Avira a détecté un virus: rootkit. Aide svp.Résolu/Fermé

Question

Bonjour, Avira a détecté un virus sur mon ordi (Windows XP): RKIT.Bubnix.S
Malgré le fait que je place le virus en quarantaine et que je le supprime, il réapparait à chaque fois. Je ne sais plus quoi faire!
Je fournis le rapport d'Avira:



Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 2 mai 2010  22:07

La recherche porte sur 2062283 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : YOUR-F401E8581C

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  22/01/2010 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  29/12/2009 12:20:37
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 10:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 11:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 10:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 12:20:36
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 12:20:36
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 09:36:55
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 13:17:30
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 11:21:17
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 14:59:45
VBASE006.VDF            : 7.10.6.83      2048 Bytes  15/04/2010 14:59:45
VBASE007.VDF            : 7.10.6.84      2048 Bytes  15/04/2010 14:59:45
VBASE008.VDF            : 7.10.6.85      2048 Bytes  15/04/2010 14:59:45
VBASE009.VDF            : 7.10.6.86      2048 Bytes  15/04/2010 14:59:45
VBASE010.VDF            : 7.10.6.87      2048 Bytes  15/04/2010 14:59:45
VBASE011.VDF            : 7.10.6.88      2048 Bytes  15/04/2010 14:59:45
VBASE012.VDF            : 7.10.6.89      2048 Bytes  15/04/2010 14:59:46
VBASE013.VDF            : 7.10.6.90      2048 Bytes  15/04/2010 14:59:46
VBASE014.VDF            : 7.10.6.123    126464 Bytes  19/04/2010 09:09:50
VBASE015.VDF            : 7.10.6.152    123392 Bytes  21/04/2010 18:34:49
VBASE016.VDF            : 7.10.6.178    122880 Bytes  22/04/2010 18:34:54
VBASE017.VDF            : 7.10.6.206    120320 Bytes  26/04/2010 18:51:47
VBASE018.VDF            : 7.10.6.232     99328 Bytes  28/04/2010 18:51:49
VBASE019.VDF            : 7.10.7.2     155648 Bytes  30/04/2010 20:47:34
VBASE020.VDF            : 7.10.7.3       2048 Bytes  30/04/2010 20:47:34
VBASE021.VDF            : 7.10.7.4       2048 Bytes  30/04/2010 20:47:34
VBASE022.VDF            : 7.10.7.5       2048 Bytes  30/04/2010 20:47:35
VBASE023.VDF            : 7.10.7.6       2048 Bytes  30/04/2010 20:47:35
VBASE024.VDF            : 7.10.7.7       2048 Bytes  30/04/2010 20:47:35
VBASE025.VDF            : 7.10.7.8       2048 Bytes  30/04/2010 20:47:35
VBASE026.VDF            : 7.10.7.9       2048 Bytes  30/04/2010 20:47:35
VBASE027.VDF            : 7.10.7.10      2048 Bytes  30/04/2010 20:47:35
VBASE028.VDF            : 7.10.7.11      2048 Bytes  30/04/2010 20:47:35
VBASE029.VDF            : 7.10.7.12      2048 Bytes  30/04/2010 20:47:35
VBASE030.VDF            : 7.10.7.13      2048 Bytes  30/04/2010 20:47:35
VBASE031.VDF            : 7.10.7.16     43520 Bytes  30/04/2010 20:47:36
Version du moteur       : 8.2.1.224
AEVDF.DLL               : 8.1.2.0      106868 Bytes  23/04/2010 18:35:05
AESCRIPT.DLL            : 8.1.3.27    1294714 Bytes  23/04/2010 18:35:04
AESCN.DLL               : 8.1.5.0      127347 Bytes  26/02/2010 12:09:51
AESBX.DLL               : 8.1.3.1      254324 Bytes  23/04/2010 18:35:05
AERDL.DLL               : 8.1.4.6      541043 Bytes  16/04/2010 15:00:02
AEPACK.DLL              : 8.2.1.1      426358 Bytes  20/03/2010 06:23:02
AEOFFICE.DLL            : 8.1.0.41     201083 Bytes  18/03/2010 22:40:57
AEHEUR.DLL              : 8.1.1.24    2613623 Bytes  16/04/2010 14:59:59
AEHELP.DLL              : 8.1.11.3     242039 Bytes  03/04/2010 11:57:42
AEGEN.DLL               : 8.1.3.7      373106 Bytes  16/04/2010 14:59:50
AEEMU.DLL               : 8.1.2.0      393588 Bytes  23/04/2010 18:35:02
AECORE.DLL              : 8.1.13.1     188790 Bytes  03/04/2010 11:57:37
AEBB.DLL                : 8.1.1.0       53618 Bytes  23/04/2010 18:35:01
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 08:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  29/12/2009 12:20:37
AVREP.DLL               : 8.0.0.7      159784 Bytes  19/02/2010 12:06:55
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 15:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 15:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 10:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 15:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 08:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 15:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  29/12/2009 12:20:34
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  29/12/2009 12:20:34

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : dimanche 2 mai 2010  22:07

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi	ype
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi\start
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi\errorcontrol
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi\group
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi\kht7phh
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi\xpnhop1n4
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi\uyb0it3
    [INFO]      L'entrée d'enregistrement n'est pas visible.
'51007' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'SkypeNames2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxext.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BTTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PerformanceManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MagicKBD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dmhkcore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BatteryManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EDSAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SNMWLANService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'44' processus ont été contrôlés avec '44' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '65' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\diane lore\Local Settings\Temp\DivXInstaller.exe
  [0] Type d'archive: NSIS
    --> [PluginsDir]/InstallOptions.dll
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\WINDOWS\system32\drivers\zfhwi.sys
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Bubnix.S
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\WINDOWS\system32\drivers\zfhwi.sys
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Bubnix.S
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c45e602.qua' !


Fin de la recherche : dimanche 2 mai 2010  22:50
Temps nécessaire: 39:39 Minute(s)

La recherche a été effectuée intégralement

   3538 Les répertoires ont été contrôlés
 391075 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      3 Impossible de contrôler des fichiers
 391071 Fichiers non infectés
   8216 Les archives ont été contrôlées
      5 Avertissements
      3 Consignes
  51007 Des objets ont été contrôlés lors du Rootkitscan
      7 Des objets cachés ont été trouvés

Merci d'avance. Cordialement.

Utilisateur anonyme · Answer

bonsoir
Il ne faut pas supprimer le fichier surtout

Attention, cet outil n'est pas à utiliser à la légère, et doit
être recommandé que par une personne formée à cet outil
Imprime la procédure

 Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tutoriel pour bien utiliser l'outil
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
Surtout, accepte d'installer la console de récupération
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

diane31 · Answer

Merci pour votre réponse. Comment désactiver avira?? N'y a t-il aucun risque?

diane31 · Answer

j'ai déja supprimé le fichier auparavant...

Utilisateur anonyme · Answer

dans aperçu, clique sur désactiver en face  
d'antivir guard 
je te fait faire combofix car antivir a trouvé des objets cachés par le rootkit et qu'il n'a pas supprimé 
un rootkit ne se supprime pas comme cela, c'est malin, il cache des éléments pour 
ne pas se faire remarquer 
Ne t'inquiète pas, je connais cet outil, sinon, je ne l'aurai pas recommandé 
Surtout, désactive toutes les protections, car ils risquent de gêner l'outil
Je verrai le résultat demain

diane31 · Answer

Merci d'avance pr tout. J'ai un problème je n'ai pas désactiver en face de apperçu.

Utilisateur anonyme · Answer

Bonjour
Dans aperçu, clique sur Etat, puis clique sur
désactiver, pour désactiver AntiVir Guard

diane31 · Answer

Très bien, je suis la procédure avec combo fix

diane31 · Answer

Deux problèmes se posent. Combo me demande de renommer le fichier. Chose que j'ai faite, mais il ne me demande pas d'installer la console de récupération.

Utilisateur anonyme · Answer

Est-ce que tu sauvegardes régulièrement tes documents ? 
Sinon, je te conseille de le faire 
Continue, on verra bien

diane31 · Answer

ComboFix 10-05-02.03 - diane lore 03/05/2010  15:06:24.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1014.582 [GMT 2:00]
Lancé depuis: c:\documents and settings\diane lore\Bureau\Diane31.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\DIANEL~1\LOCALS~1\Temp\svchost.exe
c:\program files\WindowsUpdate
c:ecycler\S-1-5-21-1757981266-57989841-1547161642-1003
D:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-03 au 2010-05-03  ))))))))))))))))))))))))))))))))))))
.

2010-05-02 20:24 . 2010-05-02 20:24	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-05-02 20:24 . 2010-05-02 20:24	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-05-02 12:59 . 2010-05-03 13:14	755200	----a-w-	c:\windows\system32\drivers\zfhwi.sys
2010-05-02 12:59 . 2008-04-13 09:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-05-02 12:59 . 2008-04-13 09:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-05-02 12:59 . 2008-04-13 09:41	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-05-02 12:59 . 2008-04-13 09:41	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-05-01 08:58 . 2008-04-14 12:00	838144	-c--a-w-	c:\windows\system32\dllcache\chtbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	838144	----a-w-	c:\windows\system32\chtbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	1677824	-c--a-w-	c:\windows\system32\dllcache\chsbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	1677824	----a-w-	c:\windows\system32\chsbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	98304	-c--a-w-	c:\windows\system32\dllcache\msir3jp.dll
2010-05-01 08:58 . 2008-04-14 12:00	98304	----a-w-	c:\windows\system32\msir3jp.dll
2010-05-01 08:58 . 2008-04-14 12:00	70656	-c--a-w-	c:\windows\system32\dllcache\korwbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	70656	----a-w-	c:\windows\system32\korwbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	10096640	-c--a-w-	c:\windows\system32\dllcache\hwxcht.dll
2010-05-01 08:54 . 2001-08-23 15:47	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2010-05-01 08:54 . 2001-08-23 15:47	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2010-05-01 08:54 . 2001-08-23 15:47	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2010-05-01 08:54 . 2001-08-23 15:47	8192	----a-w-	c:\windows\system32\kbdkor.dll
2010-05-01 08:54 . 2001-08-17 20:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2010-05-01 08:54 . 2001-08-17 20:55	6144	----a-w-	c:\windows\system32\kbd101c.dll
2010-05-01 08:54 . 2001-08-17 20:55	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2010-05-01 08:54 . 2001-08-17 20:55	5632	----a-w-	c:\windows\system32\kbd103.dll
2010-05-01 08:54 . 2001-08-17 20:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2010-05-01 08:54 . 2001-08-17 20:55	6144	----a-w-	c:\windows\system32\kbd101b.dll
2010-05-01 08:54 . 2008-04-13 17:31	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2010-05-01 08:54 . 2008-04-13 17:31	6144	----a-w-	c:\windows\system32\kbd106.dll
2010-04-24 18:56 . 2001-08-23 15:47	5632	----a-w-	c:\windows\system32\ptpusb.dll
2010-04-24 18:56 . 2008-04-13 17:33	159232	----a-w-	c:\windows\system32\ptpusd.dll
2010-04-24 18:56 . 2008-04-13 09:45	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-04-24 18:56 . 2008-04-13 09:45	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-04-22 18:41 . 2010-04-22 18:41	49152	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components
prpffbrowserrecordext.dll
2010-04-22 18:41 . 2010-04-22 18:41	45056	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShimspnpshimwmp.dll
2010-04-22 18:41 . 2010-04-22 18:41	45056	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShimspnpshimswf.dll
2010-04-22 18:41 . 2010-04-22 18:41	45056	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShimspnpshimrp.dll
2010-04-22 18:41 . 2010-04-22 18:41	45056	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShimspnpshimqt.dll
2010-04-22 10:01 . 2010-04-22 10:01	--------	d-----w-	c:\documents and settings\diane lore\Application Data\TeamViewer
2010-04-08 18:20 . 2010-04-08 18:20	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-04-08 18:20 . 2010-04-24 09:47	--------	d-----w-	c:\documents and settings\diane lore\Application Data\skypePM
2010-04-08 18:18 . 2010-04-24 09:53	--------	d-----w-	c:\documents and settings\diane lore\Application Data\Skype
2010-04-08 18:16 . 2010-04-08 18:16	--------	d-----w-	c:\program files\Fichiers communs\Skype
2010-04-08 18:16 . 2010-04-08 18:18	--------	d-----r-	c:\program files\Skype
2010-04-08 18:16 . 2010-04-08 18:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\Skype

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 20:03 . 2009-12-29 12:13	23856	----a-w-	c:\documents and settings\diane lore\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-02 19:34 . 2009-12-30 12:39	1	----a-w-	c:\documents and settings\diane lore\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-02 12:57 . 2010-05-02 12:57	16	----a-w-	c:\documents and settings\diane lore\Application Data\wzmjhy.dat
2010-04-22 18:41 . 2010-04-22 18:41	40960	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hookpchromebrowserrecordhelper.dll
2010-04-22 18:41 . 2010-04-22 18:41	341600	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IEpbrowserrecordplugin.dll
2010-04-22 18:41 . 2010-04-22 18:41	308808	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Commonpmainbrowserrecordplugin.dll
2010-04-22 18:41 . 2010-04-22 18:41	14848	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins
prphtml5videoshim.dll
2010-04-22 18:41 . 2010-04-22 18:40	--------	d-----w-	c:\program files\Fichiers communs\Real
2010-04-22 18:40 . 2010-04-22 18:40	--------	d-----w-	c:\program files\Real
2010-04-22 18:40 . 2010-04-22 18:40	--------	d-----w-	c:\program files\Fichiers communs\xing shared
2010-04-22 18:40 . 2010-04-22 18:40	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-04-22 18:40 . 2010-04-22 18:40	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-04-19 23:21 . 2010-01-25 20:18	--------	d-----w-	c:\documents and settings\diane lore\Application Data\vlc
2010-03-28 06:59 . 2008-10-28 22:19	49054	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-28 06:59 . 2008-10-28 22:19	368314	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-12 14:33 . 2010-01-28 21:06	--------	d-----w-	c:\documents and settings\diane lore\Application Data\dvdcss
2010-03-10 06:16 . 2008-10-28 22:19	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-10-28 22:19	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-10-28 22:19	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2008-10-28 22:19	2148352	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07	2026496	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 10:03 . 2010-02-26 15:54	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-10-28 22:19	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-10-28 22:19	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-30 149280]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-07 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2010-04-22 202256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-1 568176]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\VideoLAN\VLC\vlc.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/12/2009 14:16 108289]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [28/10/2008 18:48 4300]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [28/10/2008 18:52 238464]
S2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 36864]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [30/10/2006 15:29 19840]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - zfhwi
.
Contenu du dossier 'Tâches planifiées'

2010-05-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3100145338-3209319609-4175075645-1005.job
- c:\program files\Real\RealUpgradeealupgrade.exe [2010-02-24 20:09]

2010-04-29 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3100145338-3209319609-4175075645-1005.job
- c:\program files\Real\RealUpgradeealupgrade.exe [2010-02-24 20:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
DPF: {1D6E056F-D1BB-40F6-88E4-11EE98056FD2} - hxxp://wanadoofr.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-03 15:14
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\igfxdev.dll
.
Heure de fin: 2010-05-03  15:15:45
ComboFix-quarantined-files.txt  2010-05-03 13:15

Avant-CF: 44 527 271 936 octets libres
Après-CF: 44 867 096 576 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 596453095F0C2B5BEC57AF1C9757D2F7

diane31 · Answer

Voilà le rapport. Merci encore pour votre aide!

Utilisateur anonyme · Answer

c:\windows\system32\drivers\zfhwi.sys 

Analyse sur Virus Total ce fichier
https://www.virustotal.com/gui/
Clique sur parcourir
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
Clique sur envoyer le fichier
une fois le scan terminé, donne moi le résultat

Le rootkit est toujours présent, il se voit dans le rapport, mais je voudra vérifier
ce fichier, car apparamment, il est rootkité

diane31 · Answer

0 bytes size received / Se ha recibido un archivo vacio

diane31 · Answer

Tu penses que c'est grave??

Utilisateur anonyme · Answer

l'espagnol, je ne le comprends pas 
Le rootkit est toujours dans ton PC, car il y a un fichier et un service 
il faut supprimer les 2 par une manip spéciale, sinon, il reviendra 
Je vais revenir, car j'ai demandé avis, et j'attends la réponses 
Si la réponse est favorable, je dois te préparer un script

Quand ton PC sera bien désinfecté, je te conseille vivement de changer
tes mots de passe

diane31 · Answer

Je ne comprends pas non plus, désolée! 
Merci encore pr tout, c'est vraiment gentil. Et merci du conseil, je changerai les mots de passe, je ne savais pas que le virus était dû à cela.

Utilisateur anonyme · Answer

Pour le moment, évite de taper tes mots de passe sur le clavier
J'attends la réponse

Utilisateur anonyme · Answer

c:\windows\system32\MEMIO.SYS 

Analyse sur Virus Total 
https://www.virustotal.com/gui/ 
Clique sur parcourir 
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir 
Clique sur envoyer le fichier 
une fois le scan terminé, donne moi le résultat

Je dois partir, je reviendrai ce soir

diane31 · Answer

Le fichier a déjà été analysé:
MD5: 8a4cb9438571814b128b6dc30d698064 
First received: 2008.02.24 11:29:21 UTC 
Date 2010.04.27 08:56:17 UTC [>6D] 
Résultats 0/40 
Permalink: analisis/2ce7dc464723c427c88e6ffb086330719dfe57f9ef0fe31ae9e0d8d0c910c388-1272358577

Utilisateur anonyme · Answer

Attention, ce script a été spécialement conçu pour diane31 . Il ne faut
en aucun cas le transporter sur un autre ordinateur, ce qui pourrai l'endommager

Garde toutes tes protections désactivées
Ouvre le bloc-notes, et copie/colle dans le bloc-note ce qui est en gras ci-dessous:


Suspect::[4]
C:\windows\system32\drivers\zfhwi.sys 

KillAll::

Driver::
zfhwi

Rootkit::
C:\windows\system32\drivers\zfhwi.sys

file::
c:\documents and settings\diane lore\Application Data\wzmjhy.dat

registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zfhwi]

Enregistre ce fichier sur ton bureau et pas ailleurs sous le nom de CFScript.txt
Quitte le bloc-note
Fait un glisser-déposer de ce fichier CFScript.txt sur l'icône de ComboFix présent sur le bureau
Patiente le temps du scan. Le bureau va disparaitre à plusieurs reprises, c'est normal
Ne touche à rien pendant que le scan n'est pas terminé
Une fois le scan achevé,, poste le rapport. Il est sauvegardé dans C:\Combo Fix.txt

diane31 · Answer

Merci encore pour toute cette aide, je n'y serai jamais arrivé seule!

diane31 · Answer

ComboFix 10-05-02.03 - diane lore 04/05/2010   8:12.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1014.667 [GMT 2:00]
Lancé depuis: c:\documents and settings\diane lore\Bureau\Diane31.exe
Commutateurs utilisés :: c:\documents and settings\diane lore\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Un nouveau point de restauration a été créé

FILE ::
"c:\documents and settings\diane lore\Application Data\wzmjhy.dat"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\diane lore\Application Data\wzmjhy.dat

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ZFHWI
-------\Service_zfhwi


(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-04 au 2010-05-04  ))))))))))))))))))))))))))))))))))))
.

2010-05-02 20:24 . 2010-05-02 20:24	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-05-02 20:24 . 2010-05-02 20:24	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-05-02 12:59 . 2008-04-13 09:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-05-02 12:59 . 2008-04-13 09:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-05-02 12:59 . 2008-04-13 09:41	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-05-02 12:59 . 2008-04-13 09:41	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-05-01 08:58 . 2008-04-14 12:00	838144	-c--a-w-	c:\windows\system32\dllcache\chtbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	838144	----a-w-	c:\windows\system32\chtbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	1677824	-c--a-w-	c:\windows\system32\dllcache\chsbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	1677824	----a-w-	c:\windows\system32\chsbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	98304	-c--a-w-	c:\windows\system32\dllcache\msir3jp.dll
2010-05-01 08:58 . 2008-04-14 12:00	98304	----a-w-	c:\windows\system32\msir3jp.dll
2010-05-01 08:58 . 2008-04-14 12:00	70656	-c--a-w-	c:\windows\system32\dllcache\korwbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	70656	----a-w-	c:\windows\system32\korwbrkr.dll
2010-05-01 08:58 . 2008-04-14 12:00	10096640	-c--a-w-	c:\windows\system32\dllcache\hwxcht.dll
2010-05-01 08:54 . 2001-08-23 15:47	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2010-05-01 08:54 . 2001-08-23 15:47	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2010-05-01 08:54 . 2001-08-23 15:47	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2010-05-01 08:54 . 2001-08-23 15:47	8192	----a-w-	c:\windows\system32\kbdkor.dll
2010-05-01 08:54 . 2001-08-17 20:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2010-05-01 08:54 . 2001-08-17 20:55	6144	----a-w-	c:\windows\system32\kbd101c.dll
2010-05-01 08:54 . 2001-08-17 20:55	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2010-05-01 08:54 . 2001-08-17 20:55	5632	----a-w-	c:\windows\system32\kbd103.dll
2010-05-01 08:54 . 2001-08-17 20:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2010-05-01 08:54 . 2001-08-17 20:55	6144	----a-w-	c:\windows\system32\kbd101b.dll
2010-05-01 08:54 . 2008-04-13 17:31	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2010-05-01 08:54 . 2008-04-13 17:31	6144	----a-w-	c:\windows\system32\kbd106.dll
2010-04-24 18:56 . 2001-08-23 15:47	5632	----a-w-	c:\windows\system32\ptpusb.dll
2010-04-24 18:56 . 2008-04-13 17:33	159232	----a-w-	c:\windows\system32\ptpusd.dll
2010-04-24 18:56 . 2008-04-13 09:45	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-04-24 18:56 . 2008-04-13 09:45	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-04-22 18:41 . 2010-04-22 18:41	49152	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components
prpffbrowserrecordext.dll
2010-04-22 18:41 . 2010-04-22 18:41	45056	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShimspnpshimwmp.dll
2010-04-22 18:41 . 2010-04-22 18:41	45056	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShimspnpshimswf.dll
2010-04-22 18:41 . 2010-04-22 18:41	45056	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShimspnpshimrp.dll
2010-04-22 18:41 . 2010-04-22 18:41	45056	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShimspnpshimqt.dll
2010-04-22 10:01 . 2010-04-22 10:01	--------	d-----w-	c:\documents and settings\diane lore\Application Data\TeamViewer
2010-04-08 18:20 . 2010-04-08 18:20	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-04-08 18:20 . 2010-04-24 09:47	--------	d-----w-	c:\documents and settings\diane lore\Application Data\skypePM
2010-04-08 18:18 . 2010-04-24 09:53	--------	d-----w-	c:\documents and settings\diane lore\Application Data\Skype
2010-04-08 18:16 . 2010-04-08 18:16	--------	d-----w-	c:\program files\Fichiers communs\Skype
2010-04-08 18:16 . 2010-04-08 18:18	--------	d-----r-	c:\program files\Skype
2010-04-08 18:16 . 2010-04-08 18:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\Skype

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 20:03 . 2009-12-29 12:13	23856	----a-w-	c:\documents and settings\diane lore\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-02 19:34 . 2009-12-30 12:39	1	----a-w-	c:\documents and settings\diane lore\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-22 18:41 . 2010-04-22 18:41	40960	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hookpchromebrowserrecordhelper.dll
2010-04-22 18:41 . 2010-04-22 18:41	341600	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IEpbrowserrecordplugin.dll
2010-04-22 18:41 . 2010-04-22 18:41	308808	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Commonpmainbrowserrecordplugin.dll
2010-04-22 18:41 . 2010-04-22 18:41	14848	----a-w-	c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins
prphtml5videoshim.dll
2010-04-22 18:41 . 2010-04-22 18:40	--------	d-----w-	c:\program files\Fichiers communs\Real
2010-04-22 18:40 . 2010-04-22 18:40	--------	d-----w-	c:\program files\Real
2010-04-22 18:40 . 2010-04-22 18:40	--------	d-----w-	c:\program files\Fichiers communs\xing shared
2010-04-22 18:40 . 2010-04-22 18:40	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-04-22 18:40 . 2010-04-22 18:40	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-04-19 23:21 . 2010-01-25 20:18	--------	d-----w-	c:\documents and settings\diane lore\Application Data\vlc
2010-03-28 06:59 . 2008-10-28 22:19	49054	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-28 06:59 . 2008-10-28 22:19	368314	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-12 14:33 . 2010-01-28 21:06	--------	d-----w-	c:\documents and settings\diane lore\Application Data\dvdcss
2010-03-10 06:16 . 2008-10-28 22:19	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2008-10-28 22:19	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-10-28 22:19	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2008-10-28 22:19	2148352	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07	2026496	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 10:03 . 2010-02-26 15:54	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-10-28 22:19	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-10-28 22:19	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
.

(((((((((((((((((((((((((((((   SnapShot@2010-05-03_13.14.13   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-04 06:20 . 2010-05-04 06:20	16384              c:\windows	emp\Perflib_Perfdata_680.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-30 149280]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-07 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2010-04-22 202256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-1 568176]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\VideoLAN\VLC\vlc.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/12/2009 14:16 108289]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [28/10/2008 18:48 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [30/10/2006 15:29 36864]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [28/10/2008 18:52 238464]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [30/10/2006 15:29 19840]
.
Contenu du dossier 'Tâches planifiées'

2010-05-04 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3100145338-3209319609-4175075645-1005.job
- c:\program files\Real\RealUpgradeealupgrade.exe [2010-02-24 20:09]

2010-04-29 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3100145338-3209319609-4175075645-1005.job
- c:\program files\Real\RealUpgradeealupgrade.exe [2010-02-24 20:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
DPF: {1D6E056F-D1BB-40F6-88E4-11EE98056FD2} - hxxp://wanadoofr.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-04 08:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(520)
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\SAMSUNG\MagicKBD\MagicKBD.exe
.
**************************************************************************
.
Heure de fin: 2010-05-04  08:23:54 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-04 06:23
ComboFix2.txt  2010-05-03 13:15

Avant-CF: 44 771 799 040 octets libres
Après-CF: 44 762 472 448 octets libres

- - End Of File - - 0BF0B1BD40EADB9602E9C7967B652C57

lewill · Answer

bonjour 
j ai le meme probleme et vu le manque d info sur le net ca a l air d etre une belle saloperie
diane31  est ce que tu t en est sortie ?
et nathandre crois tu que je peut te poster mon rapport avira ?

merci d avance

Utilisateur anonyme · Answer

Bonjour 
lewill 
Pourrai tu créer un sujet pour qu'on puisse t'aider efficacement 

à diane 31 
On va nettoyer d'éventuel traces d'infection


Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

diane31 · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4064

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04/05/2010 14:25:39
mbam-log-2010-05-04 (14-25-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 147087
Temps écoulé: 25 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

diane31 · Answer

Voilà le rapport. 
Pense-tu que l'ordinateur est nettoyé et que le rootkit a disparu?
J'ai bien envie de télécharger qqc en plus de avira pour éviter que ca ne recommence, qu'en pense tu?!
Merci encore pour ton aide précieuse

Utilisateur anonyme · Answer

Le rootkit a été shooté
Il faut éviter de multiplier les logiciels de sécurité, car tu risques de ralentir 
ton PC et de provoquer des conflits de logiciels
Antivir détecte-t-il toujours quelque chose ?

Il faut éviter tout téléchargement avec des logiciels P2P(Limewire, Emule, 
Bittorent, Utorrent) qui sont un vrai danger pour le PC
Ne clique pas sur les bannières publicitaires surtout
Méfie toi aussi des fausses pages de scan qui te proposent sans rien installer
de scanner ton PC pour voir s'il est infecté, en fait, ils te proposent un rogue, faux logiciel de sécurité ou de nettoyage qui effectue de faux balayages pour te faire croire que le PC est vraiment infecté, et pour te pousser à acheter un version commerciale inefficace. Les rogues sont accompagnés de rootkit comme
celui que tu as attrapé

On va faire un bilan complet du PC pour s'assurer qu'il n'y a plus d'infections
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

- http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis  2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de  info.txt ici.  
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt

Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit

diane31 · Answer

http://www.cijoint.fr/cj201005/cijaPJRmil.txt

diane31 · Answer

http://www.cijoint.fr/cj201005/cijoRtGfgr.txt

diane31 · Answer

Le premier lien est le info.txt et le deuxième le log.txt.

Avira n'a rien détecté. 

Merci pour tous ces conseils, surtout pour les banières publicitaires sur lesquelles il m'arrivait de cliquer... :-S !!

diane31 · Answer

Est-ce que je peux supprimer les trois logiciels installés ou est-ce utile de les conserver?

Utilisateur anonyme · Answer

On va finaliser, plus d'infection, mais il y a 2 mises à jour à effectuer, on va
le faire après
Voilà comment tu as attrapé ce rootkit, avec les bannières publicitaires, et
avec des mises à jour qui n'ont pas été faites
Je te donnerai les dernières recommandations à la fin

Il faut nettoyer le outils de désinfection:

* Télécharge ToolsCleaner2 sur ton Bureau 
https://www.commentcamarche.net/telecharger/
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
                          
supprime toolscleaner2 manuellement


*Désactive ta restauration pour supprimer les points de restauration infectés:

Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système                                                                                            Coche la case désactiver la restauration                                                            Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur Poste de travail,  clique sur Propriétés, puis sur Restauration système                                                                                           Décoche la case désactiver la restauration                                                                                                                                                                       Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 

Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accessoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement


Un dernier petit nettoyage pour ton PC:

Télécharge C Cleaner Slim
   * Enregistre le sur le Bureau
   * Double-clique sur le fichier pour lancer l'installation
   * Sur la fenêtre de l'installation langage bien choisir français et OK
   * Clique sur suivant
   * Lit la licence, et clique sur j'accepte
   * Clique sur suivant, sur installer, puis sur fermer
   * Double-clique sur l'icône de C Cleaner pour l'ouvrir
   * Clique sur option, et puis avancé
   * Tu décoches effacer uniquement les fichiers du dossier temp de windows plus vieux que 48 heures
   * Clique sur nettoyeur
   * Clique sur windows, et dans la colonne avancé
   * Coche la première case vieilles données du perfetch que celle-là, ce qui te donnes la case vieilles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-là
   *  Clique sur analyser 
   *Clique sur nettoyer et sur la demande de confirmation OK. Tu recommences jusqu'à ce que C Cleaner ne trouve plus rien
   * Clique maintenant sur registre et puis sur chercher les erreurs
   *  Laisse tout coché, et clique sur corriger les erreurs sélectionnées
   *Il te demande de sauvegarder OUI
   *Tu lui donnes un nom pour pouvoir la retrouver et enregistre
   * Clique sur chercher les erreurs sélectionnées et sur la demande de confirmation OK
   * Il supprime, et fermer, tu vérifies en relançant chercher les erreurs
   *Tu retournes dans options, et tu recoches la case effacer uniquement les fichiers, du dossier temps de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du prefetch
   * Tu peux fermer C Cleaner

diane31 · Answer

Rapport TCleaner:


--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\diane lore\Bureau\Rsit.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Combofix.txt: supprimé !
C:\Documents and Settings\diane lore\Bureau\Rsit.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

Utilisateur anonyme · Answer

parfait, continue les autres procédures

diane31 · Answer

Ca y est, j'ai fais tout ce que tu m'avais demandé!

Utilisateur anonyme · Answer

Adobe n'est pas à jour
   Désinstalle le par Ajout\Suppression de programmes
   Télécharge et installe la nouvelle version
   https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien


Java n'est pas du tout à jour, il comporte une énorme
faille de sécurité
Désinstalle le et télécharge la nouvelle version
https://java.com/fr/

diane31 · Answer

C'est fait!

Utilisateur anonyme · Answer

Voilà un PC plus sécurisé
Comment va ton PC ?

Dernières recommandations pour préserver et entretenir ton PC:

*Il faut garder Malwarebytes pour scanner une fois de temps en temps ton PC, et
pense à le mettre à jour avant chaque scan.
*Pense à garder à jour Windows et tous tes logiciels pour éviter les failles de sécurité
*Nettoye ton PC régulièrement avec C Cleaner.
*Il faut défragmenter régulièrement le disque dur pour éviter les ralentissements,
et une usure trop rapide du disque dur.
*Soit prudente quand tu surfes, et fait attention lorsque tu installes un logiciel gratuit 
et que tu le mets à jour, il faut refuser les compléments, telles que les barres d'outil.
*Ne télécharge pas de logiciel que tu ne connais pas, sur des sites que 
tu ne connais pas.
*Mieux vaut télécharger des logiciels connus sur des sites de très bonne réputation,
si tu as un doute sur un logiciel que tu veux télécharger, vérifie d'abord sa légitimité.
Je conseille de télécharger les logiciels sur les sites officiels.
*Les logicels P2P( Shaeraza, Bittorent, Emule, limewire), sont à bannir, car
on risque de télécharger avec des fichiers infectés. Attention, ne télécharge jamais 
de cracks avec les logiciels P2P, car tu risques d'attraper le Bagle (ver), ou le Virut, 
virus dangereux.
*Sache que le meilleur anti-virus, c'est ta propre vigilence.
*Fait très attention aussi aux pubs qui proposent des faux logiciels de sécurité, 
je t'en ai parlé plus haut
*Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont 
néfastes. Ils peuvent modifier la page d'accueil et la base de registre.
*Il est indispensable de faire des sauvegardes régulièrement dans un support
externe, car en cas d'infection, tu auras un double des tes documents importants.



Pour ceux qui ont Firefox, je conseille ce module qui nous prévient si on visite
un site dangereux
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Pour ceux qui ont Internet Explorer 8, je recommande ce
module qui prévient si on visite un site dangereux
https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

diane31 · Answer

Je te remercie encore pour cette aide précieuse, c'est vraiment adorable!! Je n'aurais jamais su faire tout ça seule!
Je serai plus vigilente désormais, merci pour tous tes conseils et ta patience!!
Vraiment, merci.
Bonne fin d'après midi

Utilisateur anonyme · Answer

Cela a été un plaisir de t'aider
Bonne fin de journée

Avira a détecté un virus: rootkit. Aide svp.

40 réponses

Discussions similaires

Newsletters