée
    22 Avril 2010 19:20:15

    Tout est rentré dans l'ordre ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS