Sujet Précédent Sujet Suivant

Virus svchost.exe

Résolu/Fermé
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010 - 13 avril 2010 à 08:42
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010 - 26 avril 2010 à 09:56
Bonjour,
depuis quelques semaines, je suis envahi par des virus repérés dans Avast C:\WINDOWS\TEMP\xxxx.tmp\svchost.exe Win32:Malware-gen.
J'ai essayé en regardant sur les forums de m'en débarrasser, mais je ne dois pas faire les choses comme il faut et c'est toujours pareil ( un virus toutes les 10 mn que je mets en quarantaine).
J'ai exécuté MBAM et même combofix, mais j'ai dû faire une bêtise parce que depuis, je n'ai plus de pare feu windows et je n'ai plus accès à windows update, mais bien sûr toujours les virus svchost.exe.
Si vous pouviez m'aider à tout reprendre pas à pas depuis le début, avec la bonne procédure ça serait super. Merci


117 réponses

Précédent
Réponse 41 / 117
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
Modifié par ep44 le 15/04/2010 à 12:34
Bonjour jakezz,

Dit moi comment ce comporte ton PC.

Peut tu refaire un scan avec TDSSKiller stp.


C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.
0
Réponse 42 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
Modifié par jakezz le 15/04/2010 à 14:22
Bonjour EP44,
mon pc se comporte parfaitement, rien de particulier à signaler.
J'ai refait un scan Kapersky comme tu me l'as demandé, et il a retrouvé les mêmes infections que la première fois qui sont juste des archives d'outlook express dans C:/ et copiées dans E:/ . Mon avast ne les signale pas comme infectées. Est- ce qu'il faut faire quelque chose ?


--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Thursday, April 15, 2010
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Thursday, April 15, 2010 09:02:27
Records in database: 3946185
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\

Scan statistics:
Objects scanned: 127345
Threats found: 2
Infected objects found: 22
Suspicious objects found: 18
Scan duration: 02:25:18


File name / Threat / Threats count
C:\Program Files\Outlook Express\Outlook Express\03\Boîte de réception.dbx Infected: Exploit.HTML.ObjData 1
C:\Program Files\Outlook Express\Outlook Express\03\Boîte de réception.dbx Suspicious: Exploit.HTML.ObjData 2
C:\Program Files\Outlook Express\Outlook Express\04\Boîte de réception.dbx Infected: Exploit.HTML.ObjData 10
C:\Program Files\Outlook Express\Outlook Express\04\Boîte de réception.dbx Suspicious: Exploit.HTML.ObjData 5
C:\Program Files\Outlook Express\Outlook Express\10\Boîte de réception.dbx Suspicious: Exploit.HTML.Iframe.FileDownload 2
E:\outllok\Outlook Express\Outlook Express\03\Boîte de réception.dbx Infected: Exploit.HTML.ObjData 1
E:\outllok\Outlook Express\Outlook Express\03\Boîte de réception.dbx Suspicious: Exploit.HTML.ObjData 2
E:\outllok\Outlook Express\Outlook Express\04\Boîte de réception.dbx Infected: Exploit.HTML.ObjData 10
E:\outllok\Outlook Express\Outlook Express\04\Boîte de réception.dbx Suspicious: Exploit.HTML.ObjData 5
E:\outllok\Outlook Express\Outlook Express\10\Boîte de réception.dbx Suspicious: Exploit.HTML.Iframe.FileDownload 2

Selected area has been scanned.


Ha mince je viens de voir que tu voulais un scan avec tdsskiller et non pas avec Kapersky...Bon bah j'y retourne ...
0
Réponse 43 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
15 avril 2010 à 14:35
Voilà le scan tdsskiller;
J'ai eu le même problème que la dernière fois au moment où on me demande de redémarrer en appuyant sur y, un écran me dit que "l'application n'a pas pu être "je ne sais quoi" parce que la station de récupération est déjà utilisée ou un truc comme ça". Mais bon, cette fois il a bien redémarré :

14:27:16:781 2628 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
14:27:16:781 2628 ================================================================================
14:27:16:781 2628 SystemInfo:

14:27:16:781 2628 OS Version: 5.1.2600 ServicePack: 3.0
14:27:16:781 2628 Product type: Workstation
14:27:16:796 2628 ComputerName: JAK-TE6R9BJNHDR
14:27:16:796 2628 UserName: jak
14:27:16:796 2628 Windows directory: C:\WINDOWS
14:27:16:796 2628 Processor architecture: Intel x86
14:27:16:796 2628 Number of processors: 2
14:27:16:796 2628 Page size: 0x1000
14:27:16:796 2628 Boot type: Normal boot
14:27:16:796 2628 ================================================================================
14:27:16:812 2628 UnloadDriverW: NtUnloadDriver error 2
14:27:16:812 2628 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
14:27:16:828 2628 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
14:27:16:828 2628 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
14:27:16:828 2628 wfopen_ex: Trying to KLMD file open
14:27:16:828 2628 wfopen_ex: File opened ok (Flags 2)
14:27:16:828 2628 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
14:27:16:828 2628 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
14:27:16:828 2628 wfopen_ex: Trying to KLMD file open
14:27:16:828 2628 wfopen_ex: File opened ok (Flags 2)
14:27:16:828 2628 Initialize success
14:27:16:828 2628
14:27:16:828 2628 Scanning Services ...
14:27:17:078 2628 Raw services enum returned 305 services
14:27:17:093 2628
14:27:17:093 2628 Scanning Kernel memory ...
14:27:17:093 2628 Devices to scan: 7
14:27:17:093 2628
14:27:17:093 2628 Driver Name: Disk
14:27:17:093 2628 IRP_MJ_CREATE : BA0EEBB0
14:27:17:093 2628 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
14:27:17:093 2628 IRP_MJ_CLOSE : BA0EEBB0
14:27:17:093 2628 IRP_MJ_READ : BA0E8D1F
14:27:17:093 2628 IRP_MJ_WRITE : BA0E8D1F
14:27:17:093 2628 IRP_MJ_QUERY_INFORMATION : 804F4562
14:27:17:093 2628 IRP_MJ_SET_INFORMATION : 804F4562
14:27:17:093 2628 IRP_MJ_QUERY_EA : 804F4562
14:27:17:093 2628 IRP_MJ_SET_EA : 804F4562
14:27:17:093 2628 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
14:27:17:093 2628 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
14:27:17:093 2628 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
14:27:17:093 2628 IRP_MJ_DIRECTORY_CONTROL : 804F4562
14:27:17:093 2628 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
14:27:17:093 2628 IRP_MJ_DEVICE_CONTROL : BA0E93BB
14:27:17:093 2628 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
14:27:17:093 2628 IRP_MJ_SHUTDOWN : BA0E92E2
14:27:17:093 2628 IRP_MJ_LOCK_CONTROL : 804F4562
14:27:17:093 2628 IRP_MJ_CLEANUP : 804F4562
14:27:17:093 2628 IRP_MJ_CREATE_MAILSLOT : 804F4562
14:27:17:093 2628 IRP_MJ_QUERY_SECURITY : 804F4562
14:27:17:093 2628 IRP_MJ_SET_SECURITY : 804F4562
14:27:17:093 2628 IRP_MJ_POWER : BA0EAC82
14:27:17:093 2628 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
14:27:17:093 2628 IRP_MJ_DEVICE_CHANGE : 804F4562
14:27:17:093 2628 IRP_MJ_QUERY_QUOTA : 804F4562
14:27:17:093 2628 IRP_MJ_SET_QUOTA : 804F4562
14:27:17:125 2628 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
14:27:17:125 2628
14:27:17:125 2628 Driver Name: usbstor
14:27:17:125 2628 IRP_MJ_CREATE : 9E8A4218
14:27:17:125 2628 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
14:27:17:125 2628 IRP_MJ_CLOSE : 9E8A4218
14:27:17:125 2628 IRP_MJ_READ : 9E8A423C
14:27:17:125 2628 IRP_MJ_WRITE : 9E8A423C
14:27:17:125 2628 IRP_MJ_QUERY_INFORMATION : 804F4562
14:27:17:125 2628 IRP_MJ_SET_INFORMATION : 804F4562
14:27:17:125 2628 IRP_MJ_QUERY_EA : 804F4562
14:27:17:125 2628 IRP_MJ_SET_EA : 804F4562
14:27:17:125 2628 IRP_MJ_FLUSH_BUFFERS : 804F4562
14:27:17:125 2628 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
14:27:17:125 2628 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
14:27:17:125 2628 IRP_MJ_DIRECTORY_CONTROL : 804F4562
14:27:17:125 2628 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
14:27:17:125 2628 IRP_MJ_DEVICE_CONTROL : 9E8A4180
14:27:17:125 2628 IRP_MJ_INTERNAL_DEVICE_CONTROL : 9E89F9E6
14:27:17:125 2628 IRP_MJ_SHUTDOWN : 804F4562
14:27:17:125 2628 IRP_MJ_LOCK_CONTROL : 804F4562
14:27:17:125 2628 IRP_MJ_CLEANUP : 804F4562
14:27:17:125 2628 IRP_MJ_CREATE_MAILSLOT : 804F4562
14:27:17:125 2628 IRP_MJ_QUERY_SECURITY : 804F4562
14:27:17:125 2628 IRP_MJ_SET_SECURITY : 804F4562
14:27:17:125 2628 IRP_MJ_POWER : 9E8A35F0
14:27:17:125 2628 IRP_MJ_SYSTEM_CONTROL : 9E8A1A6E
14:27:17:125 2628 IRP_MJ_DEVICE_CHANGE : 804F4562
14:27:17:125 2628 IRP_MJ_QUERY_QUOTA : 804F4562
14:27:17:125 2628 IRP_MJ_SET_QUOTA : 804F4562
14:27:17:156 2628 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
14:27:17:156 2628
14:27:17:156 2628 Driver Name: Disk
14:27:17:156 2628 IRP_MJ_CREATE : BA0EEBB0
14:27:17:156 2628 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
14:27:17:156 2628 IRP_MJ_CLOSE : BA0EEBB0
14:27:17:156 2628 IRP_MJ_READ : BA0E8D1F
14:27:17:156 2628 IRP_MJ_WRITE : BA0E8D1F
14:27:17:156 2628 IRP_MJ_QUERY_INFORMATION : 804F4562
14:27:17:156 2628 IRP_MJ_SET_INFORMATION : 804F4562
14:27:17:156 2628 IRP_MJ_QUERY_EA : 804F4562
14:27:17:156 2628 IRP_MJ_SET_EA : 804F4562
14:27:17:156 2628 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
14:27:17:156 2628 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
14:27:17:156 2628 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
14:27:17:156 2628 IRP_MJ_DIRECTORY_CONTROL : 804F4562
14:27:17:156 2628 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
14:27:17:156 2628 IRP_MJ_DEVICE_CONTROL : BA0E93BB
14:27:17:156 2628 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
14:27:17:156 2628 IRP_MJ_SHUTDOWN : BA0E92E2
14:27:17:156 2628 IRP_MJ_LOCK_CONTROL : 804F4562
14:27:17:156 2628 IRP_MJ_CLEANUP : 804F4562
14:27:17:156 2628 IRP_MJ_CREATE_MAILSLOT : 804F4562
14:27:17:156 2628 IRP_MJ_QUERY_SECURITY : 804F4562
14:27:17:156 2628 IRP_MJ_SET_SECURITY : 804F4562
14:27:17:156 2628 IRP_MJ_POWER : BA0EAC82
14:27:17:156 2628 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
14:27:17:156 2628 IRP_MJ_DEVICE_CHANGE : 804F4562
14:27:17:156 2628 IRP_MJ_QUERY_QUOTA : 804F4562
14:27:17:156 2628 IRP_MJ_SET_QUOTA : 804F4562
14:27:17:171 2628 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
14:27:17:171 2628
14:27:17:171 2628 Driver Name: Disk
14:27:17:171 2628 IRP_MJ_CREATE : BA0EEBB0
14:27:17:171 2628 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
14:27:17:171 2628 IRP_MJ_CLOSE : BA0EEBB0
14:27:17:171 2628 IRP_MJ_READ : BA0E8D1F
14:27:17:171 2628 IRP_MJ_WRITE : BA0E8D1F
14:27:17:171 2628 IRP_MJ_QUERY_INFORMATION : 804F4562
14:27:17:171 2628 IRP_MJ_SET_INFORMATION : 804F4562
14:27:17:171 2628 IRP_MJ_QUERY_EA : 804F4562
14:27:17:171 2628 IRP_MJ_SET_EA : 804F4562
14:27:17:171 2628 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
14:27:17:171 2628 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
14:27:17:171 2628 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
14:27:17:171 2628 IRP_MJ_DIRECTORY_CONTROL : 804F4562
14:27:17:171 2628 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
14:27:17:171 2628 IRP_MJ_DEVICE_CONTROL : BA0E93BB
14:27:17:171 2628 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
14:27:17:171 2628 IRP_MJ_SHUTDOWN : BA0E92E2
14:27:17:171 2628 IRP_MJ_LOCK_CONTROL : 804F4562
14:27:17:171 2628 IRP_MJ_CLEANUP : 804F4562
14:27:17:171 2628 IRP_MJ_CREATE_MAILSLOT : 804F4562
14:27:17:171 2628 IRP_MJ_QUERY_SECURITY : 804F4562
14:27:17:171 2628 IRP_MJ_SET_SECURITY : 804F4562
14:27:17:171 2628 IRP_MJ_POWER : BA0EAC82
14:27:17:171 2628 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
14:27:17:171 2628 IRP_MJ_DEVICE_CHANGE : 804F4562
14:27:17:171 2628 IRP_MJ_QUERY_QUOTA : 804F4562
14:27:17:171 2628 IRP_MJ_SET_QUOTA : 804F4562
14:27:17:171 2628 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
14:27:17:171 2628
14:27:17:171 2628 Driver Name: Disk
14:27:17:171 2628 IRP_MJ_CREATE : BA0EEBB0
14:27:17:171 2628 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
14:27:17:171 2628 IRP_MJ_CLOSE : BA0EEBB0
14:27:17:171 2628 IRP_MJ_READ : BA0E8D1F
14:27:17:171 2628 IRP_MJ_WRITE : BA0E8D1F
14:27:17:171 2628 IRP_MJ_QUERY_INFORMATION : 804F4562
14:27:17:171 2628 IRP_MJ_SET_INFORMATION : 804F4562
14:27:17:171 2628 IRP_MJ_QUERY_EA : 804F4562
14:27:17:171 2628 IRP_MJ_SET_EA : 804F4562
14:27:17:171 2628 IRP_MJ_FLUSH_BUFFERS : BA0E92E2
14:27:17:171 2628 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
14:27:17:171 2628 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
14:27:17:171 2628 IRP_MJ_DIRECTORY_CONTROL : 804F4562
14:27:17:171 2628 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
14:27:17:171 2628 IRP_MJ_DEVICE_CONTROL : BA0E93BB
14:27:17:171 2628 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
14:27:17:171 2628 IRP_MJ_SHUTDOWN : BA0E92E2
14:27:17:171 2628 IRP_MJ_LOCK_CONTROL : 804F4562
14:27:17:171 2628 IRP_MJ_CLEANUP : 804F4562
14:27:17:171 2628 IRP_MJ_CREATE_MAILSLOT : 804F4562
14:27:17:171 2628 IRP_MJ_QUERY_SECURITY : 804F4562
14:27:17:171 2628 IRP_MJ_SET_SECURITY : 804F4562
14:27:17:171 2628 IRP_MJ_POWER : BA0EAC82
14:27:17:171 2628 IRP_MJ_SYSTEM_CONTROL : BA0EF99E
14:27:17:171 2628 IRP_MJ_DEVICE_CHANGE : 804F4562
14:27:17:171 2628 IRP_MJ_QUERY_QUOTA : 804F4562
14:27:17:171 2628 IRP_MJ_SET_QUOTA : 804F4562
14:27:17:171 2628 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
14:27:17:171 2628
14:27:17:171 2628 Driver Name: atapi
14:27:17:171 2628 IRP_MJ_CREATE : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_CREATE_NAMED_PIPE : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_CLOSE : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_READ : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_WRITE : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_QUERY_INFORMATION : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_SET_INFORMATION : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_QUERY_EA : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_SET_EA : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_FLUSH_BUFFERS : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_QUERY_VOLUME_INFORMATION : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_SET_VOLUME_INFORMATION : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_DIRECTORY_CONTROL : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_FILE_SYSTEM_CONTROL : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_DEVICE_CONTROL : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_SHUTDOWN : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_LOCK_CONTROL : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_CLEANUP : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_CREATE_MAILSLOT : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_QUERY_SECURITY : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_SET_SECURITY : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_POWER : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_SYSTEM_CONTROL : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_DEVICE_CHANGE : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_QUERY_QUOTA : 8A2F0AC8
14:27:17:171 2628 IRP_MJ_SET_QUOTA : 8A2F0AC8
14:27:17:171 2628 Driver "atapi" infected by TDSS rootkit!
14:27:17:171 2628 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
14:27:17:171 2628 File "C:\WINDOWS\system32\DRIVERS\atapi.sys" infected by TDSS rootkit ... 14:27:17:171 2628 Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys
14:27:17:171 2628 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
14:27:17:421 2628 vfvi6
14:27:17:515 2628 !dsvbh1
14:27:18:062 2628 dsvbh2
14:27:18:078 2628 fdfb2
14:27:18:078 2628 Backup copy found, using it..
14:27:18:078 2628 will be cured on next reboot
14:27:18:078 2628
14:27:18:078 2628 Driver Name: atapi
14:27:18:078 2628 IRP_MJ_CREATE : B9F146F2
14:27:18:078 2628 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
14:27:18:078 2628 IRP_MJ_CLOSE : B9F146F2
14:27:18:078 2628 IRP_MJ_READ : 804F4562
14:27:18:078 2628 IRP_MJ_WRITE : 804F4562
14:27:18:078 2628 IRP_MJ_QUERY_INFORMATION : 804F4562
14:27:18:078 2628 IRP_MJ_SET_INFORMATION : 804F4562
14:27:18:078 2628 IRP_MJ_QUERY_EA : 804F4562
14:27:18:078 2628 IRP_MJ_SET_EA : 804F4562
14:27:18:078 2628 IRP_MJ_FLUSH_BUFFERS : 804F4562
14:27:18:078 2628 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
14:27:18:078 2628 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
14:27:18:078 2628 IRP_MJ_DIRECTORY_CONTROL : 804F4562
14:27:18:078 2628 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
14:27:18:078 2628 IRP_MJ_DEVICE_CONTROL : B9F14712
14:27:18:078 2628 IRP_MJ_INTERNAL_DEVICE_CONTROL : B9F10852
14:27:18:078 2628 IRP_MJ_SHUTDOWN : 804F4562
14:27:18:078 2628 IRP_MJ_LOCK_CONTROL : 804F4562
14:27:18:078 2628 IRP_MJ_CLEANUP : 804F4562
14:27:18:078 2628 IRP_MJ_CREATE_MAILSLOT : 804F4562
14:27:18:078 2628 IRP_MJ_QUERY_SECURITY : 804F4562
14:27:18:078 2628 IRP_MJ_SET_SECURITY : 804F4562
14:27:18:078 2628 IRP_MJ_POWER : B9F1473C
14:27:18:078 2628 IRP_MJ_SYSTEM_CONTROL : B9F1B336
14:27:18:078 2628 IRP_MJ_DEVICE_CHANGE : 804F4562
14:27:18:078 2628 IRP_MJ_QUERY_QUOTA : 804F4562
14:27:18:078 2628 IRP_MJ_SET_QUOTA : 804F4562
14:27:18:078 2628 C:\WINDOWS\system32\drivers\tsk2160.tmp - Verdict: 3
14:27:18:078 2628 Reboot required for cure complete..
14:27:18:078 2628 Cure on reboot scheduled successfully
14:27:18:078 2628
14:27:18:078 2628 Completed
14:27:18:078 2628
14:27:18:078 2628 Results:
14:27:18:078 2628 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
14:27:18:078 2628 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
14:27:18:078 2628 File objects infected / cured / cured on reboot: 1 / 0 / 1
14:27:18:078 2628
14:27:18:078 2628 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
14:27:18:078 2628 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
14:27:18:078 2628 UnloadDriverW: NtUnloadDriver error 1
14:27:18:093 2628 KLMD(ARK) unloaded successfully
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
15 avril 2010 à 14:37
Pour le coup tu as réussi à redémarrer correctement? Parce que là manifestement ça n'avait pas marché :D
0
Réponse 44 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
15 avril 2010 à 14:47
Oui, ça a redémarré sans problème.
Mais il est probable que ça n'a pas marché non plus cette fois-ci puisqu' avast vient d'arrêter 2 nouveaux svchost.exe dans le dossier temp de windows. C'est repartit comme en 14. Qu'est-ce qui s'est passé ? Y'a pas une histoire de restauration du système qui remet le couvert à chaque fois que je redémarre ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 117
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
15 avril 2010 à 14:49
Je sais pas trop ce qu'il se passe...

Télécharger http://www.esagelab.com/files/tdss_remover_latest.rar

* Il se peut que le programme demande a redémarrer => faire "Yes"
* Lancer le programme, le scan débute.
* Les programmes cachés apparaissent, les selectionner et faire "Delete Selected"
* Le programme demande a redémarrer le PC, faire "Yes"
* Donner le rapport si possible.
0
Réponse 46 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
15 avril 2010 à 15:08
J'ai fait le scan , mais il n'a trouvé que les "faux positifs" d'Avast, rien d'autre...Et les svchost.exe continuent de pleuvoir...
Ils sont revenus depuis que j'ai réexécuté le tdsskiller. Si je revenais à un point de restauration avant, je pourrais peut-être retrouver l'état que j'avais réussi à avoir. ?
0
Réponse 47 / 117
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
15 avril 2010 à 15:10
Non, car l'infection est présente dans le MBR. Même en formatant il est probable que l'infection soit toujours là.

On va se renseigner.
0
Réponse 48 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
15 avril 2010 à 17:51
Peut-être qu'il faudrait voir pourquoi load-tdsskiller ne peut pas s'effectuer correctement.
Le message qui dit "l'application n'a pas pu être "je ne sais quoi" parce que la station de récupération est déjà utilisée ou un truc comme ça" apparaît très rapidement avant que l'ordi s'éteigne et je n'ai pas eu le temps de vraiment lire de quoi il s'agissait.
0
Réponse 49 / 117
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
15 avril 2010 à 18:58
Relance TDSSKiler stp pour une vérification.

0
Réponse 50 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
15 avril 2010 à 19:27
Voilà le nouveau scan :
le même panneau est apparu avant la fermeture :
je pense que ça disait " l'application n'a pas pu s'initialiser parce que la station de travail n'est pas fermée"


19:21:44:687 1704 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
19:21:44:687 1704 ================================================================================
19:21:44:687 1704 SystemInfo:

19:21:44:687 1704 OS Version: 5.1.2600 ServicePack: 3.0
19:21:44:687 1704 Product type: Workstation
19:21:44:687 1704 ComputerName: JAK-TE6R9BJNHDR
19:21:44:687 1704 UserName: jak
19:21:44:687 1704 Windows directory: C:\WINDOWS
19:21:44:687 1704 Processor architecture: Intel x86
19:21:44:687 1704 Number of processors: 2
19:21:44:687 1704 Page size: 0x1000
19:21:44:687 1704 Boot type: Normal boot
19:21:44:687 1704 ================================================================================
19:21:44:734 1704 UnloadDriverW: NtUnloadDriver error 2
19:21:44:734 1704 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
19:21:44:765 1704 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
19:21:44:765 1704 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:21:44:765 1704 wfopen_ex: Trying to KLMD file open
19:21:44:765 1704 wfopen_ex: File opened ok (Flags 2)
19:21:44:765 1704 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
19:21:44:765 1704 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:21:44:765 1704 wfopen_ex: Trying to KLMD file open
19:21:44:765 1704 wfopen_ex: File opened ok (Flags 2)
19:21:44:765 1704 Initialize success
19:21:44:765 1704
19:21:44:765 1704 Scanning Services ...
19:21:45:015 1704 Raw services enum returned 306 services
19:21:45:015 1704
19:21:45:015 1704 Scanning Kernel memory ...
19:21:45:031 1704 Devices to scan: 7
19:21:45:031 1704
19:21:45:031 1704 Driver Name: Disk
19:21:45:031 1704 IRP_MJ_CREATE : BA0FEBB0
19:21:45:031 1704 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
19:21:45:031 1704 IRP_MJ_CLOSE : BA0FEBB0
19:21:45:031 1704 IRP_MJ_READ : BA0F8D1F
19:21:45:031 1704 IRP_MJ_WRITE : BA0F8D1F
19:21:45:031 1704 IRP_MJ_QUERY_INFORMATION : 804F4562
19:21:45:031 1704 IRP_MJ_SET_INFORMATION : 804F4562
19:21:45:031 1704 IRP_MJ_QUERY_EA : 804F4562
19:21:45:031 1704 IRP_MJ_SET_EA : 804F4562
19:21:45:031 1704 IRP_MJ_FLUSH_BUFFERS : BA0F92E2
19:21:45:031 1704 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
19:21:45:031 1704 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
19:21:45:031 1704 IRP_MJ_DIRECTORY_CONTROL : 804F4562
19:21:45:031 1704 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
19:21:45:031 1704 IRP_MJ_DEVICE_CONTROL : BA0F93BB
19:21:45:031 1704 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0FCF28
19:21:45:031 1704 IRP_MJ_SHUTDOWN : BA0F92E2
19:21:45:031 1704 IRP_MJ_LOCK_CONTROL : 804F4562
19:21:45:031 1704 IRP_MJ_CLEANUP : 804F4562
19:21:45:031 1704 IRP_MJ_CREATE_MAILSLOT : 804F4562
19:21:45:031 1704 IRP_MJ_QUERY_SECURITY : 804F4562
19:21:45:031 1704 IRP_MJ_SET_SECURITY : 804F4562
19:21:45:031 1704 IRP_MJ_POWER : BA0FAC82
19:21:45:031 1704 IRP_MJ_SYSTEM_CONTROL : BA0FF99E
19:21:45:031 1704 IRP_MJ_DEVICE_CHANGE : 804F4562
19:21:45:031 1704 IRP_MJ_QUERY_QUOTA : 804F4562
19:21:45:031 1704 IRP_MJ_SET_QUOTA : 804F4562
19:21:45:046 1704 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:21:45:046 1704
19:21:45:046 1704 Driver Name: usbstor
19:21:45:046 1704 IRP_MJ_CREATE : 9E998218
19:21:45:046 1704 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
19:21:45:046 1704 IRP_MJ_CLOSE : 9E998218
19:21:45:046 1704 IRP_MJ_READ : 9E99823C
19:21:45:046 1704 IRP_MJ_WRITE : 9E99823C
19:21:45:046 1704 IRP_MJ_QUERY_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_SET_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_EA : 804F4562
19:21:45:046 1704 IRP_MJ_SET_EA : 804F4562
19:21:45:046 1704 IRP_MJ_FLUSH_BUFFERS : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_DIRECTORY_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_DEVICE_CONTROL : 9E998180
19:21:45:046 1704 IRP_MJ_INTERNAL_DEVICE_CONTROL : 9E9939E6
19:21:45:046 1704 IRP_MJ_SHUTDOWN : 804F4562
19:21:45:046 1704 IRP_MJ_LOCK_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_CLEANUP : 804F4562
19:21:45:046 1704 IRP_MJ_CREATE_MAILSLOT : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_SECURITY : 804F4562
19:21:45:046 1704 IRP_MJ_SET_SECURITY : 804F4562
19:21:45:046 1704 IRP_MJ_POWER : 9E9975F0
19:21:45:046 1704 IRP_MJ_SYSTEM_CONTROL : 9E995A6E
19:21:45:046 1704 IRP_MJ_DEVICE_CHANGE : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_QUOTA : 804F4562
19:21:45:046 1704 IRP_MJ_SET_QUOTA : 804F4562
19:21:45:046 1704 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
19:21:45:046 1704
19:21:45:046 1704 Driver Name: Disk
19:21:45:046 1704 IRP_MJ_CREATE : BA0FEBB0
19:21:45:046 1704 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
19:21:45:046 1704 IRP_MJ_CLOSE : BA0FEBB0
19:21:45:046 1704 IRP_MJ_READ : BA0F8D1F
19:21:45:046 1704 IRP_MJ_WRITE : BA0F8D1F
19:21:45:046 1704 IRP_MJ_QUERY_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_SET_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_EA : 804F4562
19:21:45:046 1704 IRP_MJ_SET_EA : 804F4562
19:21:45:046 1704 IRP_MJ_FLUSH_BUFFERS : BA0F92E2
19:21:45:046 1704 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_DIRECTORY_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_DEVICE_CONTROL : BA0F93BB
19:21:45:046 1704 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0FCF28
19:21:45:046 1704 IRP_MJ_SHUTDOWN : BA0F92E2
19:21:45:046 1704 IRP_MJ_LOCK_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_CLEANUP : 804F4562
19:21:45:046 1704 IRP_MJ_CREATE_MAILSLOT : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_SECURITY : 804F4562
19:21:45:046 1704 IRP_MJ_SET_SECURITY : 804F4562
19:21:45:046 1704 IRP_MJ_POWER : BA0FAC82
19:21:45:046 1704 IRP_MJ_SYSTEM_CONTROL : BA0FF99E
19:21:45:046 1704 IRP_MJ_DEVICE_CHANGE : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_QUOTA : 804F4562
19:21:45:046 1704 IRP_MJ_SET_QUOTA : 804F4562
19:21:45:046 1704 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:21:45:046 1704
19:21:45:046 1704 Driver Name: Disk
19:21:45:046 1704 IRP_MJ_CREATE : BA0FEBB0
19:21:45:046 1704 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
19:21:45:046 1704 IRP_MJ_CLOSE : BA0FEBB0
19:21:45:046 1704 IRP_MJ_READ : BA0F8D1F
19:21:45:046 1704 IRP_MJ_WRITE : BA0F8D1F
19:21:45:046 1704 IRP_MJ_QUERY_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_SET_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_EA : 804F4562
19:21:45:046 1704 IRP_MJ_SET_EA : 804F4562
19:21:45:046 1704 IRP_MJ_FLUSH_BUFFERS : BA0F92E2
19:21:45:046 1704 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
19:21:45:046 1704 IRP_MJ_DIRECTORY_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_DEVICE_CONTROL : BA0F93BB
19:21:45:046 1704 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0FCF28
19:21:45:046 1704 IRP_MJ_SHUTDOWN : BA0F92E2
19:21:45:046 1704 IRP_MJ_LOCK_CONTROL : 804F4562
19:21:45:046 1704 IRP_MJ_CLEANUP : 804F4562
19:21:45:046 1704 IRP_MJ_CREATE_MAILSLOT : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_SECURITY : 804F4562
19:21:45:046 1704 IRP_MJ_SET_SECURITY : 804F4562
19:21:45:046 1704 IRP_MJ_POWER : BA0FAC82
19:21:45:046 1704 IRP_MJ_SYSTEM_CONTROL : BA0FF99E
19:21:45:046 1704 IRP_MJ_DEVICE_CHANGE : 804F4562
19:21:45:046 1704 IRP_MJ_QUERY_QUOTA : 804F4562
19:21:45:046 1704 IRP_MJ_SET_QUOTA : 804F4562
19:21:45:046 1704 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:21:45:046 1704
19:21:45:046 1704 Driver Name: Disk
19:21:45:046 1704 IRP_MJ_CREATE : BA0FEBB0
19:21:45:062 1704 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
19:21:45:062 1704 IRP_MJ_CLOSE : BA0FEBB0
19:21:45:062 1704 IRP_MJ_READ : BA0F8D1F
19:21:45:062 1704 IRP_MJ_WRITE : BA0F8D1F
19:21:45:062 1704 IRP_MJ_QUERY_INFORMATION : 804F4562
19:21:45:062 1704 IRP_MJ_SET_INFORMATION : 804F4562
19:21:45:062 1704 IRP_MJ_QUERY_EA : 804F4562
19:21:45:062 1704 IRP_MJ_SET_EA : 804F4562
19:21:45:062 1704 IRP_MJ_FLUSH_BUFFERS : BA0F92E2
19:21:45:062 1704 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
19:21:45:062 1704 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
19:21:45:062 1704 IRP_MJ_DIRECTORY_CONTROL : 804F4562
19:21:45:062 1704 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
19:21:45:062 1704 IRP_MJ_DEVICE_CONTROL : BA0F93BB
19:21:45:062 1704 IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0FCF28
19:21:45:062 1704 IRP_MJ_SHUTDOWN : BA0F92E2
19:21:45:062 1704 IRP_MJ_LOCK_CONTROL : 804F4562
19:21:45:062 1704 IRP_MJ_CLEANUP : 804F4562
19:21:45:062 1704 IRP_MJ_CREATE_MAILSLOT : 804F4562
19:21:45:062 1704 IRP_MJ_QUERY_SECURITY : 804F4562
19:21:45:062 1704 IRP_MJ_SET_SECURITY : 804F4562
19:21:45:062 1704 IRP_MJ_POWER : BA0FAC82
19:21:45:062 1704 IRP_MJ_SYSTEM_CONTROL : BA0FF99E
19:21:45:062 1704 IRP_MJ_DEVICE_CHANGE : 804F4562
19:21:45:062 1704 IRP_MJ_QUERY_QUOTA : 804F4562
19:21:45:062 1704 IRP_MJ_SET_QUOTA : 804F4562
19:21:45:062 1704 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:21:45:062 1704
19:21:45:062 1704 Driver Name: atapi
19:21:45:062 1704 IRP_MJ_CREATE : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_CREATE_NAMED_PIPE : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_CLOSE : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_READ : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_WRITE : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_QUERY_INFORMATION : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_SET_INFORMATION : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_QUERY_EA : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_SET_EA : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_FLUSH_BUFFERS : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_QUERY_VOLUME_INFORMATION : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_SET_VOLUME_INFORMATION : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_DIRECTORY_CONTROL : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_FILE_SYSTEM_CONTROL : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_DEVICE_CONTROL : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_SHUTDOWN : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_LOCK_CONTROL : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_CLEANUP : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_CREATE_MAILSLOT : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_QUERY_SECURITY : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_SET_SECURITY : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_POWER : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_SYSTEM_CONTROL : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_DEVICE_CHANGE : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_QUERY_QUOTA : 8A2E0AC8
19:21:45:062 1704 IRP_MJ_SET_QUOTA : 8A2E0AC8
19:21:45:062 1704 Driver "atapi" infected by TDSS rootkit!
19:21:45:062 1704 C:\WINDOWS\system32\drivers\atapi.sys - Verdict: 1
19:21:45:062 1704 File "C:\WINDOWS\system32\drivers\atapi.sys" infected by TDSS rootkit ... 19:21:45:062 1704 Processing driver file: C:\WINDOWS\system32\drivers\atapi.sys
19:21:45:062 1704 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
19:21:45:109 1704 vfvi6
19:21:45:171 1704 !dsvbh1
19:21:46:140 1704 dsvbh2
19:21:46:140 1704 fdfb2
19:21:46:140 1704 Backup copy found, using it..
19:21:46:156 1704 will be cured on next reboot
19:21:46:156 1704
19:21:46:156 1704 Driver Name: atapi
19:21:46:156 1704 IRP_MJ_CREATE : B9F146F2
19:21:46:156 1704 IRP_MJ_CREATE_NAMED_PIPE : 804F4562
19:21:46:156 1704 IRP_MJ_CLOSE : B9F146F2
19:21:46:156 1704 IRP_MJ_READ : 804F4562
19:21:46:156 1704 IRP_MJ_WRITE : 804F4562
19:21:46:156 1704 IRP_MJ_QUERY_INFORMATION : 804F4562
19:21:46:156 1704 IRP_MJ_SET_INFORMATION : 804F4562
19:21:46:156 1704 IRP_MJ_QUERY_EA : 804F4562
19:21:46:156 1704 IRP_MJ_SET_EA : 804F4562
19:21:46:156 1704 IRP_MJ_FLUSH_BUFFERS : 804F4562
19:21:46:156 1704 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
19:21:46:156 1704 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
19:21:46:156 1704 IRP_MJ_DIRECTORY_CONTROL : 804F4562
19:21:46:156 1704 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
19:21:46:156 1704 IRP_MJ_DEVICE_CONTROL : B9F14712
19:21:46:156 1704 IRP_MJ_INTERNAL_DEVICE_CONTROL : B9F10852
19:21:46:156 1704 IRP_MJ_SHUTDOWN : 804F4562
19:21:46:156 1704 IRP_MJ_LOCK_CONTROL : 804F4562
19:21:46:156 1704 IRP_MJ_CLEANUP : 804F4562
19:21:46:156 1704 IRP_MJ_CREATE_MAILSLOT : 804F4562
19:21:46:156 1704 IRP_MJ_QUERY_SECURITY : 804F4562
19:21:46:156 1704 IRP_MJ_SET_SECURITY : 804F4562
19:21:46:156 1704 IRP_MJ_POWER : B9F1473C
19:21:46:156 1704 IRP_MJ_SYSTEM_CONTROL : B9F1B336
19:21:46:156 1704 IRP_MJ_DEVICE_CHANGE : 804F4562
19:21:46:156 1704 IRP_MJ_QUERY_QUOTA : 804F4562
19:21:46:156 1704 IRP_MJ_SET_QUOTA : 804F4562
19:21:46:156 1704 C:\WINDOWS\system32\drivers\tskA.tmp - Verdict: 3
19:21:46:156 1704 Reboot required for cure complete..
19:21:46:171 1704 Cure on reboot scheduled successfully
19:21:46:171 1704
19:21:46:171 1704 Completed
19:21:46:171 1704
19:21:46:171 1704 Results:
19:21:46:171 1704 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
19:21:46:171 1704 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
19:21:46:171 1704 File objects infected / cured / cured on reboot: 1 / 0 / 1
19:21:46:171 1704
19:21:46:171 1704 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
19:21:46:171 1704 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
19:21:46:171 1704 UnloadDriverW: NtUnloadDriver error 1
19:21:46:171 1704 KLMD(ARK) unloaded successfully
0
Réponse 51 / 117
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
15 avril 2010 à 19:52
ok on va faire une manipulation en deux étapes,

pour commencer :

Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe
Download Mirror #2:: http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

* Double-click SystemLook.exe pour le lançer.
* Clic droit|copier le contenu ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook: 

:filefind
atapi.sys



* Click le bouton Look pour commencer le scan.
* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt



0
Réponse 52 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
15 avril 2010 à 19:57
voilà le scan systemlook:

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 19:56 on 15/04/2010 by jak (Administrator - Elevation successful)

========== filefind ==========

Searching for "atapi.sys"
C:\WINDOWS\$NtServicePackUninstall$\atapi.sys -----c 95360 bytes [08:16 27/07/2009] [05:59 04/08/2004] CDFE4411A69C224BD1D11B2DA92DAC51
C:\WINDOWS\ERDNT\cache\atapi.sys --a--- 96512 bytes [16:33 14/04/2010] [20:44 14/04/2010] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\ServicePackFiles\i386\atapi.sys ------ 96512 bytes [05:59 04/08/2004] [18:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\system32\drivers\atapi.sys --a--- 96512 bytes [15:57 26/07/2009] [17:22 15/04/2010] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys --a--- 86912 bytes [15:57 26/07/2009] [00:27 29/08/2002] 95B858761A00E1D4F81F79A0DA019ACA
C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys --a--- 86912 bytes [15:57 26/07/2009] [23:27 28/08/2002] 95B858761A00E1D4F81F79A0DA019ACA

-=End Of File=-
0
Réponse 53 / 117
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
15 avril 2010 à 22:14
On continu :)

Télécharge : http://ottools.noahdfear.net/OTLPE_Network.iso
ou
http://oldtimer.geekstogo.com/OTLPE.iso

Une fois fait il te faut graver cette iso sur un CD, il deviendra un CD bootable.

Un aperçu > https://forum.malekal.com/viewtopic.php?t=23453&start=

Boot dessus et une fois OTLPE lancé , tu lances l'icône jaune OTLPE.


* "Do you wish to load the remote registry", select Yes
* "Do you wish to load remote user profile(s) for scanning", select Yes
* Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK

* sous Custom Scan box copie/colle le contenu ci dessous: 

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT



* Clique sur Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie/colle le contenu dans ta prochaine réponse


0
Réponse 54 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
16 avril 2010 à 07:56
Hello EP44,

Ok je télécharge OTLPE....

Tu me dis" Boot dessus", comment fait-on ça ?
0
Réponse 55 / 117
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
16 avril 2010 à 09:22
Bonjour jahezz,

Il faut que tu modifie La séquence de boot.

Pour cela deux solution :

1/ Au lancement de ton ordinateur tu as un écran qui t'indique plusieurs possibilités de démarrage, tu en as un qui qui marqué boot.
Si par exemple tu as "F12 boot menu" il te faut rester appuyer sur F12.
Si tu n'as pas été assez rapide il te faut recommender et appuie sur le F.. avant cet écran.
Ensuite tu choisis de lancer le démarrage sur CD-Rom en ayant bien évidemment mis le CD.

2/ Intervenir dans le bios pour modifier la séquence de boot.
En général tu y accède en tapotant sur la touche DEL/Suppr au lancement de ton PC.
Pour cela regarde ceci
https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot
0
Réponse 56 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
16 avril 2010 à 10:46
Impossible de booter sur le cd.
J'ai modifié le bios dans boot sequence, j'ai mis:

1st Boot Device : [CD/DVD: 4s-TSSTcorp]
2nd et 3rd Boot Device : il y a le disque dur je pense
Boot from other device : [no]

Mais ça redémarre toujours windows normalement.
Est-ce que je dois mettre la dernière ligne sur [yes] ?
0
Réponse 57 / 117
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
16 avril 2010 à 11:47
Comment as tu gravé ton CD ?

En cas de doute tu peux le faire avec CDBurner xp
https://cdburnerxp.se/download

Et tu choisis graver une image iso.

As tu la possibilité avec la première méthode, si oui essaye.
0
Réponse 58 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
16 avril 2010 à 12:32
Je l'ai gravé en faisant envoyer vers >>CD/DVD. Maais ça doit pas être bon.
Je n'arrive pas à installer cdburnerxp, parce qu'il me faut installer NET Framework dans un version plus récente, ce que je fais. Mais celui-ci me demande de vérifier sur windows update si je n'ai pas une version plus récente. Mais je n'ai pas accès à windows update depuis mon premier scan combofix.
Donc je ne peux pas installer cdburnerxp .
C'est Kafkaien !
0
Réponse 59 / 117
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
16 avril 2010 à 13:30
Regarde ici

https://fr.softonic.com/s/logiciel-pour-graver-gratuit-image-iso
0
Réponse 60 / 117
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
Modifié par jakezz le 16/04/2010 à 14:15
Merci, avec softonic, ça a marché, donc voici le scan OTPLE:
http://jkom.free.fr/OTL.Txt
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses