Trojan récalcitrantFermé

Question

Bonjour, j'ai un cheval de troie dont je ne viens pas à bout avec avira antivir, une clé de registre le relance automatiquement. De toute façon mon os est complètement pourris donc je veux réinstaller windows. Mais j'ai besoin de l'ordi infecté pour graver mon iso de windows qui se trouve sur un disque dur externe propre.

Ma question est la suivante : est-ce que je peux graver l'image sans risque que cela plante la gravure ou d'avoir un cd qui ne boot pas ou qui fonctionne mal?

Utilisateur anonyme · Answer

Bonjour
Peux tu faire ceci:
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

-> http://images.malwareremoval.com/random/RSIT.exe 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur " RSIT.exe " pour le lancer . 

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante 
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum 


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

pimprenelle27 · Answer

Bonjour,

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

Ensuite :

Télécharge le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Renomme Hijackthis en Tutu

Double-clique sur HJTInstall.exe (tutu)  pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la licence en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux (ne fixe rien pour le moment !!)

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

pimprenelle27 · Answer

comme tu veux.

smoon · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:27, on 01/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Logiciels\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Logiciels\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Logiciels\CCleaner\CCleaner.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe
C:\DOCUME~1\Smoon\LOCALS~1\Temp\ose00000.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Program Files\Logiciels\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Logiciels\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Logiciels\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\LOGICI~1\MICROS~2\Office12\EXCEL.EXE/3000
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Logiciels\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

pimprenelle27 · Answer

Télécharge GenProc sur ton bureau

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.


Voir  comment utiliser GenProc

Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

pimprenelle27 · Answer

ok très bien, maintenant fais moi ceci : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

pimprenelle27 · Answer

non fais le suite merci.

pimprenelle27 · Answer

ceci

pimprenelle27 · Answer

ok ensuite fais moi ceci : 

Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

smoon · Answer

Bon après un deuxième scan, aucun élement infectieux, pourtant avira m'a detecté 2 fois le virus présent dans système 32 que j'ai supprimé chaque fois. 

Le rapport du premier scan : 
SUPERAntiSpyware Scan Log 
https://www.superantispyware.com/ 

Generated 05/01/2009 at 08:05 PM 

Application Version : 4.26.1002 

Core Rules Database Version : 3873 
Trace Rules Database Version: 1821 

Scan type : Complete Scan 
Total Scan Time : 00:20:39 

Memory items scanned : 384 
Memory threats detected : 0 
Registry items scanned : 4010 
Registry threats detected : 2 
File items scanned : 11377 
File threats detected : 1 

Rootkit.Agent/Gen-Rustock 
HKLM\system\controlset002\services\ovfsthtwatnrbqjgmnhcscqa­eeadrdamjuuafo 
C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHNIJKNKLNFINFWBHWDOLQFOAJP­DBAWBBU.SYS 
HKLM\system\controlset004\services\ovfsthtwatnrbqjgmnhcscqa­eeadrdamjuuafo

pimprenelle27 · Answer

ok très bien tu as bien supprimé ce que sas à trouvé? ensuite fais moi ceci : 

Télécharger AVPTool

La page qui vous accueille comporte en général les 12 dernières versions générées. Regardez attentivement l'heure et la date affichées dans le nom du logiciel pour déterminer celle qui est la plus récente. Téléchargez-la sans hésiter sur le bureau de votre PC. Double-cliquez dessus pour lancez l'installation.

Attention : AVPTool (tout comme d'autres outils du même acabit tels que Antivir, BitDefender Free, etc.) n'est pas une protection. C'est un détecteur et un nettoyeur d'infections déjà présentes sur le PC. Pour vous protéger efficacement contre les menaces modernes que sont les Drive-by Downloads, les Stage Downloads, les Banking Trojans, les Webstorms, il faut disposer d'authentiques suites de sécurité comme Kaspersky Antivirus 8.0 (KAV) ou Kaspersky Internet Security 8.0 (KIS).

AVPTool fonctionne sous Windows 2000, XP, Vista 32 bits. Il ne doit pas être utilisé sur des machines déjà équipées de KAV 8.0 ou KIS 8.0.

pimprenelle27 · Answer

Ensuite tu va me faire ceci : 

Telecharge et install UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

pimprenelle27 · Answer

je peux avoir le rapport?

pimprenelle27 · Answer

Ensuite fais moi ceci : 

Télécharger GMER ( http://www2.gmer.net/gmer.zip )
Extraire le contenu du ZIP puis renommer "gmer.exe" en "bypass.exe"
Onglet "Rootkit" ; cliquez sur "SCAN" puis patienter...
En fin de traitement cliquez sur "SAVE" et enregistrer sur votre bureau "150309.txt"
Double cliquez sur "150309.txt" ; le fichier s'ouvre dans le bloc-notes.
Copiez le contenu et collez le sur votre prochain message.

smoon · Answer

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-04 01:26:33
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwConnectPort [0xF4ADFFC0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwCreateFile [0xF4ADCC80]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwCreateKey [0xF4AF7170]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwCreatePort [0xF4AE0580]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwCreateProcess [0xF4AF4900]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwCreateProcessEx [0xF4AF4B10]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwCreateSection [0xF4AF8B10]
SSDT            F7C98F0C                                                                                            ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwCreateWaitablePort [0xF4AE0670]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwDeleteFile [0xF4ADD210]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwDeleteKey [0xF4AF79F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwDeleteValueKey [0xF4AF77A0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwDuplicateObject [0xF4AF4280]
SSDT            spds.sys                                                                                            ZwEnumerateKey [0xF752DCA2]
SSDT            spds.sys                                                                                            ZwEnumerateValueKey [0xF752E030]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwLoadKey [0xF4AF7F10]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwLoadKey2 [0xF4AF7F90]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwOpenFile [0xF4ADD070]
SSDT            spds.sys                                                                                            ZwOpenKey [0xF750F0C0]
SSDT            F7C98EF8                                                                                            ZwOpenProcess
SSDT            F7C98EFD                                                                                            ZwOpenThread
SSDT            spds.sys                                                                                            ZwQueryKey [0xF752E108]
SSDT            spds.sys                                                                                            ZwQueryValueKey [0xF752DF88]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwRenameKey [0xF4AF86F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwReplaceKey [0xF4AF8150]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwRequestWaitReplyPort [0xF4ADFBE0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwRestoreKey [0xF4AF8540]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwSecureConnectPort [0xF4AE0190]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwSetInformationFile [0xF4ADD440]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwSetValueKey [0xF4AF74E0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)  ZwSystemDebugControl [0xF4AF5200]
SSDT            F7C98F07                                                                                            ZwTerminateProcess
SSDT            F7C98F02                                                                                            ZwWriteVirtualMemory

INT 0x62        ?                                                                                                   86F5ABF8
INT 0x63        ?                                                                                                   86DF1BF8
INT 0x82        ?                                                                                                   86F5ABF8
INT 0xA4        ?                                                                                                   86DF1BF8
INT 0xB4        ?                                                                                                   86DF1BF8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!_abnormal_termination + 104                                                            804E2760 12 Bytes  [80, 05, AE, F4, 00, 49, AF, ...] {ADD BYTE [0x4900f4ae], 0xaf; HLT ; ADC [EBX-0x51], CL; HLT }
.text           ntoskrnl.exe!_abnormal_termination + 1D5                                                            804E2831 7 Bytes  [7F, AF, F4, 90, 7F, AF, F4] {JG 0xffffffffffffffb1; HLT ; NOP ; JG 0xffffffffffffffb5; HLT }
?               spds.sys                                                                                            Le fichier spécifié est introuvable. !
?               srescan.sys                                                                                         Le fichier spécifié est introuvable. !
.text           USBPORT.SYS!DllUnload                                                                               F67A462C 5 Bytes  JMP 86DF11D8 

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!LoadResource                 7C809FC5 7 Bytes  JMP 28001E20 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!FindResourceExW              7C80AC98 7 Bytes  JMP 28001C60 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!FindResourceW                7C80BBDE 7 Bytes  JMP 28001BE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!SizeofResource               7C80BC79 7 Bytes  JMP 28001EE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!FindResourceA                7C80BE99 7 Bytes  JMP 28001CF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!LockResource                 7C80CCA7 5 Bytes  JMP 28001F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!CreateEventA                 7C8308C9 5 Bytes  JMP 28001840 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!FindResourceExA              7C835FC0 7 Bytes  JMP 28001D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!SetUnhandledExceptionFilter  7C8447ED 5 Bytes  JMP 0056DBBD C:\Program Files\Windows Live\Messenger\msnmsgr.exe (Windows Live Messenger/Microsoft Corporation)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] kernel32.dll!OutputDebugStringW           7C85A5BD 5 Bytes  JMP 28001FB0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] ADVAPI32.dll!CryptDeriveKey               77DBA1A5 7 Bytes  JMP 28001000 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] ADVAPI32.dll!CryptDecrypt                 77DBA2D1 7 Bytes  JMP 28001060 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!PeekMessageW                   77D1929B 5 Bytes  JMP 280045E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!CreateWindowExW                77D1FF50 5 Bytes  JMP 28003CA0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!SetWindowRgn                   77D202DD 7 Bytes  JMP 28005F00 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!LoadIconW                      77D212EA 2 Bytes  JMP 28006880 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!LoadIconW + 3                  77D212ED 2 Bytes  [2E, B0]
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!LoadImageW                     77D23744 5 Bytes  JMP 28006690 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!CreateDialogParamW             77D284EE 5 Bytes  JMP 28006040 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!SetWindowPlacement             77D2DF46 5 Bytes  JMP 28005DC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!MessageBoxIndirectW            77D66093 5 Bytes  JMP 28006230 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] USER32.dll!TrackPopupMenuEx               77D6CB1A 5 Bytes  JMP 28004EC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WS2_32.dll!send                           719F428A 5 Bytes  JMP 2800B800 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WS2_32.dll!WSARecv                        719F4318 5 Bytes  JMP 2800B5E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WS2_32.dll!recv                           719F615A 5 Bytes  JMP 2800B440 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WS2_32.dll!WSASend                        719F6233 5 Bytes  JMP 2800B9E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WS2_32.dll!closesocket                    719F9639 5 Bytes  JMP 2800BC20 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] SHELL32.dll!Shell_NotifyIconW             7CA31BEA 5 Bytes  JMP 28003400 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] ole32.dll!CoInitializeEx                  774BEF6B 5 Bytes  JMP 28002260 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] ole32.dll!CoRegisterClassObject           774D8720 5 Bytes  JMP 28002360 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WININET.dll!HttpOpenRequestA              77AB2B11 5 Bytes  JMP 2800A2C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WININET.dll!InternetCloseHandle           77AB4DA4 5 Bytes  JMP 2800A600 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WININET.dll!HttpSendRequestA              77AB60B9 5 Bytes  JMP 2800A530 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1140] WININET.dll!InternetReadFile              77AB7C27 5 Bytes  JMP 2800A450 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                  86FDC2D8
IAT             pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                [F7540C4C] spds.sys
IAT             pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                   [F7540CA0] spds.sys
IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                  [F7510040] spds.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                          [F751013C] spds.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                 [F75100BE] spds.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                         [F75107FC] spds.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                 [F75106D2] spds.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                  [F7520048] spds.sys
IAT             \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                86DF12D8
IAT             \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                            [F4AE4B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                 [F4AE4930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                [F4AE5260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                          [F4AE2E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                            [F4AE2E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                              [F4AE4B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                   [F4AE4930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                  [F4AE5260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                             [F4AE4B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                 [F4AE5260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                  [F4AE4930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                           [F4AE2E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisCloseAdapter]                                   [F4AE5260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisOpenAdapter]                                    [F4AE4930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisRegisterProtocol]                               [F4AE4B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                            [F4AE2E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                              [F4AE4B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                   [F4AE4930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                  [F4AE5260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile]                                     [F4AFDB30] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisRegisterProtocol]                             [F4AE4B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisDeregisterProtocol]                           [F4AE2E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisCloseAdapter]                                 [F4AE5260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisOpenAdapter]                                  [F4AE4930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile]                                       [F4ADD980] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile]                             [F4ADD8D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile]                                     [F4ADDA80] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile]                                     [F4ADD5E0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                              86F591F8
Device          \FileSystem\Fastfat \FatCdrom                                                                       86CBC500
Device          \Driver\Tcpip \Device\Ip                                                                            vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\NetBT \Device\NetBT_Tcpip_{F417B129-A0AB-4A43-AB17-000052B9A1A1}                            86AD81F8
Device          \Driver\usbohci \Device\USBPDO-0                                                                    86DF01F8
Device          \Driver\usbohci \Device\USBPDO-1                                                                    86DF01F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                           86FDA1F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                             86FDA1F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                86FDA1F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                               86FDA1F8
Device          \Driver\usbehci \Device\USBPDO-2                                                                    86DD81F8
Device          \Driver\Tcpip \Device\Tcp                                                                           vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\usbstor \Device\00000063                                                                    8693D1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                              86F5B1F8
Device          \Driver\usbstor \Device\00000064                                                                    8693D1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                              86F5B1F8
Device          \Driver\Cdrom \Device\CdRom0                                                                        86E111F8
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                              86F5B1F8
Device          \Driver\Cdrom \Device\CdRom1                                                                        86E111F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                  86F5A1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                         86F5A1F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                  86F5A1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                         86F5A1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18                                                        86F5A1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20                                                        86F5A1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                              86F5B1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{7F7C5EAC-2C17-4F96-B16E-316D401D3BA6}                            86AD81F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                             86AD81F8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                    86AD81F8
Device          \Driver\Tcpip \Device\Udp                                                                           vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\RawIp                                                                         vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\usbohci \Device\USBFDO-0                                                                    86DF01F8
Device          \Driver\usbohci \Device\USBFDO-1                                                                    86DF01F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                   86ACC500
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                   vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\usbehci \Device\USBFDO-2                                                                    86DD81F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                         86ACC500
Device          \Driver\Ftdisk \Device\FtControl                                                                    86F5B1F8
Device          \FileSystem\Fastfat \Fat                                                                            86CBC500

AttachedDevice  \FileSystem\Fastfat \Fat                                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                              86D45500

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                  771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                  285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                  1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh              0xE3 0x65 0xD8 0x3E ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                        
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                     0
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                  0xE3 0x65 0xD8 0x3E ...

---- EOF - GMER 1.0.15 ----

pimprenelle27 · Answer

gmer a t-il trouvé Rootkit?

pimprenelle27 · Answer

est qu'il ta dit qu'il avait trouvé quelque chose?

Zaaaaack · Answer

que de chose a lire pour pas grand chose, contre les virus de type baggle "Elibagla", les spyware et malware avec "windows defender" et "spybot search & destroy" BASTA !!!!

smoon · Answer

Par contre en parlant de rootkit j'en ai un bon : "Windows genuine advantage" J'ai ça depuis hier il s'est installé tout seul...

pimprenelle27 · Answer

ce n'est pas un rootkit mais certainement l'activation de ta version de windows. non.

pimprenelle27 · Answer

ok fais moi ceci maintenant on à pas fini : 

&#x25B6; Telecharge FindyKill sur ton bureau :

&#x25B6; tutoriel installation

&#x25B6; tutoriel recherche

/!\ Ne fait pas le nettoyage tout dessuite /!\

&#x25B6; Lance l installation avec les parametres par default

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci FindyKill sur ton bureau

&#x25B6; Au menu principal,choisi l option 1 (Recherche)

&#x25B6; Post le rapport FindyKill.txt

 * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

pimprenelle27 · Answer

&#x25B6; Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
 
&#x25B6; Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur ton disque C:.
 
/!\ Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..

&#x25B6; Choisir son compte, pas celui de l'Administrateur ou autre.

Dérouler la liste des instructions ci-dessous :
 
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum

pimprenelle27 · Answer

y a t-il un rapport? à demain.

smoon · Answer

[b]SDFix: Version 1.240 [/b]
Run by Smoon on 05/05/2009 at 00:24

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-05 02:39:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:e3,65,d8,3e,fb,af,38,1a,da,e0,da,d7,6a,4e,1d,84,cb,a9,ba,97,7f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:e3,65,d8,3e,fb,af,38,1a,da,e0,da,d7,6a,4e,1d,84,cb,a9,ba,97,7f,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Logiciels\adslTV\adsltv.exe"="C:\Program Files\Logiciels\adslTV\adsltv.exe:*:Enabled:adsl TV"
"C:\Program Files\Logiciels\adslTV\vlc.exe"="C:\Program Files\Logiciels\adslTV\vlc.exe:*:Enabled:vlc.exe"
"C:\Program Files\Logiciels\uTorrent\uTorrent.exe"="C:\Program Files\Logiciels\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Documents and Settings\Smoon\Bureau\utorrent.exe"="C:\Documents and Settings\Smoon\Bureau\utorrent.exe:*:Enabled:µTorrent"
"C:\Program Files\Logiciels\DNA\btdna.exe"="C:\Program Files\Logiciels\DNA\btdna.exe:*:Enabled:DNA"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Thu 19 Aug 2004        93,184 A.SH. --- "C:\Program Files\Internet Explorer\iexplore.exe"
Thu 19 Aug 2004        60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Mon 26 Jan 2009     1,740,632 A.SHR --- "C:\Program Files\Logiciels\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009     5,365,592 A.SHR --- "C:\Program Files\Logiciels\Spybot - Search & Destroy\SpybotSD.exe"
Thu  5 Mar 2009     2,260,480 A.SHR --- "C:\Program Files\Logiciels\Spybot - Search & Destroy\TeaTimer.exe"
Thu 19 Aug 2004        93,184 A.SH. --- "C:\WINDOWS\BricoPacks\SysFiles\68_iexplore.exe"
Thu 19 Aug 2004        60,416 A.SH. --- "C:\WINDOWS\BricoPacks\SysFiles\69_msimn.exe"
Wed 11 Mar 2009             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Wed 22 Apr 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8f2d403c5f0185f1075bf83935e979ed\BIT8.tmp"

[b]Finished![/b]

pimprenelle27 · Answer

ok ensuite fais moi ceci : 

Télécharger RemoveIT Pro

Fais un scan et poste moi le full rapport log.

A la fin du 1er scan, s'il demande de faire un scan complet dite oui et à la fin du 2ème scan, si virus trouvé cliquez sur fix pour nettoyer des virus trouvés.

pimprenelle27 · Answer

ok maintenant ceci pour vérifier qu'il n'y a plus de virus : 

&#x25B6; Désactive ton antivirus

&#x25B6; Rends toi sur ce site : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (avec Internet Explorer uniquement)

&#x25B6; En bas à droite, clique sur Démarrer Online-scanner

&#x25B6; Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

&#x25B6; Accepte les Contrôle ActiveX

&#x25B6; Choisis Poste de travail pour le scan.

&#x25B6; Celui-ci terminé, sauvegarde le rapport (choisis fichier texte) et poste le dans ta prochaine réponse.

&#x25B6; Pour t'aider à utiliser le scan en ligne, consulte ce tutoriel

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

pimprenelle27 · Answer

Voici ce qui reste : 

C:\System Volume Information\_restore{548CD6C1-CAC9-47D7-B894-EC60DF222667}\R­P178\A0056244.exe Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré 

C:\WINDOWS\system32\cmdow.exe Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré 

E:\LOGICIELS\Windows.XP.Ultimate-Edition.SP3.7.1.By.Mad.Dog\­ULTIMATE.EDITION.7.1.iso/$OEM$/CMDOW.EXE Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré

E:\LOGICIELS\Windows.XP.Ultimate-Edition.SP3.7.1.By.Mad.Dog\­ULTIMATE.EDITION.7.1.iso ISOimage: infecté - 1 ignoré

H:\DIVERS\Windows.XP.Ultimate-Edition.SP3.7.1.By.Mad.Dog\ULT­IMATE.EDITION.7.1.iso/$OEM$/CMDOW.EXE Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré

H:\DIVERS\Windows.XP.Ultimate-Edition.SP3.7.1.By.Mad.Dog\ULT­IMATE.EDITION.7.1.iso ISOimage: infecté - 1 ignoré

H:\DIVERS\LOGICIELS\Windows.XP.Ultimate-Edition.SP3.7.1.By.M­ad.Dog\ULTIMATE.EDITION.7.1.iso/$OEM$/CMDOW.EXE Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré

H:\DIVERS\LOGICIELS\Windows.XP.Ultimate-Edition.SP3.7.1.By.M­ad.Dog\ULTIMATE.EDITION.7.1.iso ISOimage: infecté - 1 ignoré 


Va y avoir des choses à supprimer notamment concernant le piratage d'xp.

pimprenelle27 · Answer

ça tu peux pas  : 

C:\System Volume Information\_restore{548CD6C1-CAC9-47D7-B894-EC60DF222667}\R­­P178\A0056244.exe Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré"

Et celui ci faut que je regarde  : 

C:\WINDOWS\system32\cmdow.exe Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré

le reste peut être supprimé.

pimprenelle27 · Answer

non c'est bien, mais bon c'est pas fini un dernier hijackthis pour la fin.

pimprenelle27 · Answer

Tu relance hijackthis, mais là tu clique juste sur faire un scan, ensuite tu sélectionne les lignes puis,


O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')

Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarres l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte )

Ensuite ceci :

Télécharge Toolscleaner sur ton Bureau :

* Double-clique sur ToolsCleaner2.exe et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

Puis ceci  :

pour voir si ton pc est à jour :

http://www.filehippo.com/updatechecker/UpdateChecker.exe (attention certain logiciels mis en lien pour les mises à jour peuvent être en anglais, rechercher à ce moment là celui en français)


Voici un tuto

Surtout ne pas installer les versions bêta pour les mises à jour logiciels et autres.



Et pour finir :

Purge de la restauration système


*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).



Tuto xp : http://service1.symantec.com/


tuto vista : Désactive et reactive ta restauration

pimprenelle27 · Answer

et filehippo?

smoon · Answer

Par contre mon msn lui n'est pas à jour car je voulais garder ma version, question d'habitude, est-ce important ou pas? et firefox je sais pas trop ou j'en suis, c'est une beta en tout cas.

pimprenelle27 · Answer

le dernier version 3.010 de firefox. Pour msn c'est pas grave pour le moment mais tu sera obligé d'y venir un jour ou l'autre.

pimprenelle27 · Answer

Regarde ceci

smoon · Answer

D'après : http://www.commentcamarche.net/forum/affich 12262748 trojan recalcitrant?page=2#50

pimprenelle27 · Answer

certains logiciels antivirus détectent ce petit logiciel comme un virus, justement parce qu'il est capable d'agir sur des fenêtres de Windows. Vous pouvez donc conserver ce fichier en toute tranquillité.

pimprenelle27 · Answer

c'est une vrai version de xp que tu as, où une version piraté?

pimprenelle27 · Answer

vu qu'il est en quarantaine tu n'a rien à craindre mais je vais regarder ça.

Trojan récalcitrant

38 réponses

Discussions similaires

Newsletters