Se connecter / S'enregistrer
Votre question

[Résolu] Problème boots et TR/Rootkit.gen

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Mars 2010 11:47:22

Bonjour bonjour.

Je viens vous voir car j'ai récemment quelques problèmes avec mon ordinateur:

Depuis un petit moment, mon ordi décide de me faire un écran bleu au démarrage (ou redémarrage), juste avant le moment ou il est sensé loader windows. Il vide la mémoire vive et après redémarre. A ce redémarrage, il me demande si je veux démarrer normalement windows ou si je veux lancer l'outil de restauration... (quand il a enfin réussi a démarré, windows me dit qu'il a récupéré d'une erreur et me demande d'envoyer un rapport (je ne l'ai pas fait))

La première fois, j'ai restauré. Mais ça n'a rien changé et il me fait toujours la même chose.

J'ai désinstallé les programmes inutiles me prenant de la place, j'ai défragmenté et j'ai fait un scandisk. Il m'a trouvé et réparé une erreur. Mais là encore, ça n'a pas résolu mon problème.

J'ai alors fait un scan total de mon ordi avec AviraAntivir. Là, il me trouve 2 fichiers infectés par le troyan Rootkit.gen. Il m'en remove un comme il faut et l'autre il me dit qu'il ne peut pas le faire car il est probablement lié à un périphérique qui ne fonctionne pas bien...

Je me retrouve donc avec mon pc qui se met des fois à ramer sans raisons, qui plante alors que je joue à mes mmo (il ne me le faisait jamais avant), qui me fait un joli écran bleu et me demande de restaurer pratiquement à chaque démarrage et qui refuse de me supprimer un fichier infecté...

Bref, quelqu'un peut-il m'aider ? e_è


OS: Windows Vista 34bits
Antivirus et Parefeu: Avira et windows defender
Fichier insupprimable: système32\drivers\oxnxxoz.sys


Voilà, j'espère que vous pourrez m'aider :)  Si possible sans rapport HijackThis :p  sinon bah j'en ferai un quand même -_-"

Merci d'avance de votre aide :D  je reste à disposition si vous avez besoin d'info.

Autres pages sur : resolu probleme boots rootkit gen

18 Mars 2010 12:13:31

Finalement je mets le log HijackThis. Je pensais que le programme prendrais beaucoup de temps pour scanner :p 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:12, on 18/03/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\HP\HP Software Update\hpwuschd2.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\WTablet\Wacom_TabletUser.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.offerbox.com/fr/?s=h&c=1002104118
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\Windows\system32\Wacom_Tablet.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 11534 bytes
a c 296 8 Sécurité
18 Mars 2010 14:26:52

Bonjour,

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    Contenus similaires
    18 Mars 2010 17:46:33

    Bonjour, merci pour la réponse.

    Je viens de le faire et voici le log:

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3883
    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18882

    18/03/2010 17:38:13
    mbam-log-2010-03-18 (17-38-13).txt

    Type de recherche: Examen rapide
    Eléments examinés: 111475
    Temps écoulé: 6 minute(s), 5 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\system32\Drivers\oxnxxoz.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    C:\Users\Miwa\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.


    Quand il a eu fini, il ma demandé de redémarrer. Lors de ce redémarrage, j'ai encore eu l'écran bleu avant le chargement de windows, 2 fois de suite avant qu'il accepte de démarrer normalement.

    a c 296 8 Sécurité
    18 Mars 2010 17:59:50

  • Relance MBAM, va dans Quarantaine et supprime tout.

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
  • Coche également les cases à côté de LOP Check et Purity Check.
  • Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    a c 296 8 Sécurité
    18 Mars 2010 18:22:05

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    [2010/03/18 18:11:31 | 000,802,304 | ---- | M] () -- C:\Windows\System32\drivers\oxnxxoz.sys
    [2010/02/26 03:19:11 | 000,000,016 | ---- | M] () -- C:\Users\Miwa\AppData\Roaming\rbuwzv.dat

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Run Fix en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    18 Mars 2010 19:01:34

    Voila le log (que je ne peux pas déposer sur cijoint.fr "les fichiers log ne sont pas autorisés):

    All processes killed
    ========== OTL ==========
    File C:\Windows\System32\drivers\oxnxxoz.sys not found.
    C:\Users\Miwa\AppData\Roaming\rbuwzv.dat moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Miwa
    ->Temp folder emptied: 11933463 bytes
    ->Temporary Internet Files folder emptied: 85609132 bytes
    ->Java cache emptied: 37607040 bytes
    ->FireFox cache emptied: 45285212 bytes
    ->Flash cache emptied: 62680 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 1170676389 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 1 289,00 mb


    OTL by OldTimer - Version 3.1.37.3 log created on 03182010_185401

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    a c 296 8 Sécurité
    18 Mars 2010 19:04:10

    Des changements par rapport à ton souci ?
    18 Mars 2010 19:09:14

    Et bien le reboot d'OTL a eu l'air de fonctionné, et pas d'écran bleu. La je viens de redémarrer et ya pas eu de problème non plus, il m'a même semblé un peu plus rapide. :) 
    a c 296 8 Sécurité
    18 Mars 2010 19:12:40

    1/

  • Désinstalle HijackThis.

  • Mets à jour Java.

  • Mets à jour Adobe Reader.

  • Télécharge OTC sur ton Bureau.
  • Clique droit sur OTC et choisis Exécuter en tant qu'administrateur.
  • Clique sur CleanUp! puis clique sur Yes à la fenêtre Confirm.
  • Redémarre ton PC comme demandé.


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Prévention==

    Pour supprimer les popups d'AntiVir : Lien

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    Par rapport au P2P : Lien

    Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    Sois plus vigilant(e) sur Internet ;) 
    18 Mars 2010 19:49:28

    Eu... j'ai mis à jour Java et Adobe Reader puis j'ai ddl OTC. Il m'a demandé de redémarrer, j'ai dit oui bien sûr et là le reboot a duré presque 10minutes. Quand il a eu à peine redémarré, windows a installé Adobe Acrobat Pro 7.0 (que j'avais déjà normalement) ? et OTC n'est plus sur mon bureau o_o

    C'est normal ? ^^;
    18 Mars 2010 20:26:12

    Après avoir utiliser CCleaner et désactivé les popups Avira, je suis allé voir dans système32/drivers et le fichier oxnxxoz.sys y est toujours.

    J'ai relancé un scan avec MBAM pour voir et il m'a retrouvé le TR/Rootkit.gen dans ce fameux fichier. :sweat: 

    Je lui dit de le supprimer, il redémarre (sans souci), je rallume MBAM, vais dans la quarantaine, elle est vide, je relance un scan et il me retrouve encore le trojan dans le même fichier :heink: 
    a c 296 8 Sécurité
    18 Mars 2010 20:46:23

    [#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    a c 296 8 Sécurité
    18 Mars 2010 21:26:51

    /!\ Seul Megamii peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    Driver::
    kkdjqmbb
    XDva332

    File::
    c:\windows\System32\drivers\shmnsjv.sys
    c:\windows\system32\XDva332.sys
    C:\Windows\System32\drivers\oxnxxoz.sys

    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\oxnxxoz]

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    18 Mars 2010 22:14:38

    ComboFix 10-03-17.07 - Miwa 18/03/2010 21:37:28.2.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.950 [GMT 1:00]
    Lancé depuis: c:\users\Miwa\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\Miwa\Desktop\CFScript.txt
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

    FILE ::
    "c:\windows\System32\drivers\oxnxxoz.sys"
    "c:\windows\System32\drivers\shmnsjv.sys"
    "c:\windows\system32\XDva332.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\System32\drivers\oxnxxoz.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_XDVA332
    -------\Service_kkdjqmbb
    -------\Service_XDva332
    -------\Legacy_oxnxxoz
    -------\Service_oxnxxoz


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-18 au 2010-03-18 ))))))))))))))))))))))))))))))))))))
    .

    2010-03-18 20:46 . 2010-03-18 20:49 -------- d-----w- c:\users\Miwa\AppData\Local\temp
    2010-03-18 20:46 . 2010-03-18 20:46 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-03-18 19:00 . 2010-03-18 19:00 -------- d-----w- c:\program files\CCleaner
    2010-03-18 18:25 . 2010-03-18 18:41 -------- d-----w- c:\programdata\NOS
    2010-03-18 16:28 . 2010-03-18 16:28 -------- d-----w- c:\users\Miwa\AppData\Roaming\Malwarebytes
    2010-03-18 16:28 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-03-18 16:28 . 2010-03-18 16:28 -------- d-----w- c:\programdata\Malwarebytes
    2010-03-18 16:28 . 2010-03-18 16:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-03-18 16:28 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-03-18 11:09 . 2010-03-18 11:09 -------- d-----w- c:\program files\Trend Micro
    2010-03-17 19:08 . 2009-11-21 02:34 11515752 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
    2010-03-17 19:08 . 2009-11-21 02:34 76392 ----a-w- c:\windows\system32\OpenCL.dll
    2010-03-17 19:08 . 2009-11-21 02:34 4241000 ----a-w- c:\windows\system32\nvwgf2um.dll
    2010-03-17 19:08 . 2009-11-21 02:34 2243176 ----a-w- c:\windows\system32\nvcuvid.dll
    2010-03-17 19:08 . 2009-11-21 02:34 1989224 ----a-w- c:\windows\system32\nvcuvenc.dll
    2010-03-17 19:08 . 2009-11-21 02:34 14064232 ----a-w- c:\windows\system32\nvoglv32.dll
    2010-03-17 19:08 . 2009-11-21 02:34 4001384 ----a-w- c:\windows\system32\nvcuda.dll
    2010-03-17 19:08 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod178.dll
    2010-03-17 19:08 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod.dll
    2010-03-17 19:08 . 2009-11-21 02:34 11381352 ----a-w- c:\windows\system32\nvcompiler.dll
    2010-03-11 19:32 . 2010-03-17 12:07 -------- d-----w- c:\program files\Pando Networks
    2010-03-10 23:28 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2010-03-10 23:28 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
    2010-03-10 23:28 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-03-18 20:49 . 2009-07-27 14:59 34800 ----a-w- c:\programdata\nvModes.dat
    2010-03-18 20:48 . 2010-01-22 22:32 -------- d-----w- c:\users\Miwa\AppData\Roaming\WTablet
    2010-03-18 18:43 . 2009-07-27 11:35 127872 ----a-w- c:\users\Miwa\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-03-18 18:29 . 2007-08-18 02:18 -------- d-----w- c:\program files\Common Files\Adobe
    2010-03-18 18:25 . 2007-08-18 02:49 -------- d-----w- c:\program files\Common Files\Java
    2010-03-18 18:24 . 2007-08-18 02:49 -------- d-----w- c:\program files\Java
    2010-03-17 19:56 . 2006-11-02 15:48 672322 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-17 19:56 . 2006-11-02 15:48 124434 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-17 19:27 . 2010-01-09 17:01 14516 ----a-w- c:\windows\system32\Wacom_Tablet.dat
    2010-03-17 19:15 . 2009-07-27 14:59 -------- d-----w- c:\programdata\NVIDIA
    2010-03-17 19:15 . 2009-07-27 20:10 -------- d-----w- c:\program files\NVIDIA Corporation
    2010-03-17 19:14 . 2009-07-27 20:32 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
    2010-03-17 19:14 . 2009-07-27 20:32 -------- d-----w- c:\program files\AGEIA Technologies
    2010-03-17 12:13 . 2009-07-27 19:29 -------- d-----w- c:\program files\ma-config.com
    2010-03-17 12:13 . 2009-07-27 19:29 -------- d-----w- c:\programdata\ma-config.com
    2010-03-17 12:03 . 2009-09-01 21:30 -------- d-----w- c:\program files\Autodesk
    2010-03-15 21:42 . 2009-08-28 19:52 -------- d-----w- c:\users\Miwa\AppData\Roaming\vlc
    2010-03-11 10:39 . 2007-08-18 02:03 -------- d-----w- c:\programdata\Microsoft Help
    2010-03-10 23:34 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-03-09 14:11 . 2010-03-09 14:11 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
    2010-03-02 14:52 . 2010-02-10 16:17 -------- d-----w- c:\users\Miwa\AppData\Roaming\OfferBox
    2010-03-02 14:50 . 2009-09-06 21:21 -------- d-----w- c:\program files\Winamp
    2010-02-28 17:02 . 2010-01-18 22:30 -------- d-----w- c:\programdata\Norton
    2010-02-28 17:01 . 2007-08-18 01:45 -------- d-----w- c:\program files\Common Files\Symantec Shared
    2010-02-26 16:13 . 2010-03-12 10:59 17160 ----a-w- c:\windows\Help\OEM\scripts\HPHCDisableObject.exe
    2010-02-26 01:49 . 2010-02-26 17:00 1326 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\tmp37b0.tmp\cur.scr
    2010-02-24 08:16 . 2009-12-11 22:33 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-22 12:28 . 2010-03-12 10:59 1282824 ----a-w- c:\windows\Help\OEM\scripts\SamsungHDDFW1HC.exe
    2010-02-16 09:00 . 2010-02-28 17:01 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100227.007\NAVENG.SYS
    2010-02-16 09:00 . 2010-02-28 17:01 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100227.007\NAVEX15.SYS
    2010-02-16 09:00 . 2010-02-26 17:01 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\tmp3836.tmp\NAVENG.SYS
    2010-02-16 09:00 . 2010-02-26 17:01 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\tmp3836.tmp\NAVEX15.SYS
    2010-02-16 09:00 . 2010-02-16 09:00 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\BinHub\NAVENG.SYS
    2010-02-16 09:00 . 2010-02-16 09:00 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\BinHub\NAVEX15.SYS
    2010-02-16 08:19 . 2010-02-26 17:01 1368 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\tmp37b0.tmp\hub.scr
    2010-02-04 15:51 . 2010-03-12 10:59 49152 ----a-w- c:\windows\Help\OEM\scripts\Interop.TaskScheduler.dll
    2010-01-30 12:01 . 2009-08-29 18:59 7808 ----a-w- c:\users\Miwa\AppData\Local\d3d9caps.dat
    2010-01-25 12:00 . 2010-02-24 10:19 471552 ----a-w- c:\windows\system32\secproc_isv.dll
    2010-01-25 12:00 . 2010-02-24 10:19 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
    2010-01-25 12:00 . 2010-02-24 10:19 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
    2010-01-25 12:00 . 2010-02-24 10:19 471552 ----a-w- c:\windows\system32\secproc.dll
    2010-01-25 11:58 . 2010-02-24 10:19 332288 ----a-w- c:\windows\system32\msdrm.dll
    2010-01-25 08:21 . 2010-02-24 10:19 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
    2010-01-25 08:21 . 2010-02-24 10:19 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
    2010-01-25 08:21 . 2010-02-24 10:19 518144 ----a-w- c:\windows\system32\RMActivate.exe
    2010-01-25 08:21 . 2010-02-24 10:19 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
    2010-01-23 09:26 . 2010-02-24 10:19 2048 ----a-w- c:\windows\system32\tzres.dll
    2010-01-22 22:32 . 2010-01-22 22:30 -------- d-----w- c:\program files\Tablet
    2010-01-21 21:35 . 2009-07-28 22:44 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-01-18 22:50 . 2010-01-18 22:50 -------- d-----w- c:\program files\WEBZEN
    2010-01-18 22:50 . 2007-08-18 01:19 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-01-18 22:30 . 2007-08-18 01:45 -------- d-----w- c:\programdata\Symantec
    2010-01-18 22:30 . 2010-01-18 22:30 -------- d-----w- c:\programdata\NortonInstaller
    2010-01-06 15:39 . 2010-02-24 10:19 1696256 ----a-w- c:\windows\system32\gameux.dll
    2010-01-06 15:38 . 2010-02-24 10:19 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
    2010-01-06 15:38 . 2010-02-24 10:19 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
    2010-01-06 15:38 . 2010-02-24 10:19 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
    2010-01-06 15:38 . 2010-02-24 10:19 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
    2010-01-06 15:38 . 2010-02-24 10:19 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
    2010-01-06 13:30 . 2010-02-24 10:19 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
    2010-01-02 06:38 . 2010-01-22 09:49 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-01-02 06:32 . 2010-01-22 09:49 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-01-02 06:32 . 2010-01-22 09:49 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-01-02 04:57 . 2010-01-22 09:49 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2009-08-31 16:30 . 2009-08-31 16:30 5438 ----a-w- c:\program files\Manga StudioExporterPlugin.isu
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-04-19 484904]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-04-23 176128]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

    c:\users\Miwa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2009-8-31 25214]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):91,11,9a,e1,dd,0e,ca,01

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3102241048-515350618-895549698-1000]
    "EnableNotificationsRef"=dword:00000001

    R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-01-26 243056]
    R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3461904]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-08-31 108289]
    S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2007-04-19 11:23 452136 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2010-03-13 c:\windows\Tasks\HPCeeScheduleForMiwa.job
    - c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2007-08-18 12:23]

    2010-03-18 c:\windows\Tasks\User_Feed_Synchronization-{3F557F72-1382-4B5A-8575-5D01EFF1FA6D}.job
    - c:\windows\system32\msfeedssync.exe [2010-01-22 04:56]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://search.offerbox.com/fr/?s=h&c=1002104118
    mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=Pavilion&pf=laptop
    IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    LSP: %SYSTEMROOT%\system32\nvLsp.dll
    FF - ProfilePath - c:\users\Miwa\AppData\Roaming\Mozilla\Firefox\Profiles\cjdqcfxe.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\TabletPlugins\npwacom.dll
    FF - plugin: c:\program files\WEBZEN\WebzenGameStarter\NPGameWebStarter.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-03-18 21:50
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84E1B1F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0x883aad24
    \Driver\ACPI -> acpi.sys @ 0x8293bd68
    \Driver\atapi -> 0x84e1b1f8
    IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
    user & kernel MBR OK

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\nvvsvc.exe
    c:\windows\system32\nvvsvc.exe
    c:\windows\SYSTEM32\WISPTIS.EXE
    c:\program files\Common Files\microsoft shared\ink\TabTip.exe
    c:\windows\SYSTEM32\WISPTIS.EXE
    c:\program files\Common Files\microsoft shared\ink\TabTip.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    c:\program files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
    c:\windows\system32\conime.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\system32\Wacom_Tablet.exe
    c:\program files\TeamViewer\Version4\TeamViewer_Service.exe
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    c:\windows\system32\DRIVERS\xaudio.exe
    c:\program files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
    c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
    c:\windows\system32\WTablet\Wacom_TabletUser.exe
    c:\windows\system32\Wacom_Tablet.exe
    c:\program files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    c:\program files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
    c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\program files\Synaptics\SynTP\SynTPHelper.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
    c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-03-18 21:56:54 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-03-18 20:56
    ComboFix2.txt 2010-03-18 20:16

    Avant-CF: 45 269 331 968 octets libres
    Après-CF: 45 125 939 200 octets libres

    - - End Of File - - B689FDFF0791FBAC8F987613F45AF2B9


    ComboFix a redémarré plusieurs fois et cela a réactivé parfeu et antivir... Peut-être que cela gêne ? Si oui, il faudrait me dire comment annuler leur démarrage automatique car je ne sais pas le faire.

    Edit: Oh je vens de voir que le fichier script n'est plus sur mon bureau aussi (je suppose que c'est normal mais je précise on ne sait jamais).
    a c 296 8 Sécurité
    18 Mars 2010 23:30:10

    C'est normal.

    Normalement, le fichier oxnxxoz.sys a été déplacé.
    19 Mars 2010 00:27:48

    Effectivement, il n'est plus dans le dossier et MBAM ne détecte plus rien :) 

    Autre chose à faire au cas où ?
    19 Mars 2010 12:31:56

    Et bien merci beaucoup de ton aide :) 
    Il n'y a plus de trace du trojan et apparemment plus de problème de boot non plus pour le moment.
    Je dirais donc que ça m'a bien l'air résolu ^^

    Mercii :D 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS