RKIT/Bubnix.S
Résolu/Fermé29 réponses
Utilisateur anonyme
11 mai 2010 à 13:55
11 mai 2010 à 13:55
bonjour,
avira n'est pas configuré comme il le faut :
Recherche de Rootkits.........................: arrêt
on le fera après,
* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\INSTALLES LA CONSOLE DE RECUPERATION
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
avira n'est pas configuré comme il le faut :
Recherche de Rootkits.........................: arrêt
on le fera après,
* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\INSTALLES LA CONSOLE DE RECUPERATION
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
merci pour ton aide
voici le rapport
j espere avoir tout bien fait correctement, je ne suis pas trop douée
ComboFix 10-05-10.03 - Johnny_2 11/05/2010 14:20:57.8.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.446.230 [GMT 2:00]
Lancé depuis: c:\documents and settings\Johnny_2\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Thumbs.db
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-11 au 2010-05-11 ))))))))))))))))))))))))))))))))))))
.
2010-05-03 13:48 . 2010-05-11 12:28 755200 ----a-w- c:\windows\system32\drivers\sfnauiok.sys
2010-04-21 06:20 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-11 07:39 . 2007-01-04 11:53 11582 ----a-w- c:\documents and settings\Johnny_2\Application Data\wklnhst.dat
2010-05-06 06:42 . 2010-03-06 19:41 443912 ----a-w- c:\documents and settings\Johnny_2\Application Data\Real\Update\setup3.10\setup.exe
2010-05-03 13:47 . 2010-05-03 13:46 16 ----a-w- c:\documents and settings\Johnny_2\Application Data\qvjsge.dat
2010-04-18 18:25 . 2007-12-29 15:53 -------- d-----w- c:\program files\Fichiers communs\Logitech
2010-04-15 10:51 . 2005-10-10 11:39 546110 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-15 10:51 . 2005-10-10 11:39 97750 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-11 12:34 . 2004-08-10 11:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-10 11:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2004-08-10 11:00 17408 ------w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2004-08-10 11:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-08-10 11:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:07 . 2004-08-10 11:00 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:07 . 2004-08-10 11:00 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-14 19:47 . 2010-02-13 13:01 244256 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-02-12 04:34 . 2004-08-10 11:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-10 11:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2007-01-06 15:08 . 2007-01-06 15:08 251 ----a-w- c:\program files\wt3d.ini
2007-05-19 17:24 . 2007-05-19 17:24 22 --sha-w- c:\windows\SMINST\HPCD.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 68856]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-05-28 1197296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-06-02 185896]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16261632]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"nwiz"="nwiz.exe" [2006-05-09 1519616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-09 7311360]
"HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 249856]
"HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 49152]
"ftutil2"="ftutil2.dll" [2004-06-07 106496]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 77312]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"VX1000"="c:\windows\vVX1000.exe" [2009-07-24 762208]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
McAfee Security Scan.lnk - c:\program files\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ 'autocheck autochk *'
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Johnny_2^Menu Démarrer^Programmes^Démarrage^Pin.lnk]
path=c:\documents and settings\Johnny_2\Menu Démarrer\Programmes\Démarrage\Pin.lnk
backup=c:\windows\pss\Pin.lnkStartup
[HKLM\~\startupfolder\C:^Documents and Settings^Johnny_2^Menu Démarrer^Programmes^Démarrage^PinMcLnk.lnk]
path=c:\documents and settings\Johnny_2\Menu Démarrer\Programmes\Démarrage\PinMcLnk.lnk
backup=c:\windows\pss\PinMcLnk.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anniversaires]
2007-02-17 22:51 765952 ----a-w- c:\anuman interactive\Le journal de votre naissance\anniv.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2008-01-28 09:43 2097488 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-07-17 10:45 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/06/2009 09:02 108289]
S2 AntiVirUpgradeService;Avira Upgrade Service;"c:\docume~1\Johnny_2\LOCALS~1\Temp\AVSETUP_4a2a12a7\basic\avupgsvc.exe" /TEMPSTART:""c:\docume~1\Johnny_2\LOCALS~1\Temp\AVSETUP_4a2a12a7\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" --> c:\docume~1\Johnny_2\LOCALS~1\Temp\AVSETUP_4a2a12a7\basic\avupgsvc.exe [?]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - sfnauiok
.
Contenu du dossier 'Tâches planifiées'
2010-05-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.facebook.com/
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Johnny_2\Application Data\Mozilla\Firefox\Profiles\8f10igss.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.neufportail.fr/
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
URLSearchHooks-{2bae58c2-79f9-45d1-a286-81f911301c3a} - (no file)
WebBrowser-{2BAE58C2-79F9-45D1-A286-81F911301C3A} - (no file)
HKLM-Run-PCDrProfiler - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-11 14:28
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sfnauiok]
.
Heure de fin: 2010-05-11 14:34:42
ComboFix-quarantined-files.txt 2010-05-11 12:34
ComboFix2.txt 2008-05-31 10:10
Avant-CF: 118 290 190 336 octets libres
Après-CF: 118 279 950 336 octets libres
- - End Of File - - 9D8CF5A892765DE44B22F2E56720F493
voici le rapport
j espere avoir tout bien fait correctement, je ne suis pas trop douée
ComboFix 10-05-10.03 - Johnny_2 11/05/2010 14:20:57.8.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.446.230 [GMT 2:00]
Lancé depuis: c:\documents and settings\Johnny_2\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Thumbs.db
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-11 au 2010-05-11 ))))))))))))))))))))))))))))))))))))
.
2010-05-03 13:48 . 2010-05-11 12:28 755200 ----a-w- c:\windows\system32\drivers\sfnauiok.sys
2010-04-21 06:20 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-11 07:39 . 2007-01-04 11:53 11582 ----a-w- c:\documents and settings\Johnny_2\Application Data\wklnhst.dat
2010-05-06 06:42 . 2010-03-06 19:41 443912 ----a-w- c:\documents and settings\Johnny_2\Application Data\Real\Update\setup3.10\setup.exe
2010-05-03 13:47 . 2010-05-03 13:46 16 ----a-w- c:\documents and settings\Johnny_2\Application Data\qvjsge.dat
2010-04-18 18:25 . 2007-12-29 15:53 -------- d-----w- c:\program files\Fichiers communs\Logitech
2010-04-15 10:51 . 2005-10-10 11:39 546110 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-15 10:51 . 2005-10-10 11:39 97750 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-11 12:34 . 2004-08-10 11:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-10 11:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2004-08-10 11:00 17408 ------w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2004-08-10 11:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2004-08-10 11:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:07 . 2004-08-10 11:00 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:07 . 2004-08-10 11:00 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-14 19:47 . 2010-02-13 13:01 244256 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-02-12 04:34 . 2004-08-10 11:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-10 11:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2007-01-06 15:08 . 2007-01-06 15:08 251 ----a-w- c:\program files\wt3d.ini
2007-05-19 17:24 . 2007-05-19 17:24 22 --sha-w- c:\windows\SMINST\HPCD.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 68856]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-05-28 1197296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-06-02 185896]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16261632]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"nwiz"="nwiz.exe" [2006-05-09 1519616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-09 7311360]
"HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 249856]
"HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 49152]
"ftutil2"="ftutil2.dll" [2004-06-07 106496]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 77312]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"VX1000"="c:\windows\vVX1000.exe" [2009-07-24 762208]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
McAfee Security Scan.lnk - c:\program files\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ 'autocheck autochk *'
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Johnny_2^Menu Démarrer^Programmes^Démarrage^Pin.lnk]
path=c:\documents and settings\Johnny_2\Menu Démarrer\Programmes\Démarrage\Pin.lnk
backup=c:\windows\pss\Pin.lnkStartup
[HKLM\~\startupfolder\C:^Documents and Settings^Johnny_2^Menu Démarrer^Programmes^Démarrage^PinMcLnk.lnk]
path=c:\documents and settings\Johnny_2\Menu Démarrer\Programmes\Démarrage\PinMcLnk.lnk
backup=c:\windows\pss\PinMcLnk.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anniversaires]
2007-02-17 22:51 765952 ----a-w- c:\anuman interactive\Le journal de votre naissance\anniv.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2008-01-28 09:43 2097488 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-07-17 10:45 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/06/2009 09:02 108289]
S2 AntiVirUpgradeService;Avira Upgrade Service;"c:\docume~1\Johnny_2\LOCALS~1\Temp\AVSETUP_4a2a12a7\basic\avupgsvc.exe" /TEMPSTART:""c:\docume~1\Johnny_2\LOCALS~1\Temp\AVSETUP_4a2a12a7\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" --> c:\docume~1\Johnny_2\LOCALS~1\Temp\AVSETUP_4a2a12a7\basic\avupgsvc.exe [?]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - sfnauiok
.
Contenu du dossier 'Tâches planifiées'
2010-05-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.facebook.com/
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Johnny_2\Application Data\Mozilla\Firefox\Profiles\8f10igss.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.neufportail.fr/
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
URLSearchHooks-{2bae58c2-79f9-45d1-a286-81f911301c3a} - (no file)
WebBrowser-{2BAE58C2-79F9-45D1-A286-81F911301C3A} - (no file)
HKLM-Run-PCDrProfiler - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-11 14:28
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sfnauiok]
.
Heure de fin: 2010-05-11 14:34:42
ComboFix-quarantined-files.txt 2010-05-11 12:34
ComboFix2.txt 2008-05-31 10:10
Avant-CF: 118 290 190 336 octets libres
Après-CF: 118 279 950 336 octets libres
- - End Of File - - 9D8CF5A892765DE44B22F2E56720F493
Utilisateur anonyme
11 mai 2010 à 20:51
11 mai 2010 à 20:51
patience :-)
je bosse moi aussi ;-)
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
je bosse moi aussi ;-)
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
dsl je m inquiétée juste de pas avoir de nouvelles
depuis que j ai fait ComboFix j ai un cadre spybot qui arrête pas de s affiché
il me dit qu un élément important du registre a été modifié, il me demande si je dois oui ou non autorisé la modification. que doit je faire? j ai aussi un petit logo a coté de l horloge une fiche avec un cadenas.
********
voici le rapport demandé
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4090
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
11/05/2010 22:18:15
mbam-log-2010-05-11 (22-18-15).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 243695
Temps écoulé: 1 heure(s), 4 minute(s), 4 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\BM43905854.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
depuis que j ai fait ComboFix j ai un cadre spybot qui arrête pas de s affiché
il me dit qu un élément important du registre a été modifié, il me demande si je dois oui ou non autorisé la modification. que doit je faire? j ai aussi un petit logo a coté de l horloge une fiche avec un cadenas.
********
voici le rapport demandé
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4090
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
11/05/2010 22:18:15
mbam-log-2010-05-11 (22-18-15).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 243695
Temps écoulé: 1 heure(s), 4 minute(s), 4 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\BM43905854.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
Utilisateur anonyme
Modifié par Electricien 69 le 14/05/2010 à 07:48
Modifié par Electricien 69 le 14/05/2010 à 07:48
bonjour,
désinstalle spybot, il est obsolète avec les infections de nos jours,
Rends toi sur ce site, fais analyser ces fichiers un par un :
https://www.virustotal.com/gui/
clique sur parcourir et cherche ce fichier :
c:\windows\system32\drivers\sfnauiok.sys
clique sur send file
un rappoort va s-élaborer ligne à ligne
attends un peu, il doit comprendre la taille du fichier envoyé
sauvegarde le rapport avec le bloc note
copie le dans ton prochain message.
Merci
je file bosser, à +
désinstalle spybot, il est obsolète avec les infections de nos jours,
Rends toi sur ce site, fais analyser ces fichiers un par un :
https://www.virustotal.com/gui/
clique sur parcourir et cherche ce fichier :
c:\windows\system32\drivers\sfnauiok.sys
clique sur send file
un rappoort va s-élaborer ligne à ligne
attends un peu, il doit comprendre la taille du fichier envoyé
sauvegarde le rapport avec le bloc note
copie le dans ton prochain message.
Merci
je file bosser, à +
ok je le ferais dés que je peux aller sur le site car pour l instant ca me fait erreur de chargement.
bon courage pour le taf a+
bon courage pour le taf a+
le fichier fait 737 ko je crois
mais mon rapport m affiche qu' une ligne
0 bytes size received / Se ha recibido un archivo vacio
@+
mais mon rapport m affiche qu' une ligne
0 bytes size received / Se ha recibido un archivo vacio
@+
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
12 mai 2010 à 08:55
12 mai 2010 à 08:55
Salut
Le site est inaccessible pour ma part.
@Electricien: Le driver n'est pas légitime, il ne correspond à rien de connu.
Je pense qu'on peut virer ça aussi:
c:\documents and settings\Johnny_2\Application Data\wklnhst.dat
c:\documents and settings\Johnny_2\Application Data\qvjsge.dat
Le site est inaccessible pour ma part.
@Electricien: Le driver n'est pas légitime, il ne correspond à rien de connu.
Je pense qu'on peut virer ça aussi:
c:\documents and settings\Johnny_2\Application Data\wklnhst.dat
c:\documents and settings\Johnny_2\Application Data\qvjsge.dat
Utilisateur anonyme
12 mai 2010 à 13:09
12 mai 2010 à 13:09
Hello Tigzy,
de passage chez moi pour la pause déjeuné ;-)
* /!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
ou :
https://www.androidworld.fr/
(c est le numéro 7 en bas de la page) :
* Double-clique sur OTMoveIt.exe pour le lancer.
* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
:processes
explorer.exe
:services
sfnauiok
:files
c:\windows\system32\drivers\sfnauiok.sys
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
# clique sur MoveIt! pour lancer la suppression.
# Le résultat apparaitra dans le cadre "Results".
# Clique sur Exit pour fermer.
# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
de passage chez moi pour la pause déjeuné ;-)
* /!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
ou :
https://www.androidworld.fr/
(c est le numéro 7 en bas de la page) :
* Double-clique sur OTMoveIt.exe pour le lancer.
* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
:processes
explorer.exe
:services
sfnauiok
:files
c:\windows\system32\drivers\sfnauiok.sys
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
# clique sur MoveIt! pour lancer la suppression.
# Le résultat apparaitra dans le cadre "Results".
# Clique sur Exit pour fermer.
# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Error: No service named sfnauiok was found to stop!
Service\Driver key sfnauiok not found.
========== FILES ==========
File move failed. c:\windows\system32\drivers\sfnauiok.sys scheduled to be moved on reboot.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: InvitÚ
->Temp folder emptied: 0 bytes
User: Johnny_2
->Temp folder emptied: 11683 bytes
->Temporary Internet Files folder emptied: 487711 bytes
->Java cache emptied: 12118675 bytes
->FireFox cache emptied: 39801683 bytes
->Flash cache emptied: 405 bytes
User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 409 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 50,00 mb
OTM by OldTimer - Version 3.1.12.0 log created on 05122010_190615
Files moved on Reboot...
File move failed. c:\windows\system32\drivers\sfnauiok.sys scheduled to be moved on reboot.
Registry entries deleted on Reboot...
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Error: No service named sfnauiok was found to stop!
Service\Driver key sfnauiok not found.
========== FILES ==========
File move failed. c:\windows\system32\drivers\sfnauiok.sys scheduled to be moved on reboot.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: InvitÚ
->Temp folder emptied: 0 bytes
User: Johnny_2
->Temp folder emptied: 11683 bytes
->Temporary Internet Files folder emptied: 487711 bytes
->Java cache emptied: 12118675 bytes
->FireFox cache emptied: 39801683 bytes
->Flash cache emptied: 405 bytes
User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 409 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 50,00 mb
OTM by OldTimer - Version 3.1.12.0 log created on 05122010_190615
Files moved on Reboot...
File move failed. c:\windows\system32\drivers\sfnauiok.sys scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Utilisateur anonyme
12 mai 2010 à 22:26
12 mai 2010 à 22:26
* Télécharge GMER :
http://www2.gmer.net/gmer.zip
* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaître en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Tuto : https://www.malekal.com/tutorial-gmer/
http://www2.gmer.net/gmer.zip
* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaître en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Tuto : https://www.malekal.com/tutorial-gmer/
bonsoir
j ai fait ce qui est demandé mais visiblement le fichier le s efface pas.
ou alors je me suis planté quelque part.
sa me met ceci
file couldn't be delete error 0x0000007B syntaxe fichier, répertoire ou volume incorrecte
j ai fait ce qui est demandé mais visiblement le fichier le s efface pas.
ou alors je me suis planté quelque part.
sa me met ceci
file couldn't be delete error 0x0000007B syntaxe fichier, répertoire ou volume incorrecte
Utilisateur anonyme
Modifié par Electricien 69 le 13/05/2010 à 20:43
Modifié par Electricien 69 le 13/05/2010 à 20:43
bonsoir,
Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to disable:
sfnauiok
Drivers to delete:
sfnauiok
Files to delete:
c:\windows\system32\drivers\sfnauiok.sys
. Colle ce texte (Ctrl+V) dans le cadre :Input script here
. Appuie sur Execute
. Le pc va redémarrer
Merci à Archet9 ;-)
Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to disable:
sfnauiok
Drivers to delete:
sfnauiok
Files to delete:
c:\windows\system32\drivers\sfnauiok.sys
. Colle ce texte (Ctrl+V) dans le cadre :Input script here
. Appuie sur Execute
. Le pc va redémarrer
Merci à Archet9 ;-)
re
une fenêtre apparait
windows pas de disque
exception processing message c0000013 parameters 75afbf7c 4 75afbf7c 75afbf7c
annuler recommencer continuer
je clique sur lequel?
voici le rapport the avenger
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "sfnauiok" disabled successfully.
Driver "sfnauiok" deleted successfully.
File "c:\windows\system32\drivers\sfnauiok.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
une fenêtre apparait
windows pas de disque
exception processing message c0000013 parameters 75afbf7c 4 75afbf7c 75afbf7c
annuler recommencer continuer
je clique sur lequel?
voici le rapport the avenger
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "sfnauiok" disabled successfully.
Driver "sfnauiok" deleted successfully.
File "c:\windows\system32\drivers\sfnauiok.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Utilisateur anonyme
14 mai 2010 à 07:52
14 mai 2010 à 07:52
bonjour,
on va vérifier le reste, un rootkit n'arrive jamais seul sur un pc !
* Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
http://images.malwareremoval.com/random/RSIT.exe
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil.
Clique sur ' continue ' à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Note:
si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, poste moi seulement les liens
http://www.cijoint.fr/index.php
on va vérifier le reste, un rootkit n'arrive jamais seul sur un pc !
* Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
http://images.malwareremoval.com/random/RSIT.exe
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil.
Clique sur ' continue ' à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Note:
si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, poste moi seulement les liens
http://www.cijoint.fr/index.php
bonjour
je fais quoi avec la fenetre qui est la depuis hier?
windows pas de disque
exception processing message c0000013 parameters 75afbf7c 4 75afbf7c 75afbf7c
annuler recommencer continuer
je clique sur lequel ou je touche a rien?
je fais quoi avec la fenetre qui est la depuis hier?
windows pas de disque
exception processing message c0000013 parameters 75afbf7c 4 75afbf7c 75afbf7c
annuler recommencer continuer
je clique sur lequel ou je touche a rien?