Reboot intempestif du pc, XP. infection Résolu

Bonsoir
hum...
1
désinstalle Daemon tool et reboot le pc pour voir...

2

Télécharge Toolbar S&D de la Team IDN sur ton bureau.

Double-clique dessus pour lancer l'installation.

Accepte le contrat de licence.

Puis double-clique sur le raccourci Toolbar S&D présent sur ton bureau.

Sélectionne la langue souhaitée et valide par la touche entrée.

Choisis l'option 1 ( Recherche ).

Patiente jusqu'à la fin du scan.

Poste le rapport généré. ( C:\TB.txt )

-----------\\ ToolBar S&D 1.2.9 XP/Vista

( : )
USER : DEROUSSEAUX ( Administrator )
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 22/01/2010| 9:37 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\DOCUME~1\DEROUS~1\APPLIC~1\Dealio
C:\DOCUME~1\DEROUS~1\APPLIC~1\Dealio\res
C:\DOCUME~1\DEROUS~1\APPLIC~1\Dealio\temp
C:\DOCUME~1\DEROUS~1\APPLIC~1\Dealio\res\widgets.xml
C:\DOCUME~1\DEROUS~1\APPLIC~1\Dealio\temp\http___www_dealio_com_rss_coupons-deals_dotd_.xml
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.js
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.xul
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.dtd
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.properties
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\COMPONENTS\SearchSettingsFF.dll
C:\DOCUME~1\DEROUS~1\APPLIC~1\Search Settings
C:\DOCUME~1\DEROUS~1\APPLIC~1\Search Settings\kb128
C:\DOCUME~1\DEROUS~1\APPLIC~1\Search Settings\kb128\temp
C:\DOCUME~1\DEROUS~1\APPLIC~1\Search Settings\kb128\temp\ws-14616.log
C:\DOCUME~1\DEROUS~1\APPLIC~1\Search Settings\kb128\temp\ws-14617.log
C:\DOCUME~1\DEROUS~1\APPLIC~1\Search Settings\kb128\temp\ws-14619.log
C:\Program Files\Search Settings
C:\Program Files\Search Settings\kb128
C:\Program Files\Search Settings\kb128\res
C:\Program Files\Search Settings\kb128\SearchSettings.dll
C:\Program Files\Search Settings\kb128\SearchSettingsRes409.dll
C:\Program Files\Search Settings\kb128\temp

-----------\\ Extensions

(DEROUSSEAUX) - {2aa14436-5bd1-4cb2-acf7-3a45FF063e54} => resizrit
(DEROUSSEAUX) - {77b819fa-95ad-4f2c-ac7c-486b356188a9} => ietab
(DEROUSSEAUX) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
(DEROUSSEAUX) - {fce36c1e-58d8-498a-b2a5-66ad1cedebbb} => customizegoogle


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Bar"="http://www.google.com/ie"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page Redirect Cache"="http://fr.msn.com/?ocid=iehp"
"Start Page"="about:blank"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="%SystemRoot%\\system32\\blank.htm"
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"


--------------------\\ Recherche d'autres infections

C:\WINDOWS\Pack.epk
==> EGDACCESS <==




1 - "C:\ToolBar SD\TB_1.txt" - 22/01/2010| 9:41 - Option : [1]

-----------\\ Fin du rapport a 9:41:15,79

oublié de préciser désintallation de daemon.msi impossible : impossible d'accéder au service windows installer

re
désinstalle daemon en mode sans echec, ça marchera

Relance Toolbar S&D

Choisis cette fois-ci l'option 2. ( Suppression )
Ton bureau va disparaitre, c'est normal. Laisse l'outil travailler.

Ne ferme pas la fenêtre lors de la suppression !

Poste le rapport généré. ( C:\TB.txt )

re

le rapport :

-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3200+ )
BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
USER : DEROUSSEAUX ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
C:\ (Local Disk) - NTFS - Total:91 Go (Free:47 Go)
D:\ (Local Disk) - FAT32 - Total:91 Go (Free:86 Go)
E:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 23/01/2010| 9:35 )

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\DEROUS~1\APPLIC~1\Dealio\res
Supprime! - C:\DOCUME~1\DEROUS~1\APPLIC~1\Dealio\temp
Supprime! - C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
Supprime! - C:\DOCUME~1\DEROUS~1\APPLIC~1\Search Settings\kb128
Supprime! - C:\Program Files\Search Settings\kb128
Supprime! - C:\DOCUME~1\DEROUS~1\APPLIC~1\Dealio
Supprime! - C:\DOCUME~1\DEROUS~1\APPLIC~1\Search Settings
Supprime! - C:\Program Files\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(DEROUSSEAUX) - {2aa14436-5bd1-4cb2-acf7-3a45FF063e54} => resizrit
(DEROUSSEAUX) - {77b819fa-95ad-4f2c-ac7c-486b356188a9} => ietab
(DEROUSSEAUX) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
(DEROUSSEAUX) - {fce36c1e-58d8-498a-b2a5-66ad1cedebbb} => customizegoogle


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Bar"="http://www.google.com/ie"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page Redirect Cache"="http://fr.msn.com/?ocid=iehp"
"Start Page"="about:blank"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="%SystemRoot%\\system32\\blank.htm"
"Start Page"="http://www.msn.com/"


--------------------\\ Recherche d'autres infections

C:\WINDOWS\Pack.epk
==> EGDACCESS <==




1 - "C:\ToolBar SD\TB_1.txt" - 22/01/2010| 9:41 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 23/01/2010| 9:38 - Option : [2]

-----------\\ Fin du rapport a 9:38:15,85

re re
toujours impossible de désinstaller DAEMON même en mode sans échec

merci pour l'aide !

(pour l'instant, je "shutdown -a" !)

Bonjour

je mets le lien ci dessous ici, mais pour l'instant, on ne s'en occupe pas, c'est juste pour plus tard...

http://forum.telecharger.01net.com/microhebdo/logiciels...

++++++++++++


Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer


ajoute un nouveau rapport Hijackthis.

Re bonjour helper !

rapport de combofix :

ComboFix 10-01-22.03 - DEROUSSEAUX 23/01/2010 12:38:31.1.1 - x86
Lancé depuis: c:\documents and settings\DEROUSSEAUX\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Dealio Toolbar
c:\program files\Dealio Toolbar\config.ini
c:\program files\Dealio Toolbar\DealioToolbarIE.dll
c:\program files\Dealio Toolbar\Res\amazon.gif
c:\program files\Dealio Toolbar\Res\apple.gif
c:\program files\Dealio Toolbar\Res\barnes.gif
c:\program files\Dealio Toolbar\Res\bestbuy.gif
c:\program files\Dealio Toolbar\Res\dealio_logo.gif
c:\program files\Dealio Toolbar\Res\dealio_logo_hover.gif
c:\program files\Dealio Toolbar\Res\ebay.gif
c:\program files\Dealio Toolbar\Res\icon_settings.gif
c:\program files\Dealio Toolbar\Res\macys.gif
c:\program files\Dealio Toolbar\Res\newegg.gif
c:\program files\Dealio Toolbar\Res\overstock.gif
c:\program files\Dealio Toolbar\Res\search-button-hover.gif
c:\program files\Dealio Toolbar\Res\search-button.gif
c:\program files\Dealio Toolbar\Res\search-chevron-hover.gif
c:\program files\Dealio Toolbar\Res\search-chevron.gif
c:\program files\Dealio Toolbar\Res\search_amazon.gif
c:\program files\Dealio Toolbar\Res\search_dealio.gif
c:\program files\Dealio Toolbar\Res\search_ebay.gif
c:\program files\Dealio Toolbar\Res\search_yahoo.gif
c:\program files\Dealio Toolbar\Res\separator.gif
c:\program files\Dealio Toolbar\Res\target.gif
c:\program files\Dealio Toolbar\Res\walmart.gif
c:\program files\Dealio Toolbar\Res\widgets.xml
c:\program files\Dealio Toolbar\SearchSettingsKit.exe
c:\program files\Dealio Toolbar\WidgiHelper.exe
c:\recycler\S-1-5-21-3269952953-24064460-554523074-1003
c:\recycler\S-1-5-21-577691527-3020749366-3587587101-1003
c:\windows\dat.txt
c:\windows\pack.epk
c:\windows\system32\autorun.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-23 au 2010-01-23 ))))))))))))))))))))))))))))))))))))
.

2010-01-22 08:36 . 2010-01-23 08:38 -------- d-----w- C:\ToolBar SD
2010-01-21 19:17 . 2010-01-21 19:17 -------- d-----w- c:\program files\Trend Micro
2010-01-20 18:31 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-20 18:31 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-20 18:27 . 2010-01-20 18:27 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-20 17:20 . 2010-01-20 17:20 -------- d-----w- c:\documents and settings\DEROUSSEAUX\Application Data\Malwarebytes
2010-01-20 17:20 . 2010-01-20 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-20 17:20 . 2010-01-20 18:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-17 14:18 . 2010-01-17 14:18 -------- d-----w- c:\program files\FilmFX2
2010-01-13 12:26 . 2009-11-21 15:58 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2010-01-10 10:23 . 2010-01-10 10:23 -------- d-----w- c:\windows\system32\Lang
2009-12-29 09:49 . 2009-12-29 09:49 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-12-29 09:49 . 2009-12-29 09:49 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-23 11:35 . 2005-09-23 16:11 -------- d-----w- c:\program files\Wanadoo
2010-01-21 11:07 . 1979-12-31 22:00 85636 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-21 11:07 . 1979-12-31 22:00 512292 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-21 10:53 . 1979-12-31 22:00 89856 ----a-w- c:\windows\system32\drivers\nvatabus.sys
2010-01-10 09:46 . 2010-01-10 09:46 -------- d-----w- c:\program files\Realtek
2010-01-10 09:46 . 2005-06-09 03:12 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-22 17:07 . 2009-12-22 17:07 -------- d-----w- c:\program files\Digital Photo Recovery
2009-12-22 16:32 . 2009-12-22 16:32 -------- d-----w- c:\program files\File Scavenger 3.2
2009-12-22 16:20 . 2009-12-22 16:20 -------- d-----w- c:\program files\TouchStoneSoftware
2009-12-17 20:49 . 2009-12-17 20:49 279552 ----a-w- c:\windows\system32\sshnas(2).dll
2009-12-10 16:45 . 2009-11-20 17:40 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-22 17:55 . 2009-11-22 17:38 93234472 ----a-w- c:\program files\iTunesSetup.exe
2009-11-21 15:58 . 1979-12-31 22:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-16 17:36 . 2009-02-18 18:04 43240 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-16 16:17 . 2005-10-15 09:54 56368 ----a-w- c:\documents and settings\DEROUSSEAUX\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-16 12:46 . 2009-11-16 12:42 6712698 ----a-w- c:\program files\Setup_FreeConverter.exe
2009-11-15 18:39 . 2009-11-15 18:38 1443065 ----a-w- c:\program files\wrar390fr.exe
2009-11-15 18:34 . 2009-11-15 18:32 1374154 ----a-w- c:\program files\wrar390.exe
2009-11-15 18:27 . 2009-11-15 18:06 9807176 ----a-w- c:\program files\winzip121fr.exe
2009-11-15 18:13 . 2009-11-15 18:12 2127282 ----a-w- c:\program files\alzip.exe
2009-11-14 17:47 . 2009-11-14 17:24 331 ----a-w- c:\program files\mp4toavi.ini
2009-11-14 17:18 . 2009-11-14 17:18 3014282 ----a-w- c:\program files\pazera-free-mp4-to-avi-converter_pazera_free_mp4_to_avi_converter_1.3_anglais_196692.zip
2009-10-29 07:42 . 1979-12-31 22:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-03-14 16:14 . 2009-11-14 17:20 387584 ----a-w- c:\program files\mp4toavi.exe
2009-03-14 14:28 . 2009-11-14 17:25 2344960 ----a-w- c:\program files\ffmpeg.exe
2009-01-05 18:02 . 2009-01-05 17:57 18217981 ----a-w- c:\program files\AdbeRdr90_fr_FR.exe.part
2007-12-17 14:11 . 2007-12-17 14:11 187 ----a-w- c:\program files\ADBERD~1_Nosso_error.log
2007-12-17 13:58 . 2007-12-17 13:58 24536608 ----a-w- c:\program files\AdbeRdr810_fr_FR.exe
2007-12-17 12:56 . 2007-12-17 12:49 28829936 ----a-w- c:\program files\logicielphotoOrangeFR.exe
2007-12-01 14:06 . 2007-12-01 14:05 6539088 ----a-w- c:\program files\SetupSynchroInternetOrange_5.25.019.exe
2007-11-16 16:19 . 2007-11-16 16:19 2725528 ----a-w- c:\program files\ccsetup202.exe
2007-07-02 14:11 . 2007-07-02 14:12 228352 ----a-w- c:\program files\Fichiers communs\Orange.exe
2007-07-02 14:11 . 2007-07-02 14:11 228352 ----a-w- c:\program files\Orange.exe
2007-01-08 18:13 . 2007-01-08 18:13 1953480 ----a-w- c:\program files\PPVIEWER.EXE
2006-11-17 17:15 . 2006-11-17 17:15 7020185 ----a-w- c:\program files\Gestionnaire_internetLB.exe
2006-02-17 17:13 . 2006-02-17 17:13 584504 ----a-w- c:\program files\InstallationLivecom.exe
2006-01-16 13:33 . 2006-12-14 17:17 496376 ----a-w- c:\program files\ie6setup.exe
2005-11-12 12:20 . 2005-11-12 12:20 1822848 ----a-w- c:\program files\Windows_Installer_Service_2.0_pour_NT_et_2000.exe
2003-05-25 03:35 . 2005-09-23 19:57 9755432 ----a-w- c:\program files\acroreader51_fra.exe
2008-12-19 20:27 . 2007-03-20 17:53 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-12-19 20:27 . 2007-03-20 17:53 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-19 20:27 . 2007-03-20 17:53 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2008-12-19 20:27 . 2007-03-20 17:53 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2008-12-19 20:27 . 2007-03-20 17:53 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880]
"MailNotifier"="c:\program files\Orange\MailNotifier\MailNotifier.exe" [2009-10-12 692224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-14 32768]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-1-27 113664]
D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-8-28 51984]
Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-8-28 111376]
NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2009-9-20 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R3 Kbci1spsnde;Kbci1spsnde; [x]
S0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\DRIVERS\nvcchflt.sys [2005-02-11 16640]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-11-20 108289]

.
Contenu du dossier 'Tâches planifiées'

2010-01-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-01-22 c:\windows\Tasks\User_Feed_Synchronization-{78636090-0F41-47AA-A64A-CF36CFD36E6E}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Télécharger avec &BitSpirit - c:\program files\BitSpirit\bsurl.htm
IE: { - c:\program files\Messenger\msmsgs.exe
Trusted Zone: orange.fr\logicielsgratuits
DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} - hxxp://photos.orange.fr/al/presentation/pc/resources/activex/Ephoto.cab
FF - ProfilePath - c:\documents and settings\DEROUSSEAUX\Application Data\Mozilla\Firefox\Profiles\qf1d0r2z.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Searcheo
FF - prefs.js: browser.startup.homepage - hxxp://webmail26.orange.fr/webmail/fr_FR/inbox.html?PAGE=1
FF - prefs.js: keyword.URL - hxxp://www.searcheo.fr/recherche?search&q=
FF - component: c:\progra~1\MOZILL~1\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
FF - component: c:\progra~1\MOZILL~1\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - c:\program files\Dealio Toolbar\DealioToolbarIE.dll
Toolbar-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - c:\program files\Dealio Toolbar\DealioToolbarIE.dll
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl
AddRemove-Yazzle1196Oin - c:\program files\Fichiers communs\Yazzle1196OinUninstaller.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 12:46
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86EC4618]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75c0f28
\Driver\ACPI -> ACPI.sys @ 0xf7432cb8
\Driver\atapi -> atapi.sys @ 0xf73ea852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
SecurityProcedure -> ntkrnlpa.exe @ 0x80579208
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
SecurityProcedure -> ntkrnlpa.exe @ 0x80579208
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf72e0bb0
PacketIndicateHandler -> NDIS.sys @ 0xf72eda21
SendHandler -> NDIS.sys @ 0xf72cb87b
user & kernel MBR OK

**************************************************************************
.
Heure de fin: 2010-01-23 12:50:36
ComboFix-quarantined-files.txt 2010-01-23 11:50

Avant-CF: 50 428 194 816 octets libres
Après-CF: 50 468 028 416 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 52BF847F7AFAEF7435A0ACAA969F459D

rapport de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:32, on 23/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Orange\MailNotifier\MailNotifier.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MailNotifier] C:\Program Files\Orange\MailNotifier\MailNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O15 - Trusted Zone: http://logicielsgratuits.orange.fr
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/45.16/uploader2.cab
O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photos.orange.fr/al/presentation/pc/resources/ac...
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrob...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/curre...
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8488 bytes

toujours des reboots?

Ton message a été effacé.
Merci de créer ton sujet.

On ne répondra pas sur celui-ci: Rappels de cette section

oui, plusieurs fois cette AM

que faire ?

re
je passe peut-être à côté d'un truc, mais je suis presque sûr que c'est ton lecteur virtuel qui met la pagaille....



Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : http://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

Bonsoir

voici le résultat pour GMER :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-24 21:41:21
Windows 5.1.2600 Service Pack 3
Running: 0b04259m.exe; Driver: C:\DOCUME~1\DEROUS~1\LOCALS~1\Temp\awxoqpow.sys


---- System - GMER 1.0.15 ----

SSDT F0B41EBE ZwCreateKey
SSDT F0B41EB4 ZwCreateThread
SSDT F0B41EC3 ZwDeleteKey
SSDT F0B41ECD ZwDeleteValueKey
SSDT F0B41ED2 ZwLoadKey
SSDT F0B41EA0 ZwOpenProcess
SSDT F0B41EA5 ZwOpenThread
SSDT F0B41EDC ZwReplaceKey
SSDT F0B41ED7 ZwRestoreKey
SSDT F0B41EC8 ZwSetValueKey
SSDT F0B41EAF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\WINDOWS\system32\drivers\nvatabus.sys entry point in ".rsrc" section [0xF73E24A4]
init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF764568C]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device -> \Driver\nvatabus \Device\Harddisk0\DR0 86EA2618

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\nvatabus.sys suspicious modification

---- EOF - GMER 1.0.15 ----

re
il semblerait qu'un fichier légitime soit corrompu par une infection.  

Note :

Les fichiers et dossiers cachés du système apparaissent alors dans l'explorateur Windows en transparence.


Virusscan
Analyse ce fichier :
C:\WINDOWS\system32\drivers\nvatabus.sys
Sur le site de virusscan

http://virusscan.jotti.org/

poste-nous le rapport.

Bonsoir,

voici le résultat, il semble négatif...

Nom du fichier: nvatabus.sys
Statut:
Scan fini. 0 sur 20 logiciels malveillants trouvés.
En scan sur: lun 25 jan 2010 20:22:34 (CET) Votre lien permanent au résultat

Autres informations
Taille du fichier: 89856 Bytes
Type du fichier: PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5: 83f0275a21d9772b51cef57e35afae61
SHA1: 31540120268c55a53faf468951d5b6339e113039




Scanners
[ArcaVir]
2010-01-25 Rien trouvé
[F-Secure Anti-Virus]
2010-01-25 Rien trouvé
[A-Squared]
2010-01-25 Rien trouvé
[G DATA]
2010-01-25 Rien trouvé
[Avast! antivirus]
2010-01-25 Rien trouvé
[Ikarus]
2010-01-25 Rien trouvé
[Grisoft AVG Anti-Virus]
2010-01-25 Rien trouvé
[Kaspersky Anti-Virus]
2010-01-25 Rien trouvé
[Avira AntiVir]
2010-01-25 Rien trouvé
[ESET NOD32]
2010-01-25 Rien trouvé
[Softwin BitDefender]
2010-01-25 Rien trouvé
[Panda Antivirus]
2010-01-25 Rien trouvé
[ClamAV]
2010-01-25 Rien trouvé
[Quick Heal]
2010-01-25 Rien trouvé
[CPsecure]
2010-01-25 Rien trouvé
[Sophos]
2010-01-25 Rien trouvé
[Dr.Web]
2010-01-25 Rien trouvé
[VirusBlokAda VBA32]
2010-01-25 Rien trouvé
[Frisk F-Prot Antivirus]
2010-01-25 Rien trouvé
[VirusBuster]
2010-01-25 Rien trouvé

hum
j'hésite entre un conflit et un virus...

http://assiste.com.free.fr/p/services_windows/lanceur_d...

ta valeur est en automatique?
vérifions: démarrer/executer/ tu tapes: services.msc puis clique sur ok:

DcomLaunch, le Lanceur de processus serveur DCOM, est bien démarré et en démarrage automatique?

Bonjour

Le lanceur de processus DCOM est en automatique session ouverte en tant que système local.

re
pour antivir, tu arrives à faire des mises à jours ou toujours pas?

Re...

Oui, mises à jour OK rapport de la MAJ de ce soir 19:22 :

Mise à jour de Avira AntiVir Personal - Free Antivirus sur l'ordinateur ACER-E0C1F33C8C (192.168.1.10) effectuée avec succès.
Les fichiers suivants ont été actualisés par http://80.190.143.234/update :
vbase003.vdf 7.10.3.75
vbase004.vdf 7.10.3.76
vbase005.vdf 7.10.3.77
vbase006.vdf 7.10.3.78
vbase007.vdf 7.10.3.79
vbase008.vdf 7.10.3.80
vbase009.vdf 7.10.3.81
vbase010.vdf 7.10.3.82
vbase011.vdf 7.10.3.83
vbase012.vdf 7.10.3.84
vbase013.vdf 7.10.3.85
vbase014.vdf 7.10.3.86
vbase015.vdf 7.10.3.87
vbase016.vdf 7.10.3.88
vbase017.vdf 7.10.3.89
vbase018.vdf 7.10.3.90
vbase019.vdf 7.10.3.91
vbase020.vdf 7.10.3.92
vbase021.vdf 7.10.3.93
vbase022.vdf 7.10.3.94
vbase023.vdf 7.10.3.95
vbase024.vdf 7.10.3.96
vbase025.vdf 7.10.3.97
vbase026.vdf 7.10.3.98
vbase027.vdf 7.10.3.99
vbase028.vdf 7.10.3.100
vbase029.vdf 7.10.3.101
vbase030.vdf 7.10.3.102
vbase031.vdf 7.10.3.104
aevdf.dat 7.10.3.104

Bonjour

suis cette vidéo d'angélique pour bien configurer antivir et poste le rapport généré stp
http://www.malekal.com/fichiers/antivir/ConfigurationAn...

re

bonsoir

voici le rapport :



Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 27 janvier 2010 20:30

La recherche porte sur 1705523 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : ACER-E0C1F33C8C

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 18:54:27
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:54:25
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:54:26
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 18:46:24
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 18:21:56
VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 18:21:56
VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 18:21:56
VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 18:21:57
VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 18:21:57
VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 18:21:57
VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 18:21:57
VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 18:21:58
VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 18:21:58
VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 18:21:58
VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 18:21:58
VBASE014.VDF : 7.10.3.86 2048 Bytes 26/01/2010 18:21:58
VBASE015.VDF : 7.10.3.87 2048 Bytes 26/01/2010 18:21:58
VBASE016.VDF : 7.10.3.88 2048 Bytes 26/01/2010 18:21:58
VBASE017.VDF : 7.10.3.89 2048 Bytes 26/01/2010 18:21:59
VBASE018.VDF : 7.10.3.90 2048 Bytes 26/01/2010 18:21:59
VBASE019.VDF : 7.10.3.91 2048 Bytes 26/01/2010 18:22:00
VBASE020.VDF : 7.10.3.92 2048 Bytes 26/01/2010 18:22:00
VBASE021.VDF : 7.10.3.93 2048 Bytes 26/01/2010 18:22:00
VBASE022.VDF : 7.10.3.94 2048 Bytes 26/01/2010 18:22:00
VBASE023.VDF : 7.10.3.95 2048 Bytes 26/01/2010 18:22:01
VBASE024.VDF : 7.10.3.96 2048 Bytes 26/01/2010 18:22:01
VBASE025.VDF : 7.10.3.97 2048 Bytes 26/01/2010 18:22:01
VBASE026.VDF : 7.10.3.98 2048 Bytes 26/01/2010 18:22:02
VBASE027.VDF : 7.10.3.99 2048 Bytes 26/01/2010 18:22:02
VBASE028.VDF : 7.10.3.100 2048 Bytes 26/01/2010 18:22:03
VBASE029.VDF : 7.10.3.101 2048 Bytes 26/01/2010 18:22:03
VBASE030.VDF : 7.10.3.102 2048 Bytes 26/01/2010 18:22:04
VBASE031.VDF : 7.10.3.110 81408 Bytes 27/01/2010 18:31:14
Version du moteur : 8.2.1.154
AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 17:51:05
AESCRIPT.DLL : 8.1.3.12 823675 Bytes 23/01/2010 17:51:03
AESCN.DLL : 8.1.4.0 127348 Bytes 27/01/2010 18:32:21
AESBX.DLL : 8.1.1.1 246132 Bytes 20/11/2009 18:54:27
AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 17:42:13
AEPACK.DLL : 8.2.0.5 422262 Bytes 14/01/2010 18:14:38
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 20/11/2009 18:54:27
AEHEUR.DLL : 8.1.1.1 2322805 Bytes 27/01/2010 18:32:19
AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 18:13:55
AEGEN.DLL : 8.1.1.85 369012 Bytes 27/01/2010 18:31:31
AEEMU.DLL : 8.1.1.0 393587 Bytes 20/11/2009 18:54:26
AECORE.DLL : 8.1.10.0 184695 Bytes 27/01/2010 18:31:23
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 20/11/2009 18:54:27
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 20/11/2009 18:54:25
RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 18:54:25

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : mercredi 27 janvier 2010 20:30

La recherche d'objets cachés commence.
'62330' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Watch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALERTM~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'PollingModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Inactivity.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Toaster.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ComComp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GestionnaireInternet.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NkbMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FINDFAST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'OSA.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MailNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'38' processus ont été contrôlés avec '38' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '61' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\sshnas(2).dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc89e1f.qua' !
Recherche débutant dans 'D:\' <ACERDATA>


Fin de la recherche : mercredi 27 janvier 2010 21:14
Temps nécessaire: 43:56 Minute(s)

La recherche a été effectuée intégralement

7762 Les répertoires ont été contrôlés
309032 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
309029 Fichiers non infectés
6989 Les archives ont été contrôlées
2 Avertissements
3 Consignes
62330 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Message édité par Sham-Rock

Bonsoir kenzizou
Ton message a été effacé.
Merci de créer ton sujet.

On ne répondra pas sur celui-ci: Rappels de cette section

re
Je suppose qu'il reboot toujours...
tu as un cd de windows?

re

Le PC reboote toujours

Je n'ai pas de CD windows car le système a été livré avec le PC (ça m'apprendra !) mais j'ai fait - en son temps -un disque de restauration (ACER e-recovery)

re
je pense qu'on a logé la bestiole. (merci à Cyrrus, de Security_X)  

Télécharge load_tdsskiller de Loup blanc sur ton Bureau.

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus :

L'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan.

Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer.

Le rapport s'affichera automatiquement : copie-colle son contenu dans la prochaine réponse.
(le fichier est également présent ici : C:\tdsskiller\report.txt)

re

j'ai lancé TDSSkiller, le scan a repéré le virus TDSS dans nvatabus, il me semble, ensuite : invite reboot (Y) ou continuer (N) , j'ai choisi continuer mais pas de rapport, ni automatiquement ni sur c:

J'ai donc rebooté la machine.

Si je relance TDSSkiller, il ne trouve plus rien.

A suivre donc, voir si ça reboote encore ?

re re

j'ai retrouvé les rapports ils étaient sur la racine !

20:48:01:546 2344 TDSS rootkit removing tool 2.2.2 Jan 13 2010 08:42:25
20:48:01:546 2344 ================================================================================
20:48:01:546 2344 SystemInfo:

20:48:01:546 2344 OS Version: 5.1.2600 ServicePack: 3.0
20:48:01:546 2344 Product type: Workstation
20:48:01:546 2344 ComputerName: ACER-E0C1F33C8C
20:48:01:546 2344 UserName: DEROUSSEAUX
20:48:01:546 2344 Windows directory: C:\WINDOWS
20:48:01:546 2344 Processor architecture: Intel x86
20:48:01:546 2344 Number of processors: 1
20:48:01:546 2344 Page size: 0x1000
20:48:01:546 2344 Boot type: Normal boot
20:48:01:546 2344 ================================================================================
20:48:01:578 2344 UnloadDriverW: NtUnloadDriver error 2
20:48:01:578 2344 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
20:48:01:578 2344 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000
20:48:01:593 2344 UtilityInit: KLMD drop and load success
20:48:01:593 2344 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201000)
20:48:01:593 2344 UtilityInit: KLMD open success
20:48:01:593 2344 UtilityInit: Initialize success
20:48:01:593 2344
20:48:01:593 2344 Scanning Services ...
20:48:01:593 2344 CreateRegParser: Registry parser init started
20:48:01:593 2344 DisableWow64Redirection: GetProcAddress(Wow64DisableWow64FsRedirection) error 127
20:48:01:593 2344 CreateRegParser: DisableWow64Redirection error
20:48:01:593 2344 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
20:48:01:593 2344 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\system) returned status C0000043
20:48:01:593 2344 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
20:48:01:593 2344 wfopen_ex: Trying to KLMD file open
20:48:01:593 2344 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\system
20:48:01:593 2344 wfopen_ex: File opened ok (Flags 2)
20:48:01:593 2344 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\system) init success: 274B68
20:48:01:593 2344 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
20:48:01:593 2344 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\software) returned status C0000043
20:48:01:593 2344 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
20:48:01:593 2344 wfopen_ex: Trying to KLMD file open
20:48:01:593 2344 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\software
20:48:01:593 2344 wfopen_ex: File opened ok (Flags 2)
20:48:01:593 2344 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\software) init success: 274BD0
20:48:01:593 2344 EnableWow64Redirection: GetProcAddress(Wow64RevertWow64FsRedirection) error 127
20:48:01:593 2344 CreateRegParser: EnableWow64Redirection error
20:48:01:593 2344 CreateRegParser: RegParser init completed
20:48:01:781 2344 GetAdvancedServicesInfo: Raw services enum returned 337 services
20:48:01:781 2344 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
20:48:01:781 2344 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
20:48:01:781 2344
20:48:01:781 2344 Scanning Kernel memory ...
20:48:01:781 2344 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk
20:48:01:781 2344 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 86EC0B68
20:48:01:781 2344 DetectCureTDL3: KLMD_GetDeviceObjectList returned 4 DevObjects
20:48:01:781 2344
20:48:01:781 2344 DetectCureTDL3: DEVICE_OBJECT: 86F78030
20:48:01:781 2344 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86F78030
20:48:01:781 2344 KLMD_ReadMem: Trying to ReadMemory 0x86F78030[0x38]
20:48:01:781 2344 DetectCureTDL3: DRIVER_OBJECT: 86EC0B68
20:48:01:781 2344 KLMD_ReadMem: Trying to ReadMemory 0x86EC0B68[0xA8]
20:48:01:781 2344 KLMD_ReadMem: Trying to ReadMemory 0xE171B7D0[0x18]
20:48:01:781 2344 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
20:48:01:781 2344 DetectCureTDL3: IrpHandler (0) addr: F75C2BB0
20:48:01:781 2344 DetectCureTDL3: IrpHandler (1) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (2) addr: F75C2BB0
20:48:01:781 2344 DetectCureTDL3: IrpHandler (3) addr: F75BCD1F
20:48:01:781 2344 DetectCureTDL3: IrpHandler (4) addr: F75BCD1F
20:48:01:781 2344 DetectCureTDL3: IrpHandler (5) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (6) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (7) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (8) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (9) addr: F75BD2E2
20:48:01:781 2344 DetectCureTDL3: IrpHandler (10) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (11) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (12) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (13) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (14) addr: F75BD3BB
20:48:01:781 2344 DetectCureTDL3: IrpHandler (15) addr: F75C0F28
20:48:01:781 2344 DetectCureTDL3: IrpHandler (16) addr: F75BD2E2
20:48:01:781 2344 DetectCureTDL3: IrpHandler (17) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (18) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (19) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (20) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (21) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (22) addr: F75BEC82
20:48:01:781 2344 DetectCureTDL3: IrpHandler (23) addr: F75C399E
20:48:01:781 2344 DetectCureTDL3: IrpHandler (24) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (25) addr: 804F355A
20:48:01:781 2344 DetectCureTDL3: IrpHandler (26) addr: 804F355A
20:48:01:781 2344 TDL3_FileDetect: Processing driver: Disk
20:48:01:781 2344 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
20:48:01:781 2344 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
20:48:01:796 2344 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
20:48:01:796 2344
20:48:01:796 2344 DetectCureTDL3: DEVICE_OBJECT: 86F798A0
20:48:01:796 2344 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86F798A0
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86F798A0[0x38]
20:48:01:796 2344 DetectCureTDL3: DRIVER_OBJECT: 86EC0B68
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86EC0B68[0xA8]
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0xE171B7D0[0x18]
20:48:01:796 2344 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
20:48:01:796 2344 DetectCureTDL3: IrpHandler (0) addr: F75C2BB0
20:48:01:796 2344 DetectCureTDL3: IrpHandler (1) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (2) addr: F75C2BB0
20:48:01:796 2344 DetectCureTDL3: IrpHandler (3) addr: F75BCD1F
20:48:01:796 2344 DetectCureTDL3: IrpHandler (4) addr: F75BCD1F
20:48:01:796 2344 DetectCureTDL3: IrpHandler (5) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (6) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (7) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (8) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (9) addr: F75BD2E2
20:48:01:796 2344 DetectCureTDL3: IrpHandler (10) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (11) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (12) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (13) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (14) addr: F75BD3BB
20:48:01:796 2344 DetectCureTDL3: IrpHandler (15) addr: F75C0F28
20:48:01:796 2344 DetectCureTDL3: IrpHandler (16) addr: F75BD2E2
20:48:01:796 2344 DetectCureTDL3: IrpHandler (17) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (18) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (19) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (20) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (21) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (22) addr: F75BEC82
20:48:01:796 2344 DetectCureTDL3: IrpHandler (23) addr: F75C399E
20:48:01:796 2344 DetectCureTDL3: IrpHandler (24) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (25) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (26) addr: 804F355A
20:48:01:796 2344 TDL3_FileDetect: Processing driver: Disk
20:48:01:796 2344 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
20:48:01:796 2344 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
20:48:01:796 2344 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
20:48:01:796 2344
20:48:01:796 2344 DetectCureTDL3: DEVICE_OBJECT: 86F79C68
20:48:01:796 2344 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86F79C68
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86F79C68[0x38]
20:48:01:796 2344 DetectCureTDL3: DRIVER_OBJECT: 86EC0B68
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86EC0B68[0xA8]
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0xE171B7D0[0x18]
20:48:01:796 2344 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
20:48:01:796 2344 DetectCureTDL3: IrpHandler (0) addr: F75C2BB0
20:48:01:796 2344 DetectCureTDL3: IrpHandler (1) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (2) addr: F75C2BB0
20:48:01:796 2344 DetectCureTDL3: IrpHandler (3) addr: F75BCD1F
20:48:01:796 2344 DetectCureTDL3: IrpHandler (4) addr: F75BCD1F
20:48:01:796 2344 DetectCureTDL3: IrpHandler (5) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (6) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (7) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (8) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (9) addr: F75BD2E2
20:48:01:796 2344 DetectCureTDL3: IrpHandler (10) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (11) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (12) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (13) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (14) addr: F75BD3BB
20:48:01:796 2344 DetectCureTDL3: IrpHandler (15) addr: F75C0F28
20:48:01:796 2344 DetectCureTDL3: IrpHandler (16) addr: F75BD2E2
20:48:01:796 2344 DetectCureTDL3: IrpHandler (17) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (18) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (19) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (20) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (21) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (22) addr: F75BEC82
20:48:01:796 2344 DetectCureTDL3: IrpHandler (23) addr: F75C399E
20:48:01:796 2344 DetectCureTDL3: IrpHandler (24) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (25) addr: 804F355A
20:48:01:796 2344 DetectCureTDL3: IrpHandler (26) addr: 804F355A
20:48:01:796 2344 TDL3_FileDetect: Processing driver: Disk
20:48:01:796 2344 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
20:48:01:796 2344 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
20:48:01:796 2344 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
20:48:01:796 2344
20:48:01:796 2344 DetectCureTDL3: DEVICE_OBJECT: 86F20AB8
20:48:01:796 2344 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86F20AB8
20:48:01:796 2344 DetectCureTDL3: DEVICE_OBJECT: 86EC0F18
20:48:01:796 2344 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86EC0F18
20:48:01:796 2344 DetectCureTDL3: DEVICE_OBJECT: 86F20030
20:48:01:796 2344 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86F20030
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86F20030[0x38]
20:48:01:796 2344 DetectCureTDL3: DRIVER_OBJECT: 86F22358
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86F22358[0xA8]
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86F8E030[0x38]
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86FC7880[0xA8]
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0xE100FDC8[0x20]
20:48:01:796 2344 DetectCureTDL3: DRIVER_OBJECT name: \Driver\nvatabus, Driver Name: nvatabus
20:48:01:796 2344 DetectCureTDL3: IrpHandler (0) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (1) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (2) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (3) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (4) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (5) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (6) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (7) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (8) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (9) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (10) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (11) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (12) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (13) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (14) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (15) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (16) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (17) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (18) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (19) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (20) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (21) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (22) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (23) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (24) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (25) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: IrpHandler (26) addr: 86EC4618
20:48:01:796 2344 DetectCureTDL3: All IRP handlers pointed to one addr: 86EC4618
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86EC4618[0x400]
20:48:01:796 2344 TDL3_IrpHookDetect: CheckParameters: 4, FFDF0308, 313, 101, 3, 89
20:48:01:796 2344 Driver "nvatabus" Irp handler infected by TDSS rootkit ... 20:48:01:796 2344 KLMD_WriteMem: Trying to WriteMemory 0x86EC467D[0xD]
20:48:01:796 2344 cured
20:48:01:796 2344 KLMD_ReadMem: Trying to ReadMemory 0x86EC44BF[0x400]
20:48:01:796 2344 TDL3_StartIoHookDetect: CheckParameters: 9, FFDF0308, 1
20:48:01:796 2344 Driver "nvatabus" StartIo handler infected by TDSS rootkit ... 20:48:01:796 2344 TDL3_StartIoHookCure: Number of patches 1
20:48:01:796 2344 KLMD_WriteMem: Trying to WriteMemory 0x86EC45B6[0x6]
20:48:01:796 2344 cured
20:48:01:796 2344 TDL3_FileDetect: Processing driver: nvatabus
20:48:01:796 2344 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\nvatabus.sys
20:48:01:796 2344 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\nvatabus.sys
20:48:01:796 2344 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\nvatabus.sys - Verdict: Infected
20:48:01:812 2344 File C:\WINDOWS\system32\DRIVERS\nvatabus.sys infected by TDSS rootkit ... 20:48:01:812 2344 TDL3_FileCure: Processing driver file: C:\WINDOWS\system32\DRIVERS\nvatabus.sys
20:48:01:812 2344 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
20:48:01:828 2344 CABFileCallback: Processing cab-file: C:\WINDOWS\Driver Cache\i386\sp2.cab
20:48:02:859 2344 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\OemDir\*) error 3
20:48:03:062 2344 TDL3_FileCure: Backup copy not found, trying to cure infected file..
20:48:03:062 2344 TDL3_FileCure: Cure success, using it..
20:48:03:062 2344 TDL3_FileCure: Dumping cured buffer to file C:\WINDOWS\system32\drivers\tsk1E.tmp
20:48:03:078 2344 TDL3_FileCure: New / Old Image paths: (system32\drivers\tsk1E.tmp, system32\drivers\nvatabus.sys)
20:48:03:078 2344 TDL3_FileCure: KLMD jobs schedule success
20:48:03:078 2344 will be cured on next reboot
20:48:03:078 2344 UtilityBootReinit: Reboot required for cure complete..
20:48:03:078 2344 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmdb.sys) returned status 00000000
20:48:03:093 2344 UtilityBootReinit: KLMD drop success
20:48:03:109 2344 KLMD_ApplyPendList: Pending buffer(3417_712, 624) dropped successfully
20:48:03:109 2344 UtilityBootReinit: Cure on reboot scheduled successfully
20:48:03:109 2344
20:48:03:109 2344 Completed
20:48:03:109 2344
20:48:03:109 2344 Results:
20:48:03:109 2344 Memory objects infected / cured / cured on reboot: 2 / 2 / 0
20:48:03:109 2344 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
20:48:03:109 2344 File objects infected / cured / cured on reboot: 1 / 0 / 1
20:48:03:109 2344
20:48:03:109 2344 UnloadDriverW: NtUnloadDriver error 1
20:48:03:109 2344 KLMD_Unload: UnloadDriverW(klmd21) error 1
20:48:03:109 2344 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000
20:48:03:109 2344 UtilityDeinit: KLMD(ARK) unloaded successfully

Bonsoir

toujours des reboot?

hello Helper !

ça fait 1h40 que le PC est ouvert pas de reboot.

ça serait-y la bonne ?

vi  

Supprime tous les programmes installés pour la désinfection.


Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

~Edite ton premier message et marque [résolu] dans le titre.
Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

 

Re

Bon, sauf coup de trafalgar, c'est tout bon tjs pas de reboot

Grand merci Sham_Rock c'est cool !

-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Basique ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU T1400 @ 1.73GHz )
BIOS : Default System BIOS
USER : typoune ( Administrator )
BOOT : Normal boot
Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Activated)
C:\ (Local Disk) - NTFS - Total:101 Go (Free:5 Go)
D:\ (CD or DVD)
E:\ (...)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 30/01/2010|14:54 )

[ UAC => 1 ]

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\AskSBar\bar
Supprime! - C:\Program Files\AskSBar\SrchAstt
Supprime! - C:\Program Files\AskTBar\bar
Supprime! - C:\Program Files\AskTBar\PopSwatr
Supprime! - C:\Program Files\FunWebProducts\ScreenSaver
Supprime! - C:\Program Files\MyWebSearch\bar
Supprime! - C:\Program Files\AskSBar
Supprime! - C:\Program Files\AskTBar
Supprime! - C:\Program Files\FunWebProducts
Supprime! - C:\Program Files\MyWebSearch

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://fr.msn.com/"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese..."
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.msn.com/"
"Default_Page_URL"="http://fr.yahoo.com"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="C:\\Windows\\System32\\blank.htm"


--------------------\\ Recherche d'autres infections

C:\Program Files\Live-Player
C:\Program Files\Live-Player\data
C:\Program Files\Live-Player\live-player.exe
C:\Program Files\Live-Player\SkinCrafterDll.dll
C:\Program Files\Live-Player\skins
C:\Program Files\Live-Player\sqlite3.dll
C:\Users\typoune\AppData\Roaming\live-player
C:\Users\typoune\AppData\Roaming\live-player\flv.swf
C:\Users\typoune\AppData\Roaming\live-player\liveplayer.s3db
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Live-Player
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Live-Player\Conditions g‚n‚rales.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Live-Player\Confidentialit‚.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Live-Player\D‚sinstaller.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Live-Player\Live-Player.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Live-Player\Website.url

C:\Users\typoune\AppData\Local\cbkbyhg.bat
C:\Users\typoune\AppData\Local\cbkbyhg.dat
C:\Users\typoune\AppData\Local\cbkbyhg_nav.dat
C:\Users\typoune\AppData\Local\cbkbyhg_navps.dat
C:\Users\typoune\AppData\Local\eewgghq.dat
C:\Users\typoune\AppData\Local\eewgghq.exe
C:\Users\typoune\AppData\Local\eewgghq_nav.dat
C:\Users\typoune\AppData\Local\eewgghq_navps.dat
C:\Users\typoune\AppData\Local\flkqpvu.bat
C:\Users\typoune\AppData\Local\flkqpvu.dat
C:\Users\typoune\AppData\Local\flkqpvu_nav.dat
C:\Users\typoune\AppData\Local\flkqpvu_navps.dat
==> EGDACCESS <==

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.195,85.255.112.108
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.195,85.255.112.108
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.195,85.255.112.108
==> WAREOUT <==

--------------------\\ Cracks & Keygens ..

C:\Users\typoune\AppData\Local\VirtualStore\Program Files\Alice's Magical Mahjong\resources\crack1.png
C:\Users\typoune\AppData\Local\VirtualStore\Program Files\Alice's Magical Mahjong\resources\crack2.png
C:\Users\typoune\AppData\Local\VirtualStore\Program Files\Kantaris\cache\Flifeishotincracktown_l200905131514.jpg
C:\Users\typoune\AppData\Local\VirtualStore\Program Files\Kantaris\cache\lifeishotincracktown_l200905131514.jpg
C:\Users\typoune\AppData\Roaming\uTorrent\Smokin_Cracks_Teen_Anal_Porn.torrent
C:\Users\typoune\AppData\Roaming\uTorrent\The Sims 2 Apartment Life Inc. CD Keys & Crack.torrent
C:\Users\typoune\AppData\Roaming\uTorrent\Virtual villagers 3 + Crack.torrent
C:\PROGRA~2\Fugazo\Flower Paradise\cached\sounds\icecrack.wav
C:\PROGRA~2\Fugazo\Flower Paradise\cached\sounds\rockcrack.wav
C:\PROGRA~2\Fugazo\Flower Paradise\cached\sounds\vinecrack.wav


[ UAC => 1 ]


1 - "C:\ToolBar SD\TB_1.txt" - 30/01/2010|14:25 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 30/01/2010|15:04 - Option : [2]

-----------\\ Fin du rapport a 15:04:30,14