Se connecter / S'enregistrer
Votre question

Virus rootkit.gen

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Mars 2010 00:42:48

bonjour, j'ai comme beaucoup d'entre vous ce fouttu rootkit.gen dont je n'arrive pas à me débarasser. J'ai téléchargé hijack et voici le rapport
merci pour votre aide!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:37:51, on 30/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = search.net-studio.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxot.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service Google Update (gupdate1c9bb67af2c695e) (gupdate1c9bb67af2c695e) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Gestionnaire de mise à jour Winsudate (WinSvc) - Unknown owner - C:\Program Files\Winsudate\gibsvc.exe (file missing)

--
End of file - 6994 bytes

Autres pages sur : virus rootkit gen

a c 267 8 Sécurité
30 Mars 2010 00:44:09

Bonjour,

Tu as deux antivirus, Avast et AntiVir, il faut en désinstaller un.

  • Télécharge Ad-Remover (de C_XX) sur ton Bureau.
  • Déconnecte-toi et ferme toutes applications en cours.
  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
  • Choisis Nettoyer puis valide.
  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    30 Mars 2010 01:05:09

    Destrio5 a dit :
    Bonjour,

    Tu as deux antivirus, Avast et AntiVir, il faut en désinstaller un.

  • Télécharge Ad-Remover (de C_XX) sur ton Bureau.
  • Déconnecte-toi et ferme toutes applications en cours.
  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
  • Choisis Nettoyer puis valide.
  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


  • et voilà mais je crois que c'est pire j'ai une erreur sys32 endommagé....
    bref : voilà la fin du rapport

    C:\DOCUME~1\ninab\LOCALS~1\Temp: 2 Fichier(s), 109 Dossier(s)
    C:\WINDOWS\temp: 0 Fichier(s), 26 Dossier(s)
    Temporary Internet Files: 2 Fichier(s), 13 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 25 Fichier(s)
    C:\Ad-Remover\Backup: 13 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 518 Octet(s)
    C:\Ad-Report-CLEAN[2].txt - 5441 Octet(s)
    .
    Fin à: 00:56:24, 30/03/2010

    merci!
    Contenus similaires
    a c 267 8 Sécurité
    30 Mars 2010 01:06:39

    Et le reste du rapport ?
    30 Mars 2010 01:07:56

    oups sorry du coup je mets tout :
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 28/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 00:52:11 le 30/03/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP™ Service Pack 3 - X86
    Nom du PC: NINA | Utilisateur actuel: ninab (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\DOCUME~1\ninab\LOCALS~1\Temp\AskSearch
    C:\DOCUME~1\ninab\LOCALS~1\Temp\ASKSUTBLOG
    C:\DOCUME~1\ninab\LOCALS~1\Temp\Del_AskHPRFF.VBS
    C:\Documents and Settings\ninab\Application Data\Mozilla\FireFox\Profiles\1ij697iw.default\searchplugins\askcom.xml
    C:\Documents and Settings\ninab\Application Data\Search Settings
    ERREUR SUPPRESSION !! : C:\Program Files\Application Updater
    C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
    C:\Program Files\Search Settings

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\Software\Search Settings
    HKLM\Software\Application Updater
    HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
    HKLM\Software\Classes\SearchSettings.BHO
    HKLM\Software\Classes\SearchSettings.BHO.1
    HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Search Settings
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\GenericAskToolbar.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\chrome\locale\en-US\searchsettingsplugin.dtd
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\components\SearchSettingsFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\install.rdf
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettingsRes409.dll
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.2pre (fr) *
    .
    C:\Documents and Settings\ninab\..\1ij697iw.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\ninab\\Bureau
    C:\Documents and Settings\ninab\..\1ij697iw.default\prefs.js - browser.search.defaultenginename: Winamp Search
    C:\Documents and Settings\ninab\..\1ij697iw.default\prefs.js - browser.search.defaulturl: hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
    C:\Documents and Settings\ninab\..\1ij697iw.default\prefs.js - browser.search.selectedEngine: Google
    C:\Documents and Settings\ninab\..\1ij697iw.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr
    C:\Documents and Settings\ninab\..\1ij697iw.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.2
    C:\Documents and Settings\ninab\..\1ij697iw.default\prefs.js - keyword.URL: hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
    .
    .
    * Internet Explorer Version 6.0.2900.5512 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    a c 267 8 Sécurité
    30 Mars 2010 01:17:39

  • Relance Ad-Remover et choisis Désinstaller.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    30 Mars 2010 08:43:05

    bonjour voici le rapport de mbam qui n'a rien trouvé

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3930

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    30/03/2010 08:36:01
    mbam-log-2010-03-30 (08-36-01).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 109282
    Temps écoulé: 1 minute(s), 56 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    a c 267 8 Sécurité
    30 Mars 2010 20:24:33

  • Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.
  • Dans AntiVir, choisis Outils puis Configuration.
  • Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.
  • Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.

    Tutoriel sur AntiVir.
    31 Mars 2010 00:57:39

    BONSOIR VOICI LE RAPPORT DANTIVIR APRES LE DERNIER SCAN
    MERDI



    Avira AntiVir Personal
    Date de création du fichier de rapport : mardi 30 mars 2010 22:11

    La recherche porte sur 1938789 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : NINA

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 12:15:44
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:04
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:12
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:32
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 13:09:46
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:09:50
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 12:51:08
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 12:51:30
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 23:04:22
    VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 23:04:24
    VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 23:04:24
    VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 23:04:26
    VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 23:04:26
    VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 23:04:28
    VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 23:04:30
    VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 23:04:32
    VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 23:04:32
    VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 23:03:36
    VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 08:19:54
    VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 08:19:56
    VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 08:58:42
    VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 21:15:32
    VBASE018.VDF : 7.10.5.121 112640 Bytes 18/03/2010 21:15:32
    VBASE019.VDF : 7.10.5.138 139776 Bytes 18/03/2010 21:15:32
    VBASE020.VDF : 7.10.5.164 113152 Bytes 22/03/2010 21:16:06
    VBASE021.VDF : 7.10.5.182 108032 Bytes 23/03/2010 21:16:26
    VBASE022.VDF : 7.10.5.199 123904 Bytes 24/03/2010 21:16:26
    VBASE023.VDF : 7.10.5.217 279552 Bytes 25/03/2010 21:15:54
    VBASE024.VDF : 7.10.5.234 202240 Bytes 26/03/2010 21:15:52
    VBASE025.VDF : 7.10.5.235 2048 Bytes 26/03/2010 21:15:52
    VBASE026.VDF : 7.10.5.236 2048 Bytes 26/03/2010 21:15:52
    VBASE027.VDF : 7.10.5.237 2048 Bytes 26/03/2010 21:15:52
    VBASE028.VDF : 7.10.5.238 2048 Bytes 26/03/2010 21:15:52
    VBASE029.VDF : 7.10.5.239 2048 Bytes 26/03/2010 21:15:52
    VBASE030.VDF : 7.10.5.240 2048 Bytes 26/03/2010 21:15:52
    VBASE031.VDF : 7.10.5.248 107520 Bytes 29/03/2010 22:12:26
    Version du moteur : 8.2.1.204
    AEVDF.DLL : 8.1.1.3 106868 Bytes 28/01/2010 13:15:06
    AESCRIPT.DLL : 8.1.3.23 1278331 Bytes 26/03/2010 21:15:56
    AESCN.DLL : 8.1.5.0 127347 Bytes 25/02/2010 22:23:26
    AESBX.DLL : 8.1.2.1 254323 Bytes 18/03/2010 21:15:40
    AERDL.DLL : 8.1.4.3 541043 Bytes 18/03/2010 21:15:38
    AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 21:15:36
    AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18/03/2010 21:15:38
    AEHEUR.DLL : 8.1.1.16 2503031 Bytes 26/03/2010 21:15:56
    AEHELP.DLL : 8.1.10.2 237941 Bytes 18/03/2010 21:15:36
    AEGEN.DLL : 8.1.3.2 373108 Bytes 19/03/2010 21:15:34
    AEEMU.DLL : 8.1.1.0 393587 Bytes 07/10/2009 22:56:42
    AECORE.DLL : 8.1.12.3 188789 Bytes 18/03/2010 21:15:34
    AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:32
    AVPREF.DLL : 9.0.3.0 44289 Bytes 26/09/2009 23:47:40
    AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:58:30
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:44
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:24
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:38
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:50
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:58
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:00
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 03/08/2009 14:33:04
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 12:15:44

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen

    Début de la recherche : mardi 30 mars 2010 22:11

    La recherche d'objets cachés commence.
    '54904' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WUAUCLT.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WUAUCLT.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'ALG.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'OProtSvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ApplicationUpdater.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AVGUARD.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'ATKOSD.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SCHED.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés
    Processus de recherche '1XConfig.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AVGNT.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'HControl.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AvastSvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'ATI2EVXX.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'ZCfgSvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'ATI2EVXX.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés
    '38' processus ont été contrôlés avec '38' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '50' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\FOUND.000\FILE0000.CHK
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

    Début de la désinfection :
    C:\FOUND.000\FILE0000.CHK
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfe818b.qua' !


    Fin de la recherche : mercredi 31 mars 2010 00:54
    Temps nécessaire: 1:13:44 Heure(s)

    La recherche a été effectuée intégralement

    8751 Les répertoires ont été contrôlés
    323428 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    323425 Fichiers non infectés
    8016 Les archives ont été contrôlées
    2 Avertissements
    3 Consignes
    54904 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés

    a c 267 8 Sécurité
    31 Mars 2010 02:00:37

    Comment va le PC ?

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
  • Coche également les cases à côté de LOP Check et Purity Check.
  • Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    a c 267 8 Sécurité
    31 Mars 2010 20:21:08

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O4 - HKLM\..\Run: [KernelFaultCheck] File not found
    O33 - MountPoints2\{491be416-6afb-11de-b6b2-0013ce7cd13c}\Shell\Auto\command - "" = E:\AdobeR.exe -- File not found
    [2010/03/30 01:00:48 | 000,000,000 | -HSD | C] -- C:\FOUND.000
    [2010/03/03 18:15:10 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\ninab\Application Data\rbuwzv.dat
    [2010/02/26 14:11:23 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat

    :files
    C:\Program Files\Application Updater

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Run Fix en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    1 Avril 2010 00:01:10

    et hop voilà le rapport mais là je n'ai plus trop d'espoir, c'est de pire en pire

    All processes killed
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{491be416-6afb-11de-b6b2-0013ce7cd13c}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{491be416-6afb-11de-b6b2-0013ce7cd13c}\ not found.
    File E:\AdobeR.exe not found.
    C:\FOUND.000 folder moved successfully.
    C:\Documents and Settings\ninab\Application Data\rbuwzv.dat moved successfully.
    C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat moved successfully.
    ========== FILES ==========
    C:\Program Files\Application Updater folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Default User
    ->Temp folder emptied: 100591279 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: All Users

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 1713728 bytes

    User: LocalService
    ->Temp folder emptied: 65984 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: Administrateur
    ->Temp folder emptied: 100581960 bytes
    ->Temporary Internet Files folder emptied: 32768 bytes

    User: ninab
    ->Temp folder emptied: 311979 bytes
    ->Temporary Internet Files folder emptied: 11529575 bytes
    ->FireFox cache emptied: 65732249 bytes
    ->Google Chrome cache emptied: 6125449 bytes
    ->Flash cache emptied: 1980565 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 19569 bytes
    %systemroot%\System32 .tmp files removed: 4339712 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 505 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 124554939 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 182836 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 398,00 mb


    OTL by OldTimer - Version 3.1.37.3 log created on 03312010_235641

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    a c 267 8 Sécurité
    1 Avril 2010 00:15:50

    D'après les rapports, il devrait aller de mieux en mieux.

    Que se passe-t-il exactement ?
    1 Avril 2010 08:56:50

    bonjour, en effet, j'ai eu hier des problèmes au démarage, scandisk lon avec des messages d'erreur mais je n'ai pas noté, un point d'exclamation erreur windows, mon antivirus avira qui ne démarre plus et un avast (que j'ai téléchargé juste avant de poster le premier message ) que ne s'est pas installé jusqu'au bout et que je n'arrive pas à desinstal.
    en effet, sur toute cette liste de symptomes, il ne reste que le dernier.
    ah oui et puis j'ai voulu tout formater à l'aide de mes cd recovery et rien ne s'est passé
    là je ne sais plus ce qui tient de ma responsabilité ou celle du virus
    1 Avril 2010 09:35:35

    merci ! et j'magine que là tout est ok
    merci pour tout
    merci merci
    a c 267 8 Sécurité
    1 Avril 2010 09:36:29

    Le PC va comment ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS