Votre question

[Résolu] TR/Rootkit.Gen

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Mars 2010 00:48:01

Bonjour,
suite à un scan de l'ordinateur, mon antivirus ANTIVIR m'a trouvé ce trojan : TR/Rootkit.Gen

voici le rapport en totalité :
Le fichier 'C:\Windows\System32\drivers\ypfelwhs.sys'
contenait un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan].
Action(s) exécutée(s) :
Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004.
Impossible de trouver le fichier source.
Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
Erreur dans la bibliothèque ARK.
Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.


Pouvez vous m'aider ?

Autres pages sur : resolu rootkit gen

a c 295 8 Sécurité
25 Mars 2010 03:12:45

Bonjour,

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
  • Coche également les cases à côté de LOP Check et Purity Check.
  • Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    Contenus similaires
    a c 295 8 Sécurité
    25 Mars 2010 03:59:40

  • Désactive l'UAC le temps de la désinfection.

    [#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    25 Mars 2010 04:37:24

    voici le rapport de combofix :

    ComboFix 10-03-24.02 - coco 24/03/2010 23:18:35.1.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1917.1028 [GMT -4:00]
    Lancé depuis: c:\users\coco\Desktop\ComboFix.exe
    SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\$recycle.bin\S-1-5-21-1387363983-3945412261-1115233042-500
    c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
    c:\$recycle.bin\S-1-5-21-3493929494-3608823038-4053581583-500
    c:\$recycle.bin\S-1-5-21-459821738-3338864655-2927445941-500

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-25 au 2010-03-25 ))))))))))))))))))))))))))))))))))))
    .

    2010-03-11 07:00 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2010-03-11 07:00 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
    2010-03-11 07:00 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys
    2010-03-04 23:04 . 2010-03-04 23:04 -------- d-----w- c:\programdata\Adobe Systems
    2010-03-04 22:57 . 2010-03-04 22:57 -------- d-----w- c:\program files\Common Files\Adobe Systems Shared
    2010-03-01 22:23 . 2010-03-01 22:23 -------- d-----w- c:\program files\AIDA32 - Personal System Information
    2010-02-24 14:25 . 2010-01-06 15:39 1696256 ----a-w- c:\windows\system32\gameux.dll
    2010-02-24 14:24 . 2010-01-06 15:38 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
    2010-02-24 14:24 . 2010-01-06 13:30 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
    2010-02-24 14:24 . 2010-01-23 09:26 2048 ----a-w- c:\windows\system32\tzres.dll
    2010-02-24 14:24 . 2010-01-25 12:00 471552 ----a-w- c:\windows\system32\secproc_isv.dll
    2010-02-24 14:24 . 2010-01-25 12:00 471552 ----a-w- c:\windows\system32\secproc.dll
    2010-02-24 14:24 . 2010-01-25 08:21 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
    2010-02-24 14:24 . 2010-01-25 08:21 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
    2010-02-24 14:24 . 2010-01-25 08:21 518144 ----a-w- c:\windows\system32\RMActivate.exe
    2010-02-24 14:24 . 2010-01-25 08:21 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
    2010-02-24 14:24 . 2010-01-25 12:00 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
    2010-02-24 14:24 . 2010-01-25 12:00 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
    2010-02-24 14:24 . 2010-01-25 11:58 332288 ----a-w- c:\windows\system32\msdrm.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-03-25 03:13 . 2008-02-17 20:44 -------- d-----w- c:\program files\Mozilla Firefox 3 Beta 3
    2010-03-24 22:48 . 2008-04-08 16:40 -------- d-----w- c:\users\coco\AppData\Roaming\OpenOffice.org2
    2010-03-24 22:38 . 2008-04-08 16:41 1 ----a-w- c:\users\coco\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
    2010-03-24 14:47 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-24 14:47 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-24 04:33 . 2008-02-18 20:36 -------- d-----w- c:\users\coco\AppData\Roaming\XnView
    2010-03-11 07:10 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-03-05 03:05 . 2008-02-16 15:31 82648 ----a-w- c:\users\coco\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-03-05 00:44 . 2008-02-19 13:54 -------- d-----w- c:\program files\Common Files\Adobe
    2010-03-05 00:39 . 2007-08-29 10:43 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-03-04 23:29 . 2007-08-29 10:41 -------- d-----w- c:\program files\Java
    2010-03-04 23:15 . 2007-08-29 11:53 -------- d-----w- c:\program files\Common Files\Symantec Shared
    2010-02-24 14:16 . 2009-10-03 14:13 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-09 13:53 . 2008-02-17 21:51 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-02-07 15:31 . 2008-10-05 21:37 -------- d-----w- c:\program files\a-squared Free
    2010-01-31 14:16 . 2008-02-22 14:55 -------- d-----w- c:\users\coco\AppData\Roaming\FileZilla
    2010-01-10 02:33 . 2009-08-02 16:45 5115824 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-01-07 20:07 . 2009-04-19 17:11 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-07 20:07 . 2009-04-19 17:11 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-06 15:38 . 2010-02-24 14:24 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
    2010-01-06 15:38 . 2010-02-24 14:24 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
    2010-01-06 15:38 . 2010-02-24 14:24 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
    2010-01-06 15:38 . 2010-02-24 14:24 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HWSetup"="\HWSetup.exe hwSetUP" [X]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
    "Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-05-22 413696]
    "TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 411192]
    "HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416]
    "SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2007-04-03 509496]
    "00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 538744]
    "KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
    "SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
    "NDSTray.exe"="NDSTray.exe" [BU]
    "topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 4702208]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-20 1451304]
    "Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-05-04 571024]
    "Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
    "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-07-27 204800]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-10-03 39792]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "QuickTime Task"="c:\program files\VistaCodecPack\QT\QTTask.exe" [2009-09-05 417792]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-29 141600]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

    c:\users\coco\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKLM\~\startupfolder\C:^Users^coco^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk]
    path=c:\users\coco\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk
    backup=c:\windows\pss\OpenOffice.org 2.4.lnk.Startup
    backupExtension=.Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2009-10-03 09:45 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Desktop SMS]
    2007-06-18 08:51 1507328 ----a-w- c:\program files\IDM\Desktop SMS\DesktopSMS.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\filehippo.com]
    2008-07-03 17:08 137216 ----a-w- c:\program files\filehippo.com\UpdateChecker.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2009-10-29 00:21 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2009-09-05 05:54 417792 ----a-w- c:\program files\VistaCodecPack\QT\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    2009-03-05 20:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):f1,e7,6d,35,90,52,ca,01

    R3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys [x]
    S0 CplIR;Embedded IR Driver;c:\windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848]
    S2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [2009-10-31 1858144]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-10-03 108289]
    S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2008-08-14 809296]


    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - ypfelwhs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/709-44555-9400-3/4
    IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.fr/exec/obidos/redirect-home?tag=Tosh...
    FF - ProfilePath - c:\users\coco\AppData\Roaming\Mozilla\Firefox\Profiles\hx4jt5kt.default\
    FF - prefs.js: browser.search.selectedEngine - ecofree.org - France
    FF - component: c:\program files\Mozilla Firefox 3 Beta 3\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
    FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
    FF - plugin: c:\program files\Mozilla Firefox 3 Beta 3\plugins\np-mswmp.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin2.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin3.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin4.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin5.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin6.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin7.dll
    FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: c:\users\coco\AppData\Roaming\Mozilla\Firefox\Profiles\hx4jt5kt.default\extensions\LogMeInClient@logmein.com\plugins\npRACtrl.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox 3 Beta 3\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox 3 Beta 3\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox 3 Beta 3\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox 3 Beta 3\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-03-24 23:28
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ypfelwhs]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    Heure de fin: 2010-03-24 23:33:19
    ComboFix-quarantined-files.txt 2010-03-25 03:33

    Avant-CF: 32 468 811 776 octets libres
    Après-CF: 32 407 187 456 octets libres

    Current=1 Default=1 Failed=0 LastKnownGood=14 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14
    - - End Of File - - AE37B4B258C019797FFCD3AEE0559F14
    a c 295 8 Sécurité
    25 Mars 2010 04:48:45

    /!\ Seul bigupcoco peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    File::
    C:\Windows\System32\drivers\ypfelwhs.sys

    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ypfelwhs]

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    26 Mars 2010 22:38:17

    suite à la manip, voici le compte rendu de l'analyse :

    ComboFix 10-03-26.02 - coco 26/03/2010 17:08:16.2.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1917.1123 [GMT -4:00]
    Lancé depuis: c:\users\coco\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\coco\Desktop\CFScript.txt
    SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

    FILE ::
    "c:\windows\System32\drivers\ypfelwhs.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\System32\drivers\ypfelwhs.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_ypfelwhs
    -------\Service_ypfelwhs


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-26 au 2010-03-26 ))))))))))))))))))))))))))))))))))))
    .

    2010-03-26 21:20 . 2010-03-26 21:26 -------- d-----w- c:\users\coco\AppData\Local\temp
    2010-03-26 21:20 . 2010-03-26 21:20 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-03-11 07:00 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2010-03-11 07:00 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
    2010-03-11 07:00 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys
    2010-03-04 23:04 . 2010-03-04 23:04 -------- d-----w- c:\programdata\Adobe Systems
    2010-03-04 22:57 . 2010-03-04 22:57 -------- d-----w- c:\program files\Common Files\Adobe Systems Shared
    2010-03-01 22:23 . 2010-03-01 22:23 -------- d-----w- c:\program files\AIDA32 - Personal System Information

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-03-26 19:37 . 2008-04-08 16:41 1 ----a-w- c:\users\coco\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
    2010-03-26 19:37 . 2008-04-08 16:40 -------- d-----w- c:\users\coco\AppData\Roaming\OpenOffice.org2
    2010-03-25 03:34 . 2008-02-17 20:44 -------- d-----w- c:\program files\Mozilla Firefox 3 Beta 3
    2010-03-24 14:47 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-24 14:47 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-24 04:33 . 2008-02-18 20:36 -------- d-----w- c:\users\coco\AppData\Roaming\XnView
    2010-03-11 07:10 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-03-05 03:05 . 2008-02-16 15:31 82648 ----a-w- c:\users\coco\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-03-05 00:44 . 2008-02-19 13:54 -------- d-----w- c:\program files\Common Files\Adobe
    2010-03-05 00:39 . 2007-08-29 10:43 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-03-04 23:29 . 2007-08-29 10:41 -------- d-----w- c:\program files\Java
    2010-03-04 23:15 . 2007-08-29 11:53 -------- d-----w- c:\program files\Common Files\Symantec Shared
    2010-02-24 14:16 . 2009-10-03 14:13 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-09 13:53 . 2008-02-17 21:51 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-02-07 15:31 . 2008-10-05 21:37 -------- d-----w- c:\program files\a-squared Free
    2010-01-31 14:16 . 2008-02-22 14:55 -------- d-----w- c:\users\coco\AppData\Roaming\FileZilla
    2010-01-25 12:00 . 2010-02-24 14:24 471552 ----a-w- c:\windows\system32\secproc_isv.dll
    2010-01-25 12:00 . 2010-02-24 14:24 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
    2010-01-25 12:00 . 2010-02-24 14:24 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
    2010-01-25 12:00 . 2010-02-24 14:24 471552 ----a-w- c:\windows\system32\secproc.dll
    2010-01-25 11:58 . 2010-02-24 14:24 332288 ----a-w- c:\windows\system32\msdrm.dll
    2010-01-25 08:21 . 2010-02-24 14:24 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
    2010-01-25 08:21 . 2010-02-24 14:24 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
    2010-01-25 08:21 . 2010-02-24 14:24 518144 ----a-w- c:\windows\system32\RMActivate.exe
    2010-01-25 08:21 . 2010-02-24 14:24 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
    2010-01-23 09:26 . 2010-02-24 14:24 2048 ----a-w- c:\windows\system32\tzres.dll
    2010-01-10 02:33 . 2009-08-02 16:45 5115824 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-01-07 20:07 . 2009-04-19 17:11 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-07 20:07 . 2009-04-19 17:11 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-06 15:39 . 2010-02-24 14:25 1696256 ----a-w- c:\windows\system32\gameux.dll
    2010-01-06 15:38 . 2010-02-24 14:24 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
    2010-01-06 13:30 . 2010-02-24 14:24 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HWSetup"="\HWSetup.exe hwSetUP" [X]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
    "Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-05-22 413696]
    "TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 411192]
    "HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416]
    "SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2007-04-03 509496]
    "00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 538744]
    "KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
    "SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
    "NDSTray.exe"="NDSTray.exe" [BU]
    "topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 4702208]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-20 1451304]
    "Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-05-04 571024]
    "Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
    "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-07-27 204800]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-10-03 39792]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "QuickTime Task"="c:\program files\VistaCodecPack\QT\QTTask.exe" [2009-09-05 417792]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-29 141600]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

    c:\users\coco\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKLM\~\startupfolder\C:^Users^coco^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk]
    path=c:\users\coco\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk
    backup=c:\windows\pss\OpenOffice.org 2.4.lnk.Startup
    backupExtension=.Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2009-10-03 09:45 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Desktop SMS]
    2007-06-18 08:51 1507328 ----a-w- c:\program files\IDM\Desktop SMS\DesktopSMS.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\filehippo.com]
    2008-07-03 17:08 137216 ----a-w- c:\program files\filehippo.com\UpdateChecker.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2009-10-29 00:21 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2009-09-05 05:54 417792 ----a-w- c:\program files\VistaCodecPack\QT\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    2009-03-05 20:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):f1,e7,6d,35,90,52,ca,01

    R3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys [x]
    S0 CplIR;Embedded IR Driver;c:\windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848]
    S2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [2009-10-31 1858144]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-10-03 108289]
    S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2008-08-14 809296]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/709-44555-9400-3/4
    IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.fr/exec/obidos/redirect-home?tag=Tosh...
    FF - ProfilePath - c:\users\coco\AppData\Roaming\Mozilla\Firefox\Profiles\hx4jt5kt.default\
    FF - prefs.js: browser.search.selectedEngine - ecofree.org - France
    FF - component: c:\program files\Mozilla Firefox 3 Beta 3\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
    FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
    FF - plugin: c:\program files\Mozilla Firefox 3 Beta 3\plugins\np-mswmp.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin2.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin3.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin4.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin5.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin6.dll
    FF - plugin: c:\program files\VistaCodecPack\QT\Plugins\npqtplugin7.dll
    FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: c:\users\coco\AppData\Roaming\Mozilla\Firefox\Profiles\hx4jt5kt.default\extensions\LogMeInClient@logmein.com\plugins\npRACtrl.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox 3 Beta 3\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox 3 Beta 3\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox 3 Beta 3\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox 3 Beta 3\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Lavasoft\Ad-Aware\aawservice.exe
    c:\windows\system32\agrsmsvc.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
    c:\program files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
    c:\windows\system32\TODDSrv.exe
    c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
    c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    c:\windows\system32\conime.exe
    c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
    c:\program files\TOSHIBA\ConfigFree\NDSTray.exe
    c:\windows\RtHDVCpl.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    c:\program files\Synaptics\SynTP\SynToshiba.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\program files\Synaptics\SynTP\SynTPHelper.exe
    c:\program files\TOSHIBA\ConfigFree\CFSwMgr.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-03-26 17:35:36 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-03-26 21:35
    ComboFix2.txt 2010-03-25 03:33

    Avant-CF: 30 839 361 536 octets libres
    Après-CF: 30 380 785 664 octets libres

    - - End Of File - - 386412C625A5D0F0A649A55191F5374D
    a c 295 8 Sécurité
    26 Mars 2010 22:59:20

    Pour le rootkit, c'est bon.

  • Télécharge UsbFix (par El Desaparecido & C_XX) sur ton Bureau.
  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Double-clique sur UsbFix pour l'exécuter.
  • Choisis l'option 1 (Recherche).
  • Laisse travailler l'outil.
  • Poste le rapport UsbFix.txt.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

    "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Kaspersky, etc.) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    7 Avril 2010 23:44:59

    Salut, désolé pour le retard, voici le rapport :

    ############################## | UsbFix V6.100 |

    User : coco (Administrateurs) # PC-DE-COCO
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 14:47:41 | 07/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 7.0.6002.18005
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 74,52 Go (25,5 Go free) [Vista] # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque fixe local # 73,06 Go (19,44 Go free) [Data] # NTFS
    L:\ -> Disque fixe local # 465,65 Go (134,94 Go free) [My Passport] # FAT32

    ################## | Elements infectieux |

    L:\autorun.inf

    ################## | Registre |

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\L
    shell\AutoRun\command =L:\WDSetup.exe

    HKCU\..\..\Explorer\MountPoints2\{5cfdc6d8-7b51-11de-90ca-001167669aa0}
    shell\AutoRun\command =L:\WDSetup.exe

    ################## | Vaccin |


    ################## | ! Fin du rapport # UsbFix V6.100 ! |

    a c 295 8 Sécurité
    8 Avril 2010 00:22:34

  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Double-clique sur UsbFix présent sur ton Bureau pour le lancer.
  • Choisis l'option 2 (Suppression).
  • Ton Bureau disparaîtra et le PC redémarrera.
  • Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
  • Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
    8 Avril 2010 00:54:46

    voici le rapport :

    ############################## | UsbFix V6.100 |

    User : coco (Administrateurs) # PC-DE-COCO
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 18:42:12 | 07/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 7.0.6002.18005
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 74,52 Go (25,42 Go free) [Vista] # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque fixe local # 73,06 Go (19,44 Go free) [Data] # NTFS
    L:\ -> Disque fixe local # 465,65 Go (134,94 Go free) [My Passport] # FAT32

    ################## | Elements infectieux |

    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2838682920-2808813024-2735657174-1000
    Supprimé ! E:\$Recycle.Bin\S-1-5-21-2838682920-2808813024-2735657174-1000
    Supprimé ! L:\autorun.inf

    ################## | Registre |

    Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
    Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\L\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{5cfdc6d8-7b51-11de-90ca-001167669aa0}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [18/09/2006 17:43|--a------|24] C:\autoexec.bat
    [11/04/2009 02:36|-rahs----|333257] C:\bootmgr
    [29/08/2007 05:26|-ra-s----|8192] C:\BOOTSECT.BAK
    [26/03/2010 17:35|--a------|15579] C:\ComboFix.txt
    [18/09/2006 17:43|--a------|10] C:\config.sys
    [?|?|?] C:\hiberfil.sys
    [?|?|?] C:\pagefile.sys
    [29/08/2007 06:44|--a------|420] C:\RHDSetup.log
    [15/10/2007 07:03|--ah-----|282] C:\SWSTAMP.TXT
    [07/04/2010 18:49|--a------|1852] C:\UsbFix.txt
    [18/09/2007 03:53|--a----t-|24748] C:\_wdsuef.dmp
    [06/06/2008 19:41|---hs----|85] E:\desktop.ini
    [19/10/2007 06:59|--a------|11] E:\H08016FR.tag
    [06/11/2008 15:49|--a------|74] L:\Install.ini
    [24/04/2004 11:38|--a------|37888] L:\JSTART.exe
    [13/11/2008 12:30|--a------|319488] L:\setup.exe
    [07/11/2008 14:56|--a------|42678] L:\wdinstaller.xml
    [25/11/2008 11:03|--a------|2325721] L:\WDSetup.exe
    [08/02/2008 12:44|--a------|4574208] L:\WDSync.exe

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # L:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-coco.zip : http://chiquitine.changelog.fr/Sample/Upload.php
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.100 ! |

    a c 295 8 Sécurité
    8 Avril 2010 01:10:28

    Plus de souci ?

  • Relance UsbFix et choisis l'option 6 pour le désinstaller.

  • Supprime les traces de Norton avec ceci.

  • Mets à jour Java.

  • Mets à jour Adobe Reader.
    17 Avril 2010 18:01:55

    Bonjour,
    j'ai refait un scan de mon ordinateur et il me trouve encore le TR/Rootkit.Gen
    Par contre...cette fois ci, j'ai pu réparer, je n'ai pas eu le message d'impossibilité de supprimer
    Est ce Normal ?
    voici le rapport :



    Avira AntiVir Personal
    Date de création du fichier de rapport : mercredi 14 avril 2010 15:05

    La recherche porte sur 2001414 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows Vista
    Version de Windows : (Service Pack 2) [6.0.6002]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : PC-DE-COCO

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 13:52:21
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 15:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 16:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 15:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 13:52:19
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:52:20
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:35:37
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 21:19:21
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 15:01:30
    VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 15:01:30
    VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 15:01:30
    VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 15:01:31
    VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 15:01:31
    VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 15:01:31
    VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 15:01:32
    VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 15:01:32
    VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 15:01:32
    VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 20:53:08
    VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 17:51:11
    VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 20:53:13
    VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 20:53:55
    VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 20:53:26
    VBASE018.VDF : 7.10.5.121 112640 Bytes 18/03/2010 20:54:00
    VBASE019.VDF : 7.10.5.138 139776 Bytes 18/03/2010 20:53:32
    VBASE020.VDF : 7.10.5.164 113152 Bytes 22/03/2010 20:53:43
    VBASE021.VDF : 7.10.5.182 108032 Bytes 23/03/2010 20:53:42
    VBASE022.VDF : 7.10.5.199 123904 Bytes 24/03/2010 20:53:46
    VBASE023.VDF : 7.10.5.217 279552 Bytes 25/03/2010 20:53:48
    VBASE024.VDF : 7.10.5.234 202240 Bytes 26/03/2010 20:53:53
    VBASE025.VDF : 7.10.5.254 187904 Bytes 30/03/2010 20:53:59
    VBASE026.VDF : 7.10.6.18 130560 Bytes 01/04/2010 21:44:30
    VBASE027.VDF : 7.10.6.34 136192 Bytes 06/04/2010 21:44:37
    VBASE028.VDF : 7.10.6.44 232448 Bytes 07/04/2010 21:45:00
    VBASE029.VDF : 7.10.6.60 124416 Bytes 12/04/2010 21:44:47
    VBASE030.VDF : 7.10.6.74 116224 Bytes 14/04/2010 19:04:43
    VBASE031.VDF : 7.10.6.77 67072 Bytes 14/04/2010 19:04:45
    Version du moteur : 8.2.1.210
    AEVDF.DLL : 8.1.1.3 106868 Bytes 22/01/2010 21:28:34
    AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 01/04/2010 21:44:46
    AESCN.DLL : 8.1.5.0 127347 Bytes 25/02/2010 18:57:42
    AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 21:24:27
    AERDL.DLL : 8.1.4.3 541043 Bytes 17/03/2010 21:23:54
    AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 20:53:45
    AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 21:23:36
    AEHEUR.DLL : 8.1.1.16 2503031 Bytes 26/03/2010 20:54:14
    AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 21:44:40
    AEGEN.DLL : 8.1.3.6 373108 Bytes 01/04/2010 21:44:37
    AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 05:31:24
    AECORE.DLL : 8.1.13.1 188790 Bytes 01/04/2010 21:44:34
    AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 19:32:40
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 13:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 03/10/2009 05:31:24
    AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 21:17:24
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 20:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 20:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 15:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 20:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 13:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 20:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 03/10/2009 05:31:24
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 13:52:19

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, E:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Début de la recherche : mercredi 14 avril 2010 15:05

    La recherche d'objets cachés commence.
    '140015' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPHelper.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CFSwMgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynToshiba.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CEC_MAIN.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AdobeARM.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PIFSvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'NDSTray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'KeNotify.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TCrdMain.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SmoothView.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TPwrMain.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'traybar.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TosCoSrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TODDSrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TNaviSrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PIFSvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CFSvcs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'agrsmsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PresentationFontCache.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '71' processus ont été contrôlés avec '71' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'E:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '50' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <Vista>
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\Qoobox\Quarantine\C\Windows\System32\drivers\_ypfelwhs_.sys.zip
    [0] Type d'archive: ZIP
    --> ypfelwhs.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    Recherche débutant dans 'E:\' <Data>

    Début de la désinfection :
    C:\Qoobox\Quarantine\C\Windows\System32\drivers\_ypfelwhs_.sys.zip
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c363bd8.qua' !


    Fin de la recherche : mercredi 14 avril 2010 18:02
    Temps nécessaire: 1:48:32 Heure(s)

    La recherche a été effectuée intégralement

    31196 Les répertoires ont été contrôlés
    396507 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    396504 Fichiers non infectés
    1763 Les archives ont été contrôlées
    2 Avertissements
    3 Consignes
    140015 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés

    a c 295 8 Sécurité
    17 Avril 2010 18:05:53

    Oui puisqu'il était dans la quarantaine de ComboFix.
    17 Avril 2010 18:20:29

    ok, merci beaucoup.
    J'attend de voir et je te tiens au courant si jai plus de soucis


    Bon wd
    a c 295 8 Sécurité
    17 Avril 2010 18:49:21

    1/

  • Télécharge OTC sur ton Bureau.
  • Clique droit sur OTC et choisis Exécuter en tant qu'administrateur.
  • Clique sur CleanUp! puis clique sur Yes à la fenêtre Confirm.
  • Redémarre ton PC comme demandé.


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Prévention==

    Pour supprimer les popups d'AntiVir : Lien

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    Par rapport au P2P : Lien

    Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    Sois plus vigilant(e) sur Internet ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS