VIVEZ LE
FOOTBALL !
Posez votre question Signaler

Virus rootkit gen [Résolu]

steph42vert 55Messages postés 21 septembre 2007Date d'inscription 16 février 2012Dernière intervention - Dernière réponse le 8 avril 2010 à 19:11

bonjour a tous
voila depuis hier antivir m a decouvert un virus dans le fichier "dowuzy.sys" et il me dit que ce fichier contient le cheval de troie TR/rootkit.gen
il l a mis automatiquement en quarantaine mais n a pu le supprimer ni le reparer
que dois je faire ? est ce grave ?
je n y connais pas grand chose (voire meme rien du tout ) et je suis assez inquiet de savoir ce virus present dans le systeme
Lire la suite 

Virus rootkit gen »

Suggestions
Plus
19 réponses
Réponse
+0
moins plus
Destrio5 66660Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 26 mai 2012Dernière intervention 7 avril 2010 à 10:55
Bonjour,

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
steph42vert 55Messages postés 21 septembre 2007Date d'inscription 16 février 2012Dernière intervention 7 avril 2010 à 15:01
merci pour ton aide

voici le rapport demandé (apparemment il n a pas pu tout supprimer )

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

07/04/2010 14:58:42
mbam-log-2010-04-07 (14-58-42).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 197091
Temps écoulé: 10 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\dowuzy.sys (Rootkit.Agent) -> Delete on reboot.
C:\Documents and Settings\PC1\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\PC1\Menu Démarrer\Programmes\Démarrage\syspck32.exe (Trojan.Downloader) -> Delete on reboot.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66660Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 26 mai 2012Dernière intervention 7 avril 2010 à 15:02
--> Redémarre ton PC.

--> Relance MBAM, va dans Quarantaine et supprime tout.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
steph42vert 7 avril 2010 à 15:43
voici le rapport combofix :

ComboFix 10-04-06.04 - PC1 07/04/2010 15:23:19.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.177 [GMT 2:00]
Lancé depuis: c:\documents and settings\PC1\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DRIVER
-------\Legacy_DRIVERDRV
-------\Legacy_GLAIDE32


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-07 au 2010-04-07 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-07 13:34 . 2004-08-05 12:00 503650 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-07 13:34 . 2004-08-05 12:00 81678 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-07 13:16 . 2009-04-23 17:06 -------- d-----w- c:\program files\Wanadoo
2010-04-07 12:45 . 2009-06-25 18:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-07 12:45 . 2010-04-07 12:45 5918776 ----a-w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-07 11:47 . 2010-04-07 11:47 8 ----a-w- c:\documents and settings\NetworkService.AUTORITE NT\Application Data\jasltw.dat
2010-04-06 20:52 . 2010-04-06 20:52 8 ----a-w- c:\windows\system32\config\systemprofile\Application Data\jasltw.dat
2010-03-29 22:46 . 2009-06-25 18:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-06-25 18:40 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-02 17:42 . 2010-03-01 18:01 -------- d-----w- c:\program files\SETI@home
2010-02-21 17:09 . 2010-02-21 11:19 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Norton
2010-02-21 17:09 . 2010-02-21 11:43 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-02-21 11:19 . 2010-02-21 11:19 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Symantec
2010-02-21 11:19 . 2010-02-21 11:19 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\NortonInstaller
2010-02-10 08:31 . 2009-06-30 16:10 -------- d-----w- c:\program files\Google
2010-02-07 13:25 . 2010-02-07 13:25 -------- d-----w- c:\documents and settings\PC1\Application Data\igraal
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-30 39408]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2004-05-13 24576]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-05-13 24576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

c:\documents and settings\PC1\Menu D'marrer\Programmes\D'marrage\
Registration-PCTV.lnk - c:\program files\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe [2009-12-2 245760]

c:\documents and settings\All Users.WINDOWS\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Pinnacle Scheduler.lnk - c:\program files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2009-12-2 237568]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/06/2009 09:45 108289]
R2 BT848;Conexant's BtPCI WDM Video Capture;c:\windows\system32\drivers\BT848.sys [09/12/2009 20:14 371349]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [02/12/2009 20:06 6400]
S0 dowuzy;dowuzy; [x]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/10/2009 17:15 133104]
.
Contenu du dossier 'Tâches planifiées'

2010-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 15:15]

2010-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 15:15]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.wanadoo.fr
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
DPF: {4DD20514-9520-40A7-9CD6-66883643A20B} - hxxp://www.boaki.com/download/uviLaunch.cab
FF - ProfilePath - c:\documents and settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-4StoryFR_is1 - c:\documents and settings\clément\Mes documents\unins000.exe
AddRemove-HijackThis - c:\documents and settings\PC1\Mes documents\sylvain.peyret\HijackThis.exe
AddRemove-Phun_is1 - c:\documents and settings\clément\Mes documents\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-07 15:31
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(608)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-04-07 15:39:47 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-07 13:39

Avant-CF: 24 359 100 416 octets libres
Après-CF: 24 834 961 408 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - DFE1E6A09F6F33AB318E233F8EAA3B8C

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66660Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 26 mai 2012Dernière intervention 7 avril 2010 à 15:53
/!\ Seul steph42vert peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

Driver::
dowuzy

File::
C:\WINDOWS\system32\drivers\dowuzy.sys
c:\documents and settings\NetworkService.AUTORITE NT\Application Data\jasltw.dat
c:\windows\system32\config\systemprofile\Application Data\jasltw.dat






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/...

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
steph42vert 7 avril 2010 à 16:35
ComboFix 10-04-06.04 - PC1 07/04/2010 16:12:09.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.273 [GMT 2:00]
Lancé depuis: c:\documents and settings\PC1\Bureau\combofix.exe
Commutateurs utilisés :: c:\documents and settings\PC1\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\documents and settings\NetworkService.AUTORITE NT\Application Data\jasltw.dat"
"c:\windows\system32\config\systemprofile\Application Data\jasltw.dat"
"c:\windows\system32\drivers\dowuzy.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\NetworkService.AUTORITE NT\Application Data\jasltw.dat
c:\windows\system32\config\systemprofile\Application Data\jasltw.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOWUZY
-------\Service_dowuzy


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-07 au 2010-04-07 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-07 14:24 . 2004-08-05 12:00 503650 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-07 14:24 . 2004-08-05 12:00 81678 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-07 13:41 . 2009-04-23 17:06 -------- d-----w- c:\program files\Wanadoo
2010-04-07 12:45 . 2009-06-25 18:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-07 12:45 . 2010-04-07 12:45 5918776 ----a-w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-03-29 22:46 . 2009-06-25 18:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-06-25 18:40 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-02 17:42 . 2010-03-01 18:01 -------- d-----w- c:\program files\SETI@home
2010-02-21 17:09 . 2010-02-21 11:19 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Norton
2010-02-21 17:09 . 2010-02-21 11:43 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-02-21 11:19 . 2010-02-21 11:19 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Symantec
2010-02-21 11:19 . 2010-02-21 11:19 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\NortonInstaller
2010-02-10 08:31 . 2009-06-30 16:10 -------- d-----w- c:\program files\Google
2010-02-07 13:25 . 2010-02-07 13:25 -------- d-----w- c:\documents and settings\PC1\Application Data\igraal
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-30 39408]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-09-04 6856704]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2004-05-13 24576]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-05-13 24576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

c:\documents and settings\PC1\Menu D'marrer\Programmes\D'marrage\
Registration-PCTV.lnk - c:\program files\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe [2009-12-2 245760]

c:\documents and settings\All Users.WINDOWS\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Pinnacle Scheduler.lnk - c:\program files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2009-12-2 237568]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/06/2009 09:45 108289]
R2 BT848;Conexant's BtPCI WDM Video Capture;c:\windows\system32\drivers\BT848.sys [09/12/2009 20:14 371349]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [02/12/2009 20:06 6400]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/10/2009 17:15 133104]
.
Contenu du dossier 'Tâches planifiées'

2010-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 15:15]

2010-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 15:15]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.wanadoo.fr
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
TCP: {94BA55DE-3708-4F83-8EA7-35D4927F274C} = 80.10.246.130 81.253.149.2
DPF: {4DD20514-9520-40A7-9CD6-66883643A20B} - hxxp://www.boaki.com/download/uviLaunch.cab
FF - ProfilePath - c:\documents and settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-07 16:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2560)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-04-07 16:28:49 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-07 14:28
ComboFix2.txt 2010-04-07 13:39

Avant-CF: 24 636 948 480 octets libres
Après-CF: 24 606 359 552 octets libres

- - End Of File - - 3762E75D82B364D4724B0306D92697C2

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66660Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 26 mai 2012Dernière intervention 7 avril 2010 à 16:39
--> Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide.

--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.

--> Dans AntiVir, choisis Outils puis Configuration.

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.

--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.

Tutoriel sur AntiVir.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 7 avril 2010 à 16:54
hello 5 contre 1 qu'il le trouve pas ^^

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
steph42vert 7 avril 2010 à 18:06
apres analyse complete avec antivir voici le rapport

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 7 avril 2010 17:15

La recherche porte sur 1963907 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC1-FA27360137D

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 20:44:37
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:44:37
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:44:37
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:52:33
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 18:04:25
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 18:05:07
VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 18:05:08
VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 18:05:11
VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 18:05:12
VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 18:05:12
VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 18:05:12
VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 18:05:13
VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 18:05:13
VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 18:05:14
VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 17:31:12
VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 17:31:14
VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 17:31:56
VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 18:19:17
VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 18:19:19
VBASE018.VDF : 7.10.5.121 112640 Bytes 18/03/2010 18:49:51
VBASE019.VDF : 7.10.5.138 139776 Bytes 18/03/2010 18:20:11
VBASE020.VDF : 7.10.5.164 113152 Bytes 22/03/2010 18:19:52
VBASE021.VDF : 7.10.5.182 108032 Bytes 23/03/2010 18:19:49
VBASE022.VDF : 7.10.5.199 123904 Bytes 24/03/2010 18:19:57
VBASE023.VDF : 7.10.5.217 279552 Bytes 25/03/2010 15:53:37
VBASE024.VDF : 7.10.5.234 202240 Bytes 26/03/2010 15:53:44
VBASE025.VDF : 7.10.5.254 187904 Bytes 30/03/2010 15:53:26
VBASE026.VDF : 7.10.6.18 130560 Bytes 01/04/2010 15:53:21
VBASE027.VDF : 7.10.6.19 2048 Bytes 01/04/2010 15:53:21
VBASE028.VDF : 7.10.6.20 2048 Bytes 01/04/2010 15:53:22
VBASE029.VDF : 7.10.6.21 2048 Bytes 01/04/2010 15:53:22
VBASE030.VDF : 7.10.6.22 2048 Bytes 01/04/2010 15:53:22
VBASE031.VDF : 7.10.6.31 136192 Bytes 06/04/2010 17:54:38
Version du moteur : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 19:06:38
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 02/04/2010 15:53:56
AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 17:29:26
AESBX.DLL : 8.1.2.1 254323 Bytes 18/03/2010 18:51:10
AERDL.DLL : 8.1.4.3 541043 Bytes 18/03/2010 18:50:57
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 18:20:29
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18/03/2010 18:50:49
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 29/03/2010 15:54:26
AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 15:53:45
AEGEN.DLL : 8.1.3.6 373108 Bytes 02/04/2010 15:53:38
AEEMU.DLL : 8.1.1.0 393587 Bytes 05/10/2009 16:25:55
AECORE.DLL : 8.1.13.1 188790 Bytes 02/04/2010 15:53:29
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 16:11:58
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 17:27:37
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/07/2009 08:07:50
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 20:44:36

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mercredi 7 avril 2010 17:15

La recherche d'objets cachés commence.
'38223' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msimn.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Watch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ComComp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EspaceWanadoo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dragdiag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CnxMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'34' processus ont été contrôlés avec '34' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\PC1\Mes documents\Downloads\qc848fra.exe
[0] Type d'archive: CAB SFX (self extracting)
--> \AppInst\engine32.cab
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\WINDOWS\SoftwareDistribution\Download\269c8a00059eb7ef64856175d1505802\BIT2D.tmp
[0] Type d'archive: CAB (Microsoft)
--> _sfx_0001._p
[AVERTISSEMENT] Impossible d'écrire le fichier !
--> _sfx_0000._p
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.


Fin de la recherche : mercredi 7 avril 2010 18:05
Temps nécessaire: 49:59 Minute(s)

La recherche a été effectuée intégralement

5968 Les répertoires ont été contrôlés
214529 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
214528 Fichiers non infectés
4318 Les archives ont été contrôlées
6 Avertissements
1 Consignes
38223 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 7 avril 2010 à 19:18
;)

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
sylvester 7 avril 2010 à 20:19
est ce a dire que je suis sorti d affaire ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66660Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 26 mai 2012Dernière intervention 8 avril 2010 à 00:05
1/

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Pour supprimer les popups d'AntiVir : Lien

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Propriétés, onglet Mises à jour automatiques).

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


Sois plus vigilant(e) sur Internet ;)

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
sylvester 8 avril 2010 à 18:09
salut

1/ voici le rapport tcleaner

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Documents and Settings\PC1\Mes documents\sylvain.peyret\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Combofix.txt: supprimé !
C:\Documents and Settings\PC1\Mes documents\sylvain.peyret\hijackthis.log: supprimé !

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66660Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 26 mai 2012Dernière intervention 8 avril 2010 à 18:26
Tu peux supprimer ToolsCleaner.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
sylvester 8 avril 2010 à 18:38
voila j ai supprime tools cleaner

y a t-il autre chose ?

j en profite pour une autre petite question ; faut il activer les mises a jour automatiques de windows ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66660Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 26 mai 2012Dernière intervention 8 avril 2010 à 18:40
Si ton Windows n'est pas piraté, c'est préférable.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
sylvester 8 avril 2010 à 18:50
sinon en ce qui concerne le virus initial c est desormais ok ?

c est pas evident de savoir reellement sur quels sites on peut aller en toute tranquilite je me demande meme si ca existe !!

en tout cas si tout est ok pour moi je tiens vraiment a te remercier sincerement

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66660Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 26 mai 2012Dernière intervention 8 avril 2010 à 18:51
Pour moi, c'est OK.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
sylvester 8 avril 2010 à 19:11
alors mille merci

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « virus rootkit gen » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?