Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Deconnexion de Windows avec wi-fi

 

104 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1  2
Dernière Page
Page Suivante
Page Précédente
Première Page
Auteur
 Sujet :

Deconnexion de Windows avec wi-fi

Prévenir les modérateurs en cas d'abus 
Mathieu/cl​rg
mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 27/08/2010 à 13:32:27  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

 Jai eu une attaque de faux antivirus apres avoir telecharge une mise a jour activeX apparemment. Jai utilise CCleaner, Malwarebytes et Avira Antivir et jai pu eliminer la plupart des malware.

 Mon ordinateur marche normalement mais maintenant, lorsque je me connecte au wi-fi, un message "deconnexion de windows" s'affiche aussitot et me dit que windows va sarreter dans une minute et mon ordinateur redemare. Si je laisse le wifi active, ce message apparait des l'ouverture de windows> Je ne peux plus me servir d'internet donc si vous pouviez m'aider, ce serait tres sympa>

 Ci dessous, le logfile de Hijackthis

 Merci pour tout,

 Mathieu

 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 15:19:38, on 27/08/2010
 Platform: Windows Vista SP1 (WinNT 6.00.1905)
 MSIE: Internet Explorer v7.00 (7.00.6001.18498)
 Boot mode: Normal

 EDITION MODERATEUR : Règle du forum à respecter :

 Pas de rapport avant qu'il n'en soit demandé un ! :o

 Veuillez lire l'article suivant :
 http://forum.telecharger.01net [...] ges-1.html

 Merci d'en prendre connaissance.

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 27/08/2010 à 19:49:39  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu/clrg, bienvenu sur 01net


 On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
 http://images.malwareremoval.com/random/RSIT.exe

 - Double clique sur RSIT.exe qui est sur le bureau
 - Clique sur Continue dans la fenêtre
 - RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
 - Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

 Utilise cjoint.com pour poster en lien ton rapport :
 http://cjoint.com/

 - Clique sur Parcourir pour aller chercher le rapport   C:\rsit\log.txt
 - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

 - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

 Faire la même chose avec l'autre rapport C:\rsit\info.txt


 @++    :)

(Publicité)
mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 28/08/2010 à 12:09:32  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut dedetraque,

 Voici les liens:
 log.txt :  http://cjoint.com/?iCoeR6oiW2
 info.txt :  http://cjoint.com/?iCoinGUveu

 Merci de ton aide,

 a+

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 28/08/2010 à 12:09:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut dedetraque,

 Voici les liens:
 log.txt :  http://cjoint.com/?iCoeR6oiW2
 info.txt :  http://cjoint.com/?iCoinGUveu

 Merci de ton aide,

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 28/08/2010 à 20:14:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Poste ton rapport HJT  :D


 @++   :)

(Publicité)
mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 29/08/2010 à 17:38:27  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Voici le lien avec le rapport HJT:

 http://cjoint.com/?iDtKEP3gR4

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 30/08/2010 à 13:20:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Double clique sur le raccourci d'HijackThis sur ton Bureau, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
 Si plus de raccourci sur le bureau, il ce trouve ici :
 C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 R1 - HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522    
 R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A8​9362C85} - (no file)
 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988​571CECB} - (no file)
 O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC​4DFA408} - (no file)    
 O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25D​F11FA8C} - (no file)    
 O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09​D4B49CA} - (no file)



 - Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

 - Quitte HijackThis


 -----


 Faire un scan de ce fichier tvnwg.sys ici :

 http://www.virustotal.com/fr/


 Clique sur Parcourir et copie/colle ceci :
 C:\Windows\system32\drivers\tv​nwg.sys

 Après tu clique sur Ouvrir et sur Envoyer le fichier et attendre le résultat de l’analyse.
 Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
 Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.


 @++   :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 01/09/2010 à 21:38:05  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Il y a un  leger probleme pour la deuxieme partie des operations: je ne peux pas me connecter a internet sous peine de redemarage automatique immediat  :sarcastic:  Je me sers d'un autre ordinateur pour venir sur ce forum. Donc comment je peux faire pour analyser ce fichier?  :??:

 a+

(Publicité)
mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 01/09/2010 à 21:52:22  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
re,

 Non en fait, pendant les quelques secondes de repit avant le redemarage, jai pu selectionner le fichier mais ca n'a pas marche et j'ai eu ca comme reponse

 "tvnwg.sys
 Un peripherique attaache ne fonctionne pas correctement"

 a+

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 01/09/2010 à 22:05:33  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Je me suis trompe, le message c'est:

 "Un peripherique attache au systeme ne fonctionne pas correctement"

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 02/09/2010 à 13:18:46  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Télécharge combofix.exe (de sUBs) sur le bureau :

 http://download.bleepingcomput [...] mboFix.exe
 http://subs.geekstogo.com/ComboFix.exe

 Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
 http://forum.pcastuces.com/des [...] -f31s4.htm


 ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

 Double clique sur combofix.exe, clique sur OUI et valide par Entrée

 Il te sera demandé d’installer la console si elle n’est pas installer, clique sur Oui

 Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

 NOTE : Le rapport se trouve également ici : C:\Combofix.txt

 Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


 @++   :)  

(Publicité)
mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 02/09/2010 à 22:44:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 voici le rapport de combofix:

 ComboFix 10-09-01.04 - mathieu 03/09/2010   0:23.1.2 - x86
 Microsoft&#65390; Windows Vista&#12539;&#65417;dition Familiale Premium   6.0.6001.1.1252.33.1036.18.307​0.1992 [GMT 2:00]
 Lanc&#12539;depuis: F:\ComboFix.exe
 AV: Norton Internet Security *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431​C1C35F8}
 FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19​C16F220}
 SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7A​A91E59A}
 SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132​C1ACF46}
 * Un nouveau point de restauration a &#39425;&#12539;cr&#40172;
 .

 ((((((((((((((((((((((((((((((​((((((   Autres suppressions   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .

 c:\windows\system32\KBL.LOG

 .
 (((((((((((((((((((((((((((((   Fichiers cr&#40172;s du 2010-08-02 au 2010-09-02  ))))))))))))))))))))))))))))))​))))))
 .

 2010-09-02 22:34 . 2010-09-02 22:34 -------- d-----w- c:\users\Default\AppData\Local​\temp
 2010-08-28 11:49 . 2010-08-28 11:50 -------- d-----w- C:\rsit
 2010-08-26 09:45 . 2010-08-26 09:45 -------- d-sh--w- c:\windows\ftpcache
 2010-08-26 01:06 . 2010-08-26 01:06 -------- d-----w- c:\windows\system32\EventProvi​ders
 2010-08-26 01:06 . 2010-08-26 09:34 -------- d-----w- C:\c5f9fba3bdf1a4855adaac23b06​e
 2010-08-25 23:18 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\av​gntflt.sys
 2010-08-25 23:18 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\av​ipbb.sys
 2010-08-25 23:18 . 2010-08-25 23:18 -------- d-----w- c:\programdata\Avira
 2010-08-25 23:18 . 2010-08-25 23:18 -------- d-----w- c:\program files\Avira
 2010-08-25 10:35 . 2010-08-25 10:35 -------- d-----w- c:\program files\Trend Micro
 2010-08-25 10:25 . 2010-09-02 22:31 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\DNA
 2010-08-24 21:17 . 2010-08-24 21:17 -------- d-----w- c:\program files\CCleaner
 2010-08-24 21:01 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mb​amswissarmy.sys
 2010-08-24 21:01 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mb​am.sys
 2010-08-24 20:23 . 2010-08-24 20:23 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\Malwarebytes
 2010-08-24 20:23 . 2010-08-24 21:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
 2010-08-24 20:23 . 2010-08-24 20:23 -------- d-----w- c:\programdata\Malwarebytes
 2010-08-16 14:48 . 2010-06-11 15:31 274432 ----a-w- c:\windows\system32\schannel.d​ll
 2010-08-16 14:48 . 2010-06-21 13:18 2036736 ----a-w- c:\windows\system32\win32k.sys
 2010-08-16 14:48 . 2010-06-18 16:43 36352 ----a-w- c:\windows\system32\rtutils.dl​l
 2010-08-16 14:48 . 2010-06-08 17:00 3598216 ----a-w- c:\windows\system32\ntkrnlpa.e​xe
 2010-08-16 14:48 . 2010-06-08 17:00 3545992 ----a-w- c:\windows\system32\ntoskrnl.e​xe

 .
 ((((((((((((((((((((((((((((((​((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 2010-09-02 22:23 . 2008-06-29 20:50 -------- d-----w- c:\programdata\Google Updater
 2010-09-02 21:59 . 2008-06-29 20:53 -------- d-----w- c:\program files\Spyware Doctor
 2010-09-02 21:41 . 2009-12-06 16:15 32061 ----a-w- c:\programdata\nvModes.dat
 2010-08-28 15:25 . 2008-10-31 00:47 1 ----a-w- c:\users\mathieu\AppData\Roami​ng\OpenOffice.org\3\user\uno_p​ackages\cache\stamp.sys
 2010-08-28 11:52 . 2007-11-27 09:45 673938 ----a-w- c:\windows\system32\perfh00C.d​at
 2010-08-28 11:52 . 2007-11-27 09:45 125636 ----a-w- c:\windows\system32\perfc00C.d​at
 2010-08-27 18:30 . 2009-04-15 07:13 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\dvdcss
 2010-08-27 12:56 . 2007-11-27 02:52 -------- d-----w- c:\programdata\Microsoft Help
 2010-08-27 12:55 . 2007-11-27 02:30 -------- d-----w- c:\program files\Microsoft Works
 2010-08-26 09:33 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
 2010-08-26 09:33 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
 2010-08-26 08:49 . 2008-04-17 19:02 -------- d-----w- c:\programdata\NVIDIA
 2010-08-26 07:08 . 2008-04-17 18:58 -------- d-----w- c:\programdata\WildTangent
 2010-08-25 22:05 . 2009-02-10 18:03 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\GTek
 2010-08-25 21:57 . 2008-05-21 14:12 123360 ----a-w- c:\users\mathieu\AppData\Local​\GDIPFONTCACHEV1.DAT
 2010-08-25 20:07 . 2010-04-02 18:43 -------- d-----w- c:\programdata\Alwil Software
 2010-08-24 18:17 . 2009-08-01 17:22 -------- d-----w- c:\program files\BitTorrent
 2010-08-24 17:35 . 2010-08-24 17:35 3 ----a-w- C:\t.tmp
 2010-07-08 12:11 . 2008-11-02 14:30 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\vlc
 2010-07-08 02:31 . 2008-06-14 14:49 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\Skype
 2010-06-28 16:17 . 2010-08-16 14:49 833024 ----a-w- c:\windows\system32\wininet.dl​l
 2010-06-28 16:13 . 2010-08-16 14:49 78336 ----a-w- c:\windows\system32\ieencode.d​ll
 2010-06-23 10:36 . 2010-06-23 10:36 501936 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbEFED.tmp.exe
 2010-06-18 14:43 . 2010-08-16 14:49 302080 ----a-w- c:\windows\system32\drivers\sr​v.sys
 2010-06-18 14:43 . 2010-08-16 14:49 144896 ----a-w- c:\windows\system32\drivers\sr​v2.sys
 2010-06-16 15:59 . 2010-08-16 14:49 898952 ----a-w- c:\windows\system32\drivers\tc​pip.sys
 2010-06-11 15:30 . 2010-08-16 14:49 1257472 ----a-w- c:\windows\system32\msxml3.dll
 2008-05-21 17:05 . 2008-05-21 17:05 22 --sha-w- c:\windows\SMINST\HPCD.sys
 .

 ((((((((((((((((((((((((((((((​(((   Points de chargement Reg   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 .
 *Note* les &#39384;&#39377;ents vides & les &#39384;&#39377;ents initiaux l&#39342;itimes ne sont pas list&#39416;
 REGEDIT4

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
 "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeC​ontrolPanel.exe" [2007-08-23 455968]
 "swg"="c:\program files\Google\GoogleToolbarNoti​fier\GoogleToolbarNotifier.exe​" [2008-06-29 68856]
 "ehTray.exe"="c:\windows\ehome​\ehTray.exe" [2008-01-19 125952]
 "BitTorrent DNA"="c:\users\mathieu\Program Files\DNA\btdna.exe" [2010-01-19 323392]
 "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPSta​rt.exe" [2007-09-15 102400]
 "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hl​pr.exe" [2007-01-17 634880]
 "RtHDVCpl"="RtHDVCpl.exe" [2007-08-17 4702208]
 "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
 "QPService"="c:\program files\HP\QuickPlay\QPService.e​xe" [2007-09-30 181544]
 "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
 "OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
 "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITran​sfer\MUIStartMenu.exe" [2007-08-16 218408]
 "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
 "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
 "hpWirelessAssistant"="c:\prog​ram files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
 "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
 "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
 "SunJavaUpdateSched"="c:\progr​am files\Java\jre6\bin\jusched.ex​e" [2009-10-11 149280]
 "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
 "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.e​xe" [2010-06-09 976832]
 "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched​.exe" [2010-03-03 202256]
 "NvCplDaemon"="c:\windows\syst​em32\NvCpl.dll" [2009-10-03 13826664]
 "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
 "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 c:\programdata\Microsoft\Windo​ws\Start Menu\Programs\Startup\
 Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows\currentversion​\policies\system]
 "EnableUIADesktopToggle"= 0 (0x0)

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows nt\currentversion\drivers32]
 "aux"=wdmaud.drv

 [HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\SafeBoot​\Minimal\sdauxservice]
 @=""

 [HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\SafeBoot​\Minimal\sdcoreservice]
 @=""

 [HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\SafeBoot​\Minimal\WinDefend]
 @="Service"

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center\Monitoring]
 "DisableMonitoring"=dword:0000​0001

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center\Monitoring\SymantecAntiVirus]
 "DisableMonitoring"=dword:0000​0001

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center\Monitoring\SymantecFirewall]
 "DisableMonitoring"=dword:0000​0001

 R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpda​te.exe [2010-02-10 135664]
 R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Dri​vers\PCAMp50.sys [2006-11-28 28224]
 R3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-09-23 358600]
 S0 PCTCore;PCTools KDS;c:\windows\system32\driver​s\PCTCore.sys [2009-09-23 207280]
 S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]


 --- Autres Services/Pilotes en m&#39377;oire ---

 *Deregistered* - PCTSDInjDriver32
 *Deregistered* - tvnwg

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
 2007-08-23 15:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.ex​e
 .
 Contenu du dossier 'T&#31245;hes planifi&#39333;s'

 2010-09-02 c:\windows\Tasks\Google Software Updater.job
 - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.e​xe [2008-06-14 23:52]

 2010-09-02 c:\windows\Tasks\GoogleUpdateT​askMachineCore.job
 - c:\program files\Google\Update\GoogleUpda​te.exe [2010-02-10 23:07]

 2010-09-02 c:\windows\Tasks\GoogleUpdateT​askMachineUA.job
 - c:\program files\Google\Update\GoogleUpda​te.exe [2010-02-10 23:07]

 2010-08-24 c:\windows\Tasks\RealUpgradeSc​heduledTaskS-1-5-21-3052913605​-632499399-2197385697-1000.job
 - c:\program files\Real\RealUpgrade\realupg​rade.exe [2010-02-24 21:09]

 2010-09-02 c:\windows\Tasks\User_Feed_Syn​chronization-{E991081E-4ED3-48​1E-B4FB-7692C7B00400}.job
 - c:\windows\system32\msfeedssyn​c.exe [2008-09-01 07:33]
 .
 .
 ------- Examen suppl&#39377;entaire -------
 .
 uStart Page = hxxp://www.google.fr/
 mStart Page = hxxp://ie.redirect.hp.com/svs/​rdr?TYPE=3&tp=iehome&locale=fr​_fr&c=81&bd=Pavilion&pf=laptop
 uInternet Settings,ProxyOverride = <local>
 IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.sc​r/200
 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\​EXCEL.EXE/3000
 IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolba​rDynamic_mui_en_89D8574934B26A​C4.dll/cmsidewiki.html
 IE: Microsoft Excel ???????(&X) - c:\progra~1\MICROS~3\OFFICE11\​EXCEL.EXE/3000
 LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
 FF - ProfilePath - c:\users\mathieu\AppData\Roami​ng\Mozilla\Firefox\Profiles\30​ncos7o.default\
 FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?l​r=&ie=UTF-8&oe=UTF-8&q=
 FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
 FF - component: c:\programdata\Real\RealPlayer​\BrowserRecordPlugin\Firefox\E​xt\components\nprpffbrowserrec​ordext.dll
 FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDete​ct13.dll
 FF - plugin: c:\program files\Google\Picasa3\npPicasa2​.dll
 FF - plugin: c:\program files\Google\Picasa3\npPicasa3​.dll
 FF - plugin: c:\program files\Google\Update\1.2.183.29​\npGoogleOneClick8.dll
 FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
 FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
 FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
 FF - plugin: c:\users\mathieu\Program Files\DNA\plugins\npbtdna.dll
 FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825​760534b} - c:\windows\Microsoft.NET\Frame​work\v3.5\Windows Presentation Foundation\DotNetAssistantExte​nsion\

 ---- PARAMETRES FIREFOX ----
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn​--mgbaam7a8h", true);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn​--mgberp4a5d4ar", true);
 .

 ******************************​******************************​**************

 catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2010-09-03 00:34
 Windows 6.0.6001 Service Pack 1 NTFS

 Recherche de processus cach&#39416; ...

 Recherche d'&#39384;&#39377;ents en d&#39377;arrage automatique cach&#39416; ...

 Recherche de fichiers cach&#39416; ...


 c:\users\mathieu\AppData\Local​\Temp\catchme.dll 53248 bytes executable

 Scan termin&#12539;avec succ&#37978;
 Fichiers cach&#39416;: 1

 ******************************​******************************​**************

 [HKEY_LOCAL_MACHINE\system\Cont​rolSet001\Services\tvnwg]

 .
 --------------------- CLES DE REGISTRE BLOQUEES ---------------------

 [HKEY_LOCAL_MACHINE\system\Cont​rolSet001\Control\Class\{4D36E​96D-E325-11CE-BFC1-08002BE1031​8}\0000\AllUserSettings]
 @Denied: (A) (Users)
 @Denied: (A) (Everyone)
 @Allowed: (B 1 2 3 4 5) (S-1-5-20)
 "BlindDial"=dword:00000000
 "MSCurrentCountry"=dword:00000​0b5
 .
 Heure de fin: 2010-09-03  00:38:39
 ComboFix-quarantined-files.txt  2010-09-02 22:38

 Avant-CF: 90&#63728;633&#63728;949&#6372​8;184 octets libres
 Apr&#37978;-CF: 90&#63728;098&#63728;204&#6372​8;672 octets libres

 Current=1 Default=1 Failed=0 LastKnownGood=81 Sets=1,2,3,4,5,6,7,8,9,10,11,1​2,13,14,15,16,17,18,19,20,21,2​2,23,24,25,26,27,28,29,30,31,3​2,33,34,35,36,37,38,39,40,41,4​2,43,44,45,46,47,48,49,50,51,5​2,53,54,55,56,57,58,59,60,61,6​2,63,64,65,66,67,68,69,70,71,7​2,73,74,75,76,77,78,79,80,81
 - - End Of File - - 7B5269DE1C681CA393B53A70BCD98C​9F

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 02/09/2010 à 22:48:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
en fichier joint :
 http://cjoint.com/data/jdaVR5XXk5.htm

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 03/09/2010 à 13:22:21  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Voir dans le Gestionnaire de périphériques, va dans le menu démarrer/Exécuter et tape devmgmt.msc clic sur OK, voir si tu as des ? où ! jaune.


 @++   :)

(Publicité)
mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 06/09/2010 à 07:54:19  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 En effet, j'ai un ! jaune sur la carte reseau "Microsoft 6to4"
 Dans proprietes, il est ecrit: "Ce peripherique ne fonctionne pas correctement car Windows ne peut pas charger les pilotes requis pour ce peripherique. (code 31)

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 06/09/2010 à 14:28:07  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Clique droit sur le ! jaune et désinstalle le driver de la carte, redémarre le PC et Windows va réinstaller le driver...

 Regarde après redémarrage si toujours ! jaune....


 @++   :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 07/09/2010 à 11:38:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 J'ai pu reinstaller microsoft 6to4 et le ! a disparu. Mais mon ordinateur portable continue de planter quand je me connecte a internet.

 Par ailleurs, j'ai un nouveau ! jaune sur le controleur hote universel Intel(R) gamme ICH8 USB 2836 (depuisque j'ai connecte mon disque dur externe je crois car j'ai eu un probleme avec un port USB.

 a+

 Mathieu

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 08/09/2010 à 01:28:16  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 



Mais mon ordinateur portable continue de planter quand je me connecte a internet.



 Peux-tu me donner plus de détail?

 Pour le ! jaune, clique droit et désinstaller, redémarre le PC.


 @++   :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 08/09/2010 à 15:02:45  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Ben comme je l'expliquais dans mon premier post, au moment ou je me connecte a internet (par wifi ou cable) un message apparait et dit en gros "Votre ordinateur va redemarer dans une minute, veuillez tout enregistrer." et au bout d'une a deux minutes, boum l'ordinateur redemarre. Je crois que ca vient de Winlogon et d'un programme qui s'appelle "ballon pense bete pour winlogon".

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 09/09/2010 à 03:07:40  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Télécharge Gmer et enregistre-le sur ton bureau.

 Note : l'application portera un nom aléatoire. Indique-le moi dans ton prochain message.

 - Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
 - Clique sur le bouton "Scan" sur la droite.

 - Lorsque le scan est terminé, clic sur "Copy".
 - Ouvre le bloc-note et clic sur le Menu Edition / Coller
 - Le rapport doit alors apparaître.

 - Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


 @++  :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2010 à 11:57:20  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Apparemment Gmer trouve pas mal de choses (dans system32, PCTCore, toujours le fichier tvnwg.exe qu'on avait vu precedemmenet) mais le probleme c'est que mon ordinateur plante au bout d'un moment> Ecran bleu, Ordi risque d'etre endommage avec PFN_LIST_CORRUPT et apres difficulte a redemarrer le PC.

 a+

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2010 à 12:21:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Et bien maintenant, c'est encore pire qu'avant,&#12288;je peux meme plus demarrer mon ordi (tentative de reparations echoue)  :hurle:

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2010 à 12:55:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
re,

 J'ai pu restaurer le systeme a partir d'un point de restauration :sweat:   mais maintenant j'ai comme une peur superstitieuse d'utiliser Gmer...

 N'y a t-il pas une autre solution? Et est-ce que ca irait pas plus vite de sauvegarder les fichirs importants sur disque dur externe et de formater? (et par ailleurs, est-ce que le probleme sera resolu en formatant...)  :??:

 a+

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2010 à 18:51:28  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Je viens de réussir à me connecter en désactivant trois programmes avec ccleaner. Visiblement ça marche, mais je ne suis pas sur de comprendre lequel est en cause. Il s'agit de :

 - NvCplDaemon (RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,​NvStartup
 - RtHDVCpl.exe
 - Windows Defender (%ProgramFiles%\Windows Defender\MSASCui.exe -hide)

 Voilà si quelqu'un peut m'éclairer...

 a+

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2010 à 21:41:46  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 En fait, j'ai eu le message "vous allez etre deconnecte de windows" donc ne pas tenir compte de mon message precedent.

 Par contre mon antivirus a detecte un trojan dans tvnwg.sys avec comme nom RKIT/bubnix.abi. Impossible de le mettre en quarantaine ou de le supprimer car "le peripherique attache ne fonctionne pas correctement"
 Que faire?

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 09/09/2010 à 22:00:40  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Désactive le contrôle des comptes utilisateurs UAC (tu le réactiveras après le scan):

 - Va dans démarrer puis panneau de configuration
 - Double Clique sur l'icône "Comptes d'utilisateurs"
 - Clique ensuite sur désactiver et valide.

 Télécharge SystemLook sur ton Bureau :
 http://jpshortstuff.247fixes.com/SystemLook.exe

 - Faire un clique droit sur SystemLook.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour le lancer.

 - Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :

 



 :filefind
 tvnwg.sys
 :regfind
 tvnwg




 - Clique sur le bouton Look pour démarrer l'examen.
 - A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


 @++   :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2010 à 22:30:45  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 je viens d'essayer a nouveau Gmer et ca plante! Je crois que c'est parce que avira antivirus continue a fonctionner. Comment puis-je arreter avgnt.exe?

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 10/09/2010 à 00:06:48  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Voir en mode sans échec pour GMER


 @++   :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 10/09/2010 à 01:38:44  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Voici le rapport gmer. Est-ce que je peux effacer moi meme le fichier tvnwg ?

 GMER 1.0.15.15281 - http://www.gmer.net
 Rootkit scan 2010-09-10 03:33:13
 Windows 6.0.6002 Service Pack 2
 Running: qdy1y992.exe; Driver: C:\Users\mathieu\AppData\Local​\Temp\ugtdrkoc.sys


 ---- System - GMER 1.0.15 ----

 SSDT            \SystemRoot\system32\drivers\P​CTCore.sys (PC Tools KDS Core Driver/PC Tools)                       ZwCreateProcess [0x8DB1ECDC]                                                                                                    <-- ROOTKIT !!!
 SSDT            \SystemRoot\system32\drivers\P​CTCore.sys (PC Tools KDS Core Driver/PC Tools)                       ZwCreateProcessEx [0x8DB1EECE]                                                                                                    <-- ROOTKIT !!!
 SSDT            \SystemRoot\system32\drivers\P​CTCore.sys (PC Tools KDS Core Driver/PC Tools)                       ZwTerminateProcess [0x8DB1E982]                                                                                                    <-- ROOTKIT !!!
 SSDT            \SystemRoot\system32\drivers\i​ksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.)  ZwWriteVirtualMemory [0x91E8B384]                                                                                                    <-- ROOTKIT !!!
 SSDT            \SystemRoot\system32\drivers\P​CTCore.sys (PC Tools KDS Core Driver/PC Tools)                       ZwCreateUserProcess [0x8DB1F0D6]                                                                                                    <-- ROOTKIT !!!

 ---- Kernel code sections - GMER 1.0.15 ----

 .text           ntkrnlpa.exe!KeSetEvent + 209                                                                      856F696C 8 Bytes  [DC, EC, B1, 8D, CE, EE, B1, ...] {FSUB ST(4), ST; MOV CL, 0x8d; INTO ; OUT DX, AL ; MOV CL, 0x8d}
 .text           ntkrnlpa.exe!KeSetEvent + 621                                                                      856F6D84 4 Bytes  JMP E6FEFB3A
 .text           ntkrnlpa.exe!KeSetEvent + 681                                                                      856F6DE4 4 Bytes  [84, B3, E8, 91]
 .text           ntkrnlpa.exe!KeSetEvent + 6E5                                                                      856F6E48 4 Bytes  [D6, F0, B1, 8D]
 .text           tvnwg.sys                                                                                          8620E000 55 Bytes  JMP 8624C5AA \SystemRoot\System32\Drivers\t​vnwg.sys
 .text           tvnwg.sys                                                                                          8620E038 12 Bytes  [00, 66, 81, D7, 1C, 11, 66, ...] {ADD [ESI-0x7f], AH; XLATB ; SBB AL, 0x11; ROR BX, 0x1; MOV EDI, ESP; DEC EBX}
 .text           tvnwg.sys                                                                                          8620E045 33 Bytes  [F3, 57, 0F, CA, 03, 75, 00, ...]
 .text           tvnwg.sys                                                                                          8620E067 20 Bytes  [00, D2, D0, 83, C5, 02, F6, ...]
 .text           tvnwg.sys                                                                                          8620E07C 84 Bytes  [00, 9C, 50, 8D, 64, 24, 34, ...]
 .text           ...                                                                                                
 ?               C:\Windows\System32\Drivers\tv​nwg.sys                                                              Un p&#39419;iph&#39419;ique attach&#12539;au syst&#37994;e ne fonctionne pas correctement.

 ---- Devices - GMER 1.0.15 ----

 Device          \FileSystem\Ntfs \Ntfs                                                                             89A46270

 AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                            Wdf01000.sys (WDF dynamique/Microsoft Corporation)
 AttachedDevice  \FileSystem\fastfat \Fat                                                                           fltmgr.sys (Gestionnaire de filtres de syst&#37994;e de fichiers Microsoft/Microsoft Corporation)

 ---- Services - GMER 1.0.15 ----

 Service          (*** hidden *** )                                                                                 [BOOT] tvnwg                                                                                                    <-- ROOTKIT !!!

 ---- Registry - GMER 1.0.15 ----

 Reg             HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg@Type                                                  1
 Reg             HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg@Start                                                 0
 Reg             HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg@ErrorControl                                          0
 Reg             HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg@Group                                                 Boot Bus Extender
 Reg             HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg@Type                                                      1
 Reg             HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg@Start                                                     0
 Reg             HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg@ErrorControl                                              0
 Reg             HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg@Group                                                     Boot Bus Extender
 Reg             HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg@Type                                                      1
 Reg             HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg@Start                                                     0
 Reg             HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg@ErrorControl                                              0
 Reg             HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg@Group                                                     Boot Bus Extender
 Reg             HKLM\SYSTEM\ControlSet082\Serv​ices\tvnwg@Type                                                      1
 Reg             HKLM\SYSTEM\ControlSet082\Serv​ices\tvnwg@Start                                                     0
 Reg             HKLM\SYSTEM\ControlSet082\Serv​ices\tvnwg@ErrorControl                                              0
 Reg             HKLM\SYSTEM\ControlSet082\Serv​ices\tvnwg@Group                                                     Boot Bus Extender
 Reg             HKLM\SYSTEM\ControlSet083\Serv​ices\tvnwg@Type                                                      1
 Reg             HKLM\SYSTEM\ControlSet083\Serv​ices\tvnwg@Start                                                     0
 Reg             HKLM\SYSTEM\ControlSet083\Serv​ices\tvnwg@ErrorControl                                              0
 Reg             HKLM\SYSTEM\ControlSet083\Serv​ices\tvnwg@Group                                                     Boot Bus Extender

 ---- EOF - GMER 1.0.15 ----

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 10/09/2010 à 13:37:02  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 Télécharger The Avenger par Swandog46 sur le Bureau
 http://swandog46.geekstogo.com [...] wnload.php
 http://swandog46.geekstogo.com [...] venger.zip

 Dezippe le sur le bureau

 Copie le texte de la citation ci-dessous :

 



Registry keys to delete:
 HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg
 HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg
 HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg
 HKLM\SYSTEM\ControlSet082\Serv​ices\tvnwg
 HKLM\SYSTEM\ControlSet083\Serv​ices\tvnwg

 Drivers to delete:
 tvnwg

 Files to Delete:
 C:\Windows\System32\Drivers\tv​nwg.sys




 IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour cet utilisateur.
 si vous n'êtes pas cet utilisateur, ne pas appliquer ces directives : elles pourraient endommager votre système.


 Maintenant, lance The Avenger en cliquant sur son icône du bureau, exécuter en tant qu'administrateur sous vista.
 Dans le cadre , sous Input Script here , colle le contenu du cadre ci dessus et clic Execute:

 Après le re-démarrage, il crée un fichier log qui s'ouvrira, copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse


 @++   :)



mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 10/09/2010 à 15:53:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
j'ai un message d'erreur:

 "Error: Invalid registry syntax in command:
 [HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg]
 Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this programm. skipping line"
 Meme chose pour les 4 lignes suivantes.

 Ensuite BSOD au demarrage donc impossibilite de te poster le fichier log.
 C'etait mieux de faire en mode sans echec?

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 10/09/2010 à 18:34:49  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 J'ai modifier mon poste, erreur de ma part  :super:


 @++   :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 10/09/2010 à 23:12:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Voici le rapport de avenger:

 //////////////////////////////​////////////
  Avenger Pre-Processor log
 //////////////////////////////​////////////

 Platform: Windows NT 6.0 (build 6002, Service Pack 2)
 Fri Sep 10 17:47:45 2010

 17:47:24: Error: Invalid registry syntax in command:
 "[HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg]"
 Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
 Skipping line.  (Registry key deletion mode)  
 17:47:30: Error: Invalid registry syntax in command:
 "[HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg]"
 Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
 Skipping line.  (Registry key deletion mode)  
 17:47:32: Error: Invalid registry syntax in command:
 "[HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg]"
 Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
 Skipping line.  (Registry key deletion mode)  
 17:47:34: Error: Invalid registry syntax in command:
 "[HKLM\SYSTEM\ControlSet082\Serv​ices\tvnwg]"
 Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
 Skipping line.  (Registry key deletion mode)  
 17:47:36: Error: Invalid registry syntax in command:
 "[HKLM\SYSTEM\ControlSet083\Serv​ices\tvnwg]"
 Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
 Skipping line.  (Registry key deletion mode)  


 //////////////////////////////​////////////


 Logfile of The Avenger Version 2.0, (c) by Swandog46
 http://swandog46.geekstogo.com

 Platform:  Windows Vista

 *******************

 Script file opened successfully.
 Script file read successfully.

 Backups directory opened successfully at C:\Avenger

 *******************

 Beginning to process script file:

 Rootkit scan active.
 No rootkits found!

 Registry key "HKLM\SYSTEM\CurrentControlSet​\Services\tvnwg" deleted successfully.
 Registry key "HKLM\SYSTEM\ControlSet080\Ser​vices\tvnwg" deleted successfully.
 Registry key "HKLM\SYSTEM\ControlSet081\Ser​vices\tvnwg" deleted successfully.

 Error:  registry key "HKLM\SYSTEM\ControlSet082\Ser​vices\tvnwg" not found!
 Deletion of registry key "HKLM\SYSTEM\ControlSet082\Ser​vices\tvnwg" failed!
 Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


 Error:  registry key "HKLM\SYSTEM\ControlSet083\Ser​vices\tvnwg" not found!
 Deletion of registry key "HKLM\SYSTEM\ControlSet083\Ser​vices\tvnwg" failed!
 Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


 Error:  registry key "\Registry\Machine\System\Curr​entControlSet\Services\tvnwg" not found!
 Deletion of driver "tvnwg" failed!
 Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

 File "C:\Windows\System32\Drivers\t​vnwg.sys" deleted successfully.

 Completed script processing.

 *******************

 Finished!  Terminate.

 La connexion internet a l'air de marcher...

 a+

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 11/09/2010 à 00:16:40  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Non, ca marche pas en fait!

 a+

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 11/09/2010 à 01:28:22  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 OK, refais moi un scan avec GMER en mode sans échec


 @++  :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 11/09/2010 à 23:35:58  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Le rapport Gmer. le nom du programme est 5t9271gh

 a+


 GMER 1.0.15.15281 - http://www.gmer.net
 Rootkit scan 2010-09-11 16:31:44
 Windows 6.0.6001 Service Pack 1
 Running: 5t9271gh.exe; Driver: C:\Users\mathieu\AppData\Local​\Temp\ugtdrkoc.sys


 ---- System - GMER 1.0.15 ----

 SSDT            \SystemRoot\system32\drivers\P​CTCore.sys (PC Tools KDS Core Driver/PC Tools)                       ZwCreateProcess [0x86318CDC]                                                                                                    <-- ROOTKIT !!!
 SSDT            \SystemRoot\system32\drivers\P​CTCore.sys (PC Tools KDS Core Driver/PC Tools)                       ZwCreateProcessEx [0x86318ECE]                                                                                                    <-- ROOTKIT !!!
 SSDT            \SystemRoot\system32\drivers\P​CTCore.sys (PC Tools KDS Core Driver/PC Tools)                       ZwTerminateProcess [0x86318982]                                                                                                    <-- ROOTKIT !!!
 SSDT            \SystemRoot\system32\drivers\i​ksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.)  ZwWriteVirtualMemory [0x807E5384]                                                                                                    <-- ROOTKIT !!!
 SSDT            \SystemRoot\system32\drivers\P​CTCore.sys (PC Tools KDS Core Driver/PC Tools)                       ZwCreateUserProcess [0x863190D6]                                                                                                    <-- ROOTKIT !!!

 ---- Kernel code sections - GMER 1.0.15 ----

 .text           ntkrnlpa.exe!KeSetTimerEx + 43C                                                                    854F4B00 8 Bytes  [DC, 8C, 31, 86, CE, 8E, 31, ...]
 .text           ntkrnlpa.exe!KeSetTimerEx + 854                                                                    854F4F18 4 Bytes  [82, 89, 31, 86]
 .text           ntkrnlpa.exe!KeSetTimerEx + 8B4                                                                    854F4F78 4 Bytes  [84, 53, 7E, 80]
 .text           ntkrnlpa.exe!KeSetTimerEx + 918                                                                    854F4FDC 4 Bytes  [D6, 90, 31, 86]
 .text           tvnwg.sys                                                                                          8600A000 55 Bytes  JMP 860485AA \SystemRoot\System32\Drivers\t​vnwg.sys
 .text           tvnwg.sys                                                                                          8600A038 12 Bytes  [00, 66, 81, D7, 1C, 11, 66, ...] {ADD [ESI-0x7f], AH; XLATB ; SBB AL, 0x11; ROR BX, 0x1; MOV EDI, ESP; DEC EBX}
 .text           tvnwg.sys                                                                                          8600A045 33 Bytes  [F3, 57, 0F, CA, 03, 75, 00, ...]
 .text           tvnwg.sys                                                                                          8600A067 20 Bytes  [00, D2, D0, 83, C5, 02, F6, ...]
 .text           tvnwg.sys                                                                                          8600A07C 84 Bytes  [00, 9C, 50, 8D, 64, 24, 34, ...]
 .text           ...                                                                                                
 ?               C:\Windows\System32\Drivers\tv​nwg.sys                                                              Un p&#39419;iph&#39419;ique attach&#12539;au syst&#37994;e ne fonctionne pas correctement.

 ---- Devices - GMER 1.0.15 ----

 Device          \FileSystem\Ntfs \Ntfs                                                                             89A4DC10

 AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                            Wdf01000.sys (WDF dynamique/Microsoft Corporation)

 ---- Services - GMER 1.0.15 ----

 Service          (*** hidden *** )                                                                                 [BOOT] tvnwg                                                                                                    <-- ROOTKIT !!!

 ---- Registry - GMER 1.0.15 ----

 Reg             HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg@Type                                                  1
 Reg             HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg@Start                                                 0
 Reg             HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg@ErrorControl                                          0
 Reg             HKLM\SYSTEM\CurrentControlSet\​Services\tvnwg@Group                                                 Boot Bus Extender
 Reg             HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg@Type                                                      1
 Reg             HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg@Start                                                     0
 Reg             HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg@ErrorControl                                              0
 Reg             HKLM\SYSTEM\ControlSet080\Serv​ices\tvnwg@Group                                                     Boot Bus Extender
 Reg             HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg@Type                                                      1
 Reg             HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg@Start                                                     0
 Reg             HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg@ErrorControl                                              0
 Reg             HKLM\SYSTEM\ControlSet081\Serv​ices\tvnwg@Group                                                     Boot Bus Extender

 ---- EOF - GMER 1.0.15 ----

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 12/09/2010 à 15:05:20  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Mathieu


 - Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

 - Copie/colle ce qui est en citation ci-dessous dans le Bloc-Notes :

 



 KillAll::

 Rootkit::
 C:\Windows\System32\Drivers\tv​nwg.sys

 Driver::
 tvnwg

 Registry::
 [-HKLM\SYSTEM\CurrentControlSet​\Services\tvnwg]
 [-HKLM\SYSTEM\ControlSet080\Ser​vices\tvnwg]
 [-HKLM\SYSTEM\ControlSet081\Ser​vices\tvnwg]




 - Enregistre ce fichier sur le bureau (Impératif)

 -Nom du fichier : CFScript.txt
 -Type du fichier : tous les fichiers

 - Clique sur Enregistrer et quitte le Bloc Notes

 Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

 - Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l’icône est un lion) :

 http://free0.hiboox.com/images​/2409/9126d3b136f7db9ab6242ad7​15b44296.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ ComboFix.txt


 @++   :)

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 13/09/2010 à 14:43:11  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
salut,

 Combofix me signale que l'antispyware de Norton est actif: comment l'arreter? (je croyais l'avoir supprimer...)

 J7essaye de poursuivre avec combofix>

 a+

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 13/09/2010 à 15:39:51  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
re,

 Voici le rapport combofix. Pour info, je ne peux plus ouvrir combofix.exe iy combofix.txt. Une fenetre s'ouvre avec "Tentative d'operation non autorisee sur une cle du registre marquee pour suppression"

 ComboFix 10-09-12.04 - mathieu 13/09/2010  16:45:18.1.2 - x86
 Microsoft&#65390; Windows Vista&#12539;&#65417;dition Familiale Premium   6.0.6001.1.1252.33.1036.18.307​0.1601 [GMT 2:00]
 Lanc&#12539;depuis: c:\users\mathieu\Desktop\Combo​Fix.exe
 Commutateurs utilis&#39416; :: c:\users\mathieu\Desktop\CFScr​ipt.txt.txt
 AV: Norton Internet Security *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431​C1C35F8}
 FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19​C16F220}
 SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7A​A91E59A}
 SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132​C1ACF46}
 .

 ((((((((((((((((((((((((((((((​((((((   Autres suppressions   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .

 .
 ((((((((((((((((((((((((((((((​(((((((((   Pilotes/Services   ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .

 -------\Legacy_TVNWG
 -------\Service_tvnwg


 (((((((((((((((((((((((((((((   Fichiers cr&#40172;s du 2010-08-13 au 2010-09-13  ))))))))))))))))))))))))))))))​))))))
 .

 2010-09-13 14:54 . 2010-09-13 14:54 -------- d-----w- c:\users\Public\AppData\Local\​temp
 2010-09-13 14:54 . 2010-09-13 14:54 -------- d-----w- c:\users\Default\AppData\Local​\temp
 2010-09-09 23:33 . 2010-09-11 00:35 -------- d-----w- C:\98d701a47925f28e77
 2010-08-28 11:49 . 2010-08-28 11:50 -------- d-----w- C:\rsit
 2010-08-26 09:45 . 2010-08-26 09:45 -------- d-sh--w- c:\windows\ftpcache
 2010-08-26 01:06 . 2010-08-26 01:06 -------- d-----w- c:\windows\system32\EventProvi​ders
 2010-08-26 01:06 . 2010-08-26 09:34 -------- d-----w- C:\c5f9fba3bdf1a4855adaac23b06​e
 2010-08-25 23:18 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\av​gntflt.sys
 2010-08-25 23:18 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\av​ipbb.sys
 2010-08-25 23:18 . 2010-08-25 23:18 -------- d-----w- c:\programdata\Avira
 2010-08-25 23:18 . 2010-08-25 23:18 -------- d-----w- c:\program files\Avira
 2010-08-25 10:35 . 2010-08-25 10:35 -------- d-----w- c:\program files\Trend Micro
 2010-08-25 10:25 . 2010-09-13 14:41 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\DNA
 2010-08-24 21:17 . 2010-09-11 00:35 -------- d-----w- c:\program files\CCleaner
 2010-08-24 21:01 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mb​amswissarmy.sys
 2010-08-24 21:01 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mb​am.sys
 2010-08-24 20:23 . 2010-08-24 20:23 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\Malwarebytes
 2010-08-24 20:23 . 2010-08-24 21:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
 2010-08-24 20:23 . 2010-08-24 20:23 -------- d-----w- c:\programdata\Malwarebytes
 2010-08-24 18:00 . 2010-09-13 14:54 785408 ----a-w- c:\windows\system32\drivers\tv​nwg.sys
 2010-08-16 14:48 . 2010-06-11 15:31 274432 ----a-w- c:\windows\system32\schannel.d​ll
 2010-08-16 14:48 . 2010-06-21 13:18 2036736 ----a-w- c:\windows\system32\win32k.sys
 2010-08-16 14:48 . 2010-06-18 16:43 36352 ----a-w- c:\windows\system32\rtutils.dl​l
 2010-08-16 14:48 . 2010-06-08 17:00 3598216 ----a-w- c:\windows\system32\ntkrnlpa.e​xe
 2010-08-16 14:48 . 2010-06-08 17:00 3545992 ----a-w- c:\windows\system32\ntoskrnl.e​xe

 .
 ((((((((((((((((((((((((((((((​((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 2010-09-13 14:56 . 2009-12-06 16:15 32061 ----a-w- c:\programdata\nvModes.dat
 2010-09-13 14:38 . 2007-11-27 09:45 673938 ----a-w- c:\windows\system32\perfh00C.d​at
 2010-09-13 14:38 . 2007-11-27 09:45 125636 ----a-w- c:\windows\system32\perfc00C.d​at
 2010-09-12 19:51 . 2008-06-29 20:50 -------- d-----w- c:\programdata\Google Updater
 2010-09-11 09:40 . 2008-06-29 20:53 -------- d-----w- c:\program files\Spyware Doctor
 2010-09-11 00:33 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
 2010-09-11 00:33 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
 2010-09-10 16:05 . 2008-04-17 19:02 -------- d-----w- c:\programdata\NVIDIA
 2010-09-10 15:47 . 2010-09-10 15:43 220 ----a-w- c:\program files\tjamvit.txt
 2010-09-10 00:26 . 2007-11-27 01:11 -------- d--h--w- c:\program files\InstallShield Installation Information
 2010-09-10 00:24 . 2007-11-27 02:41 -------- d-----w- c:\program files\muvee Technologies
 2010-09-10 00:24 . 2007-11-27 02:41 -------- d-----w- c:\program files\Common Files\muvee Technologies
 2010-09-09 23:30 . 2008-05-21 14:12 123360 ----a-w- c:\users\mathieu\AppData\Local​\GDIPFONTCACHEV1.DAT
 2010-09-06 15:01 . 2009-04-15 07:13 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\dvdcss
 2010-08-28 15:25 . 2008-10-31 00:47 1 ----a-w- c:\users\mathieu\AppData\Roami​ng\OpenOffice.org\3\user\uno_p​ackages\cache\stamp.sys
 2010-08-27 12:56 . 2007-11-27 02:52 -------- d-----w- c:\programdata\Microsoft Help
 2010-08-27 12:55 . 2007-11-27 02:30 -------- d-----w- c:\program files\Microsoft Works
 2010-08-26 07:08 . 2008-04-17 18:58 -------- d-----w- c:\programdata\WildTangent
 2010-08-25 22:05 . 2009-02-10 18:03 -------- d-----w- c:\users\mathieu\AppData\Roami​ng\GTek
 2010-08-25 20:07 . 2010-04-02 18:43 -------- d-----w- c:\programdata\Alwil Software
 2010-08-24 18:17 . 2009-08-01 17:22 -------- d-----w- c:\program files\BitTorrent
 2010-08-24 17:35 . 2010-08-24 17:35 3 ----a-w- C:\t.tmp
 2010-06-28 16:17 . 2010-08-16 14:49 833024 ----a-w- c:\windows\system32\wininet.dl​l
 2010-06-28 16:13 . 2010-08-16 14:49 78336 ----a-w- c:\windows\system32\ieencode.d​ll
 2010-06-23 10:36 . 2010-06-23 10:36 501936 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbEFED.tmp.exe
 2010-06-18 14:43 . 2010-08-16 14:49 302080 ----a-w- c:\windows\system32\drivers\sr​v.sys
 2010-06-18 14:43 . 2010-08-16 14:49 144896 ----a-w- c:\windows\system32\drivers\sr​v2.sys
 2010-06-16 15:59 . 2010-08-16 14:49 898952 ----a-w- c:\windows\system32\drivers\tc​pip.sys
 2008-05-21 17:05 . 2008-05-21 17:05 22 --sha-w- c:\windows\SMINST\HPCD.sys
 .

 ((((((((((((((((((((((((((((((​(((   Points de chargement Reg   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 .
 *Note* les &#39384;&#39377;ents vides & les &#39384;&#39377;ents initiaux l&#39342;itimes ne sont pas list&#39416;
 REGEDIT4

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
 "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeC​ontrolPanel.exe" [2007-08-23 455968]
 "swg"="c:\program files\Google\GoogleToolbarNoti​fier\GoogleToolbarNotifier.exe​" [2008-06-29 68856]
 "ehTray.exe"="c:\windows\ehome​\ehTray.exe" [2008-01-19 125952]
 "BitTorrent DNA"="c:\users\mathieu\Program Files\DNA\btdna.exe" [2010-01-19 323392]
 "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPSta​rt.exe" [2007-09-15 102400]
 "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hl​pr.exe" [2007-01-17 634880]
 "RtHDVCpl"="RtHDVCpl.exe" [2007-08-17 4702208]
 "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
 "QPService"="c:\program files\HP\QuickPlay\QPService.e​xe" [2007-09-30 181544]
 "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
 "OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
 "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITran​sfer\MUIStartMenu.exe" [2007-08-16 218408]
 "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
 "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
 "hpWirelessAssistant"="c:\prog​ram files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
 "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
 "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
 "SunJavaUpdateSched"="c:\progr​am files\Java\jre6\bin\jusched.ex​e" [2009-10-11 149280]
 "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
 "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.e​xe" [2010-06-09 976832]
 "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched​.exe" [2010-03-03 202256]
 "NvCplDaemon"="c:\windows\syst​em32\NvCpl.dll" [2009-10-03 13826664]
 "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 c:\programdata\Microsoft\Windo​ws\Start Menu\Programs\Startup\
 Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows\currentversion​\policies\system]
 "EnableUIADesktopToggle"= 0 (0x0)

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows nt\currentversion\drivers32]
 "aux"=wdmaud.drv

 [HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\SafeBoot​\Minimal\sdauxservice]
 @=""

 [HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\SafeBoot​\Minimal\sdcoreservice]
 @=""

 [HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\SafeBoot​\Minimal\WinDefend]
 @="Service"

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center\Monitoring]
 "DisableMonitoring"=dword:0000​0001

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center\Monitoring\SymantecAntiVirus]
 "DisableMonitoring"=dword:0000​0001

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center\Monitoring\SymantecFirewall]
 "DisableMonitoring"=dword:0000​0001

 R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpda​te.exe [2010-02-10 135664]
 R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Dri​vers\PCAMp50.sys [2006-11-28 28224]
 R3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-09-23 358600]
 S0 PCTCore;PCTools KDS;c:\windows\system32\driver​s\PCTCore.sys [2009-09-23 207280]
 S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]


 [HKEY_LOCAL_MACHINE\software\mi​crosoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
 2007-08-23 15:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.ex​e
 .
 Contenu du dossier 'T&#31245;hes planifi&#39333;s'

 2010-09-13 c:\windows\Tasks\Google Software Updater.job
 - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.e​xe [2008-06-14 23:52]

 2010-09-13 c:\windows\Tasks\GoogleUpdateT​askMachineCore.job
 - c:\program files\Google\Update\GoogleUpda​te.exe [2010-02-10 23:07]

 2010-09-13 c:\windows\Tasks\GoogleUpdateT​askMachineUA.job
 - c:\program files\Google\Update\GoogleUpda​te.exe [2010-02-10 23:07]

 2010-08-24 c:\windows\Tasks\RealUpgradeSc​heduledTaskS-1-5-21-3052913605​-632499399-2197385697-1000.job
 - c:\program files\Real\RealUpgrade\realupg​rade.exe [2010-02-24 21:09]

 2010-09-13 c:\windows\Tasks\User_Feed_Syn​chronization-{E991081E-4ED3-48​1E-B4FB-7692C7B00400}.job
 - c:\windows\system32\msfeedssyn​c.exe [2008-09-01 07:33]
 .
 .
 ------- Examen suppl&#39377;entaire -------
 .
 uStart Page = hxxp://www.google.fr/
 mStart Page = hxxp://ie.redirect.hp.com/svs/​rdr?TYPE=3&tp=iehome&locale=fr​_fr&c=81&bd=Pavilion&pf=laptop
 uInternet Settings,ProxyOverride = <local>
 IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.sc​r/200
 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\​EXCEL.EXE/3000
 IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolba​rDynamic_mui_en_89D8574934B26A​C4.dll/cmsidewiki.html
 IE: Microsoft Excel ???????(&X) - c:\progra~1\MICROS~3\OFFICE11\​EXCEL.EXE/3000
 LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
 FF - ProfilePath - c:\users\mathieu\AppData\Roami​ng\Mozilla\Firefox\Profiles\30​ncos7o.default\
 FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?l​r=&ie=UTF-8&oe=UTF-8&q=
 FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
 FF - component: c:\programdata\Real\RealPlayer​\BrowserRecordPlugin\Firefox\E​xt\components\nprpffbrowserrec​ordext.dll
 FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDete​ct13.dll
 FF - plugin: c:\program files\Google\Picasa3\npPicasa2​.dll
 FF - plugin: c:\program files\Google\Picasa3\npPicasa3​.dll
 FF - plugin: c:\program files\Google\Update\1.2.183.29​\npGoogleOneClick8.dll
 FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
 FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
 FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
 FF - plugin: c:\users\mathieu\Program Files\DNA\plugins\npbtdna.dll
 FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825​760534b} - c:\windows\Microsoft.NET\Frame​work\v3.5\Windows Presentation Foundation\DotNetAssistantExte​nsion\

 ---- PARAMETRES FIREFOX ----
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn​--mgbaam7a8h", true);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn​--mgberp4a5d4ar", true);
 .

 ******************************​******************************​**************

 catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2010-09-13 16:57
 Windows 6.0.6001 Service Pack 1 NTFS

 Recherche de processus cach&#39416; ...

 Recherche d'&#39384;&#39377;ents en d&#39377;arrage automatique cach&#39416; ...

 Recherche de fichiers cach&#39416; ...

 Scan termin&#12539;avec succ&#37978;
 Fichiers cach&#39416;: 0

 ******************************​******************************​**************
 .
 --------------------- CLES DE REGISTRE BLOQUEES ---------------------

 [HKEY_LOCAL_MACHINE\system\Cont​rolSet001\Control\Class\{4D36E​96D-E325-11CE-BFC1-08002BE1031​8}\0000\AllUserSettings]
 @Denied: (A) (Users)
 @Denied: (A) (Everyone)
 @Allowed: (B 1 2 3 4 5) (S-1-5-20)
 "BlindDial"=dword:00000000
 "MSCurrentCountry"=dword:00000​0b5
 .
 ------------------------ Autres processus actifs ------------------------
 .
 c:\windows\system32\nvvsvc.exe
 c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
 c:\program files\Common Files\LightScribe\LSSrvc.exe
 c:\program files\HP\QuickPlay\Kernel\TV\Q​PCapSvc.exe
 c:\program files\CyberLink\Shared Files\RichVideo.exe
 c:\program files\Hewlett-Packard\Shared\h​pqwmiex.exe
 c:\program files\HP\QuickPlay\Kernel\TV\Q​PSched.exe
 c:\windows\system32\nvvsvc.exe
 c:\windows\system32\conime.exe
 c:\windows\RtHDVCpl.exe
 c:\windows\system32\wbem\unsec​app.exe
 c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
 c:\windows\ehome\ehmsas.exe
 c:\program files\Windows Media Player\wmpnetwk.exe
 c:\program files\Synaptics\SynTP\SynTPEnh​.exe
 c:\program files\Hewlett-Packard\Shared\H​pqToaster.exe
 .
 ******************************​******************************​**************
 .
 Heure de fin: 2010-09-13  17:08:20 - La machine a red&#39377;arr&#12539;
 ComboFix-quarantined-files.txt  2010-09-13 15:08
 ComboFix2.txt  2010-09-02 22:38

 Avant-CF: 92&#63728;963&#63728;479&#6372​8;552 octets libres
 Apr&#37978;-CF: 92&#63728;298&#63728;084&#6372​8;352 octets libres

 Current=1 Default=1 Failed=0 LastKnownGood=81 Sets=1,2,3,4,5,6,7,8,9,10,11,1​2,13,14,15,16,17,18,19,20,21,2​2,23,24,25,26,27,28,29,30,31,3​2,33,34,35,36,37,38,39,40,41,4​2,43,44,45,46,47,48,49,50,51,5​2,53,54,55,56,57,58,59,60,61,6​2,63,64,65,66,67,68,69,70,71,7​2,73,74,75,76,77,78,79,80,81
 - - End Of File - - 19BE59B2F3C452810FABA5915DC468​5F

mathieu-clrg
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 13/09/2010 à 21:57:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

 Deux point à rajouter par rapport aux messages précédent:

 1)Après redémarrage, je peux ouvrir de nouveau les applications. J'ai fait une analyse avec mon antivirus et j'ai pu mettre en quarantaine le rootkit tvnwg.sys. Est-ce que je dois le supprimer?

 2) Je peux me connecter à internet mais mon PC fait un bruit d'enfer comme si je chargeais ou envoyer quelque chose de lourd, ce qui me donne l'impression que le problème n'est pas vraiment résolu...

 J'attends tes conseils avec impatience!

 a+

 Page :
1  2
Dernière Page
Page Suivante
Page Précédente
Première Page

Aller à :
 

Sujets relatifs
soucis déconnexion (résolu) Suite virus downloader => Bureau windows tout bleu
deconnexion en telechargent pc qui bloque et déconnexion msn virus ou programme espion
Deconnexion Wanadoo pui rennumerotation inconnue  
Plus de sujets relatifs à : Deconnexion de Windows avec wi-fi

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
cheval de troi 24
PC de plus en plus lent, probablement infecté 4
tr/crypt.xpack.gen2 1
Ordi infecté par Win32 Dropper Gen, aidez moi svp 0
Malware Doctor : infection 0