Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Rootkit détécté par avg 8?

 

121 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1  2  3
Dernière Page
Page Suivante
Page Précédente
Première Page
Auteur
 Sujet :

Rootkit détécté par avg 8?

Prévenir les modérateurs en cas d'abus 
RazOoR
razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 01/10/2008 à 19:48:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,

 Venant de finir un scan de mon ordinateur, AVG 8 me signale dans la section rootkit un élément :
 C:\Windows\System32\Drivers\a2​pw6w3c.SYS; Infection : "Pilote masqué"; résultat : "L'objet est masqué".

 Pas plus de précisions et quand j'essaie de le mettre en quarantaine il me marque "accès refusé".

 J'ai donc essayé de me renseigner sur un virus, un rootkit etc... de ce nom sur le net, mais rien... J'ai meme essayé de le détecter avec Rootkit Revealer mais il a planté au bout de 2h...

 Faut il que je m'en inquiète? et si oui, que faire?

 (Pour info, mon système est Vista avec toutes mises à jour et AVG Internet Security)

RUBISED
Profil : Equipe sécurité
rubised
Habitué (de 5 000 à 9 999 messages postés) Helpeur confirmé
  1. Posté le 02/10/2008 à 16:31:06  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 En attendant qu'un Helper (spécialiste en désinfection) vienne à ton secours télécharge ce logiciel
 Ici : http://www.commentcamarche.net [...] ti-malware
 Tu l'installe ,faire une mise à jour ,puis redémarrer ton pc en mode sans échec et là lancer malwareByte examen complet laisser faire et supprimer tout ce qu'il aura trouvé sans aucun risque et redémarrer ton pc en mode normale
 Tiens moi au courant du résultat STP
 Merci et bonne soirée


---------------
Merci et bon surf
(Publicité)
master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 02/10/2008 à 18:09:30  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut, fais un scan HijackThis s'il te plaît.

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 02/10/2008 à 18:10:01  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,
 Merci de t'occuper de mon cas rubised.
 J'ai fais ce que tu m'as dis mais il n'as rien détécté :
 Malwarebytes' Anti-Malware 1.28
 Version de la base de données: 1226
 Windows 6.0.6001 Service Pack 1

 02/10/2008 20:02:32
 mbam-log-2008-10-02 (20-02-32).txt

 Type de recherche: Examen complet (C:\|D:\|E:\|)
 Eléments examinés: 263756
 Temps écoulé: 59 minute(s), 33 second(s)

 Processus mémoire infecté(s): 0
 Module(s) mémoire infecté(s): 0
 Clé(s) du Registre infectée(s): 0
 Valeur(s) du Registre infectée(s): 0
 Elément(s) de données du Registre infecté(s): 0
 Dossier(s) infecté(s): 0
 Fichier(s) infecté(s): 0

 Processus mémoire infecté(s):
 (Aucun élément nuisible détecté)

 Module(s) mémoire infecté(s):
 (Aucun élément nuisible détecté)

 Clé(s) du Registre infectée(s):
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre infectée(s):
 (Aucun élément nuisible détecté)

 Elément(s) de données du Registre infecté(s):
 (Aucun élément nuisible détecté)

 Dossier(s) infecté(s):
 (Aucun élément nuisible détecté)

 Fichier(s) infecté(s):
 (Aucun élément nuisible détecté)


 Une autre idée?

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 02/10/2008 à 18:10:48  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut, fais un scan HijackThis s'il te plaît, et poste le rapport de malwareByte.  :hello:

(Publicité)
razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 02/10/2008 à 18:13:08  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Master G,
 Voila le scan HijackThis:

 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 20:12:08, on 02/10/2008
 Platform: Windows Vista SP1 (WinNT 6.00.1905)
 MSIE: Internet Explorer v7.00 (7.00.6001.18000)
 Boot mode: Normal

 Running processes:
 C:\Windows\system32\Dwm.exe
 C:\Windows\system32\taskeng.ex​e
 C:\Windows\Explorer.EXE
 C:\Program Files\Synaptics\SynTP\SynTPSta​rt.exe
 C:\Program Files\Motorola\SMSERIAL\sm56hl​pr.exe
 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
 C:\Program Files\Hp\QuickPlay\QPService.e​xe
 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
 C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe
 C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
 C:\Program Files\Windows Defender\MSASCui.exe
 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
 C:\Program Files\AVG\AVG8\avgtray.exe
 C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
 C:\Windows\System32\rundll32.e​xe
 C:\Windows\RtHDVCpl.exe
 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
 C:\Program Files\Windows Media Player\wmpnscfg.exe
 C:\Windows\system32\wbem\unsec​app.exe
 C:\Program Files\Synaptics\SynTP\SynTPHel​per.exe
 C:\Program Files\Mozilla Firefox\firefox.exe
 C:\Program Files\Internet Explorer\IEUser.exe
 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
 C:\Windows\system32\SearchFilt​erHost.exe
 C:\Program Files\Trend Micro\HijackThis\HijackThis.ex​e

 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/ [...] &pf=laptop
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/ [...] &pf=laptop
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Search,SearchAssistan​t =
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Search,CustomizeSearc​h =
 R1 - HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings,ProxyOverride = *.local
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me =
 O1 - Hosts: ::1 localhost
 O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\Ac​roIEHelper.dll
 O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E​497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv​.dll
 O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-51647​60863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A18​7E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.​DLL
 O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09​D4B49CA} - (no file)
 O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A18​7E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.​DLL
 O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPSta​rt.exe
 O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hl​pr.exe
 O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
 O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.e​xe"
 O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard​\HP Quick Launch Buttons\QlbCtrl.exe /Start
 O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
 O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITran​sfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0​"
 O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
 O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
 O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
 O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.e​xe
 O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe
 O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,​NvStartup
 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.d​ll,NvTaskbarInit
 O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
 O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
 O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
 O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
 O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
 O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
 O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Off​ice12\EXCEL.EXE/3000
 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\b​in\ssv.dll
 O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\b​in\ssv.dll
 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C5​71A8263} - C:\PROGRA~1\MICROS~3\Office12\​REFIEBAR.DLL
 O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DB​BB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
 O13 - Gopher Prefix:
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{80C057C7-8215-4450-91D6-D​285BC57DF70}: NameServer = 192.168.0.5
 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE​494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
 O20 - AppInit_DLLs: avgrsstx.dll
 O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceS​ervice.exe
 O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.ex​e
 O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.​exe
 O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.e​xe
 O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.ex​e
 O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
 O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.ex​e
 O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
 O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
 O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\h​pqwmiex.exe
 O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\​Intel 32\IDriverT.exe
 O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
 O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
 O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfserv​ice.exe
 O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
 O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\Q​PCapSvc.exe
 O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\Q​PSched.exe
 O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\Reg​Srvc.exe
 O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
 O23 - Service: @%SystemRoot%\System32\TuneUpD​efragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefr​agService.exe

 --
 End of file - 9243 bytes


master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 02/10/2008 à 19:51:22  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Tu est sous Vista?

 Voilà tu desactives l'UAC (User Account Control), tu coches cette ligne puis clique sur fix checked et redémarre :
 "O23 - Service: @%SystemRoot%\System32\TuneUpD​efragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefr​agService.exe"

 Vérifie qu'il n'est plus la en refaisant un scan.

 Pour le reste c'est à toi de voir :
 "R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/ [...] fr&c(...)"
 -Redirection vers le site de HP lors de l'ouverture d'IE.

 "O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09​D4B49CA} - (no file)"
 -Une barre d'outils sans nom, à supprimer dans le doute  :??:

 "O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITran​sfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0​""
 - A toi de voir si tu veux le virer (il se lance au démarrage" ). Si oui, va dans "démarrer" -> "tous les programmes" -> "démarrage" et fais un peu de ménage :D

 "O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.ex​e"
 -N'est pas nécessaire, donc tu peux virer.

 "O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfserv​ice.exe"
 -A toi de voir si tu veux l'enlever.


 Ensuite, fais un scan en ligne avec Kaspersky et poste le rapport: http://webscanner.kaspersky.fr/



 Merci Naheulbeuk pour la modération :super:

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 02/10/2008 à 19:55:57  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
A supprimer

(Publicité)
master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 02/10/2008 à 19:55:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
pas moyen de supprimer ses doubles posts ?  :pleure:

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 02/10/2008 à 20:03:34  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 



Tu est sous Vista?
 Voilà tu desactives l'UAC et tu coches cette ligne :
 "O23 - Service: @%SystemRoot%\System32\TuneUpD​efragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefr​agService.exe"



 Oui je suis sous Vista
 Pour cette ligne je suppose qu'elle provient de Tune Up Utilities.
 Est ce que le logiciel pourra encore fonctionner correctement aprés?

 



Pour le reste c'est à toi de voir :
 "R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/ [...] fr&c(...)"
 -Redirection vers le site de HP lors de l'ouverture d'IE.
 


J'utilise Firefox.
 



 
 "O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09​D4B49CA} - (no file)"
 -Une barre d'outils sans nom, à supprimer dans le doute :??:
 


OK



 
 "O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITran​sfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0​""
 - A toi de voir si tu veux le virer (il se lance au démarrage" ). Si oui, va dans "démarrer" -> "tous les programmes" -> "démarrage" et fais un peu de ménage :D
 


Je n'ai rien dans le dossier démarrage, pas même Youcam qui controle ma Webcam intégrée...

 



 
 "O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.ex​e"
 -N'est pas nécessaire, donc tu peux virer.
 


J'ai vu que ce programme se lance au démarrage, mais je n'ai pas trés bien compris son utilité (mise en réseau local automatique et recherche des imprimantes et dossiers partagés pas Apple), j'avais laissé dans le doute.

 



 
 "O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfserv​ice.exe"
 -A toi de voir si tu veux l'enlever.



 Ok

 Je fais un scan et je le poste, mais je ne comprends tjrs pas qu'est ce que c'est que ce rootkit qui se cache?? :hebe:

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 02/10/2008 à 20:13:05  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
-Pour "Tune Up Utilities" à toi de voir.
 -Autant pour moi pour la webcam ya pas de soucis.
 -En effet maintenant que tu le dis, "Bonjour" est utile, mea culpa : http://www.commentcamarche.net [...] ur-service

 Pour le pilote masqué, certains pilotes ne sont pas considérés comme "fonctionnels" si ils n'obtiennent pas une certification de la part de 'Crosoft il me semble.
 D'autre part, des rootkits se font passer pour des pilotes donc, autant en être sûr(incroyable la seule source sur Google à propos de ce .sys est ton topic !).

 En attendant peux-tu regarder les propriétés de ce fichier .sys (date de modification, etc...) ? Ca serait pas un "d" minuscule ? : C:\Windows\System32\Drivers\a2pw6w3c.SYS




(Publicité)
razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 03/10/2008 à 07:54:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Je n'ai pas accès à ce fichier...  :heink:
 J'ai essayé de désactiver les options de fichiers cachés et fichiers système, mais je ne le trouve toujours pas.

 Pour l'adresse, c'est celle que me sort l'antivirus dans son rapport; rien de plus, pas de nom spécial de virus, pas de propriétés...

 Je lance un antivirus avant de partir cet après midi et je posterai les résultats de l'analyse on-line.

 PS : je sais pas ce que mon pc a depuis 2 redémarrage, le DD tourne à pleine vitesse tout le temps, même offline et pourtant rien ne tourne.

  1. homepage
naheulbeuk7
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 03/10/2008 à 10:48:38  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
bonjour, master G cette ligne est légitime :??:

 "O23 - Service: @%SystemRoot%\System32\TuneUpD​efragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefr​agService.exe"

 ;)


---------------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 03/10/2008 à 21:55:41  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ouep on a vu ca  :super: , j'étais tombé sur un site mal informé sur Google.  :whistle:

 Donc j'attend le scan de kaspersky. Ton infection n'est pas anodine et j'aimerai bien savoir si le .sys n'est pas accompagné d'autres "joyeusetées".

(Publicité)
razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 03/10/2008 à 22:16:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ah, petit problème le scan Kaspersky n'est pas encore compatible avec Vista...
 Je lancerais un scan Panda On line si possible demain.

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 03/10/2008 à 22:33:24  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Effectivement...  :o  
 Bon courage pour le scan, en esperant qu'il trouve quelques fichiers suspects :)

mido70
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 04/10/2008 à 03:23:43  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
groupe,

 Pour le Scan en ligne Kaspersky.

 À ce lien il est aussi disponible pour Vista, UAC et antivirus résident désactiver.  
 IExplorer et Firefox ! sont acceptés.

mido70
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 04/10/2008 à 03:24:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
groupe,

 Pour le Scan en ligne Kaspersky.

 À ce lien il est aussi disponible pour Vista, UAC et antivirus résident désactiver.
 IExplorer et Firefox ! sont acceptés.

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 04/10/2008 à 18:47:11  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir tout le monde,
 Je viens enfin de finir un scan Kaspersky, résultat rien du tout :

 ------------------------------​------------------------------​--------------------
 KASPERSKY ONLINE SCANNER 7 REPORT
 Saturday, October 4, 2008
 Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)
 Kaspersky Online Scanner 7 version: 7.0.25.0
 Program database last update: Saturday, October 04, 2008 15:53:58
 Records in database: 1289382
 ------------------------------​------------------------------​--------------------

 Scan settings:
  Scan using the following database: extended
  Scan archives: yes
  Scan mail databases: yes

 Scan area - My Computer:
  C:\
  D:\
  E:\
  F:\
  G:\

 Scan statistics:
  Files scanned: 236092
  Threat name: 0
  Infected objects: 0
  Suspicious objects: 0
  Duration of the scan: 02:49:02

 No malware has been detected. The scan area is clean.

 The selected area was scanned.
 :hebe:  :hebe:

 Qu'est ce que je fais maintenant?
 J'aimerais bien au moins avoir un accès manuel à ce fichier *.sys :(

 (Rootkits
 "Fichier;""Infection"";""Résul​tat"""
 "C:\Windows\System32\Drivers\a​2pw6w3c.SYS;""Pilote masqué"";""L'objet est masqué""" )

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 04/10/2008 à 19:07:08  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
C'est encore moi,
 je relance un scan AVG en ce moment et il m'a déjà détécté un rootkit (ou du moins pilote masqué)...
 Je ne sais pas encore si c'est le même ou un nouveau mais il a changé de nom :
 maintenant c'est "C:\Windows\System32\Drivers\a​xmmj77g.sys"

 Ca me semble encore plus suspect...

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 04/10/2008 à 23:11:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,  :hello:

 Tu est allé voir si tu pouvais voir ce dernier et regarder ses propriétés?

 Essaye sur VirusTotal : http://www.virustotal.com/fr/ en allant chercher ce .sys.

 Si cela ne fonctionne pas car il n'est pas visible fais ceci :

 



Télécharge combofix.exe (de sUBs) sur le bureau :

 http://download.bleepingcomput [...] mboFix.exe


 Redémarre le pc en mode sans échec et double clique combofix.exe tape 1 valide par Entrée pour lancer le scan

 Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

 NOTE : Le rapport se trouve également ici : C:\Combofix.txt

 Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure




razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 06/10/2008 à 16:04:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 Je viens de rentrer, voici le rapport de Combofix (j'ai du l'executer en mode normal parceque je n'arrivais pas à le lancer en mode sans échec) :

 ComboFix 08-10-04.07 - Laurene 2008-10-06 12:51:28.1 - NTFSx86
 Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.1.1036.18.2106 [GMT 2:00]
 Lancé depuis: C:\Users\Laurene\Desktop\Combo​Fix.exe
 .

 ((((((((((((((((((((((((((((((​((((((   Autres suppressions   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .

 C:\Windows\system32\KBL.LOG

 .
 (((((((((((((((((((((((((((((   Fichiers créés du 2008-09-06 au 2008-10-06  ))))))))))))))))))))))))))))))​))))))
 .

 2008-10-04 12:21 . 2008-10-04 12:21 <REP> d-------- C:\Windows\Sun
 2008-10-04 10:34 . 2008-10-04 10:34 107,888 --a------ C:\Windows\System32\CmdLineExt​.dll
 2008-10-04 00:10 . 2008-10-04 00:10 <REP> d-------- C:\Users\Laurene\AppData\Roami​ng\GTek
 2008-10-02 18:35 . 2008-10-02 18:35 <REP> d-------- C:\Users\Laurene\AppData\Roami​ng\Malwarebytes
 2008-10-02 18:35 . 2008-10-02 18:35 <REP> d-------- C:\Users\All Users\Malwarebytes
 2008-10-02 18:35 . 2008-10-02 18:35 <REP> d-------- C:\ProgramData\Malwarebytes
 2008-10-02 18:35 . 2008-10-02 18:35 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
 2008-10-02 18:35 . 2008-09-10 00:04 38,528 --a------ C:\Windows\System32\drivers\mb​amswissarmy.sys
 2008-10-02 18:35 . 2008-09-10 00:03 17,200 --a------ C:\Windows\System32\drivers\mb​am.sys
 2008-10-01 21:59 . 2008-10-01 21:59 <REP> d-------- C:\Program Files\Trend Micro
 2008-10-01 20:16 . 2008-10-01 20:19 100,074,304 --a------ C:\Windows\System32\ZFYE
 2008-09-29 20:20 . 2008-09-29 20:20 <REP> d-------- C:\Program Files\Axon Data
 2008-09-28 19:59 . 2008-09-28 19:59 <REP> d-------- C:\Program Files\Shareaza
 2008-09-19 18:35 . 2008-09-19 18:35 <REP> d-------- C:\Program Files\Apple Software Update
 2008-09-19 18:34 . 2008-09-19 18:34 <REP> d-------- C:\Users\Laurene\AppData\Roami​ng\Apple Computer
 2008-09-19 18:33 . 2008-09-19 18:33 <REP> d----c--- C:\Windows\System32\DRVSTORE
 2008-09-19 18:33 . 2008-04-17 13:12 107,368 --a------ C:\Windows\System32\GEARAspi.d​ll
 2008-09-19 18:33 . 2008-04-17 13:12 15,464 --a------ C:\Windows\System32\drivers\GE​ARAspiWDM.sys
 2008-09-19 18:32 . 2008-09-19 18:33 <REP> d-------- C:\Users\All Users\{3276BE95_AF08_429F_A64F​_CA64CB79BCF6}
 2008-09-19 18:32 . 2008-09-19 18:33 <REP> d-------- C:\ProgramData\{3276BE95_AF08_​429F_A64F_CA64CB79BCF6}
 2008-09-19 18:32 . 2008-09-19 18:33 <REP> d-------- C:\Program Files\iTunes
 2008-09-19 18:32 . 2008-09-19 18:32 <REP> d-------- C:\Program Files\iPod
 2008-09-19 18:31 . 2008-09-19 18:31 <REP> d-------- C:\Program Files\Bonjour
 2008-09-19 18:22 . 2008-09-19 18:32 <REP> d-------- C:\Users\All Users\Apple Computer
 2008-09-19 18:22 . 2008-09-19 18:32 <REP> d-------- C:\ProgramData\Apple Computer
 2008-09-19 18:22 . 2008-09-19 18:23 <REP> d-------- C:\Program Files\QuickTime
 2008-09-19 18:22 . 2008-09-19 18:29 <REP> d-------- C:\Program Files\Common Files\Apple
 2008-09-18 19:05 . 2008-09-18 19:05 <REP> d-------- C:\Program Files\Sims 2 Categorizer
 2008-09-15 21:20 . 2008-09-15 21:21 6,534 --a------ C:\WirelessDiagLog.csv
 2008-09-14 23:21 . 2008-09-14 23:21 <REP> d-------- C:\Users\Laurene\AppData\Roami​ng\Intel
 2008-09-12 11:03 . 2008-09-12 11:02 695,212 --a------ C:\Windows\unins000.exe
 2008-09-12 11:03 . 2008-09-12 11:03 20,866 --a------ C:\Windows\unins000.dat
 2008-09-11 21:09 . 2008-08-27 17:55 6,281,760 --a------ C:\Windows\RtHDVCpl.exe
 2008-09-11 21:09 . 2008-08-27 17:55 2,303,008 --a------ C:\Windows\System32\RtkAPO.dll
 2008-09-11 21:09 . 2008-08-27 17:15 2,163,032 --a------ C:\Windows\System32\drivers\RT​KVHDA.sys
 2008-09-11 21:09 . 2008-08-27 17:55 1,206,816 --a------ C:\Windows\RtlUpd.exe
 2008-09-11 21:09 . 2008-08-27 17:55 806,432 --a------ C:\Windows\System32\RtkPgExt.d​ll
 2008-09-11 21:09 . 2008-08-27 17:55 547,360 --a------ C:\Windows\System32\RTSndMgr.c​pl
 2008-09-11 21:09 . 2006-12-13 10:30 339,968 --a------ C:\Windows\System32\SRSTSXT.dl​l
 2008-09-11 21:09 . 2008-08-27 17:55 285,216 --a------ C:\Windows\System32\RtkApoApi.​dll
 2008-09-11 21:09 . 2007-07-25 09:33 135,168 --a------ C:\Windows\System32\SRSWOW.dll
 2008-09-11 21:09 . 2008-08-27 17:55 41,504 --a------ C:\Windows\System32\RtkCoInst.​dll
 2008-09-11 20:57 . 2008-07-29 15:42 528,384 --a------ C:\Windows\RtlExUpd.dll
 2008-09-11 20:11 . 2008-10-06 12:32 76,951 --a------ C:\Users\All Users\nvModes.dat
 2008-09-11 20:11 . 2008-10-06 12:32 76,951 --a------ C:\ProgramData\nvModes.dat
 2008-09-11 19:52 . 2008-09-11 19:52 <REP> d-------- C:\Program Files\NVidia Geforce Drivers
 2008-09-11 18:49 . 2008-09-11 18:49 <REP> d-------- C:\Users\Laurene\AppData\Roami​ng\SystemRequirementsLab
 2008-09-11 18:49 . 2008-09-11 19:02 <REP> d-------- C:\Program Files\SystemRequirementsLab
 2008-09-10 11:28 . 2008-07-31 03:13 4,240,384 --a------ C:\Windows\System32\GameUXLega​cyGDFs.dll
 2008-09-10 11:28 . 2008-08-02 03:01 625,152 --a------ C:\Windows\System32\drivers\dx​gkrnl.sys
 2008-09-10 11:28 . 2008-06-26 05:29 565,248 --a------ C:\Windows\System32\emdmgmt.dl​l
 2008-09-10 11:28 . 2008-06-26 05:29 303,616 --a------ C:\Windows\System32\wmpeffects​.dll
 2008-09-10 11:28 . 2008-05-08 21:21 211,968 --a------ C:\Windows\System32\drivers\mr​xsmb10.sys
 2008-09-10 11:28 . 2008-05-20 04:07 148,480 --a------ C:\Windows\System32\drivers\nw​ifi.sys
 2008-09-10 11:28 . 2008-06-26 05:29 45,056 --a------ C:\Windows\System32\dataclen.d​ll
 2008-09-10 11:28 . 2008-08-02 05:26 36,864 --a------ C:\Windows\System32\cdd.dll
 2008-09-10 11:28 . 2008-07-31 05:32 28,160 --a------ C:\Windows\System32\Apphlpdm.d​ll
 2008-09-09 10:50 . 2008-09-09 10:51 <REP> d-------- C:\Program Files\Sims 2 CEP
 2008-09-08 14:22 . 2008-09-09 10:56 <REP> d-------- C:\Program Files\Sims2Pack Clean Installer
 2008-09-08 14:08 . 2008-09-08 14:09 <REP> d-------- C:\Program Files\No-Folder-Created
 2008-09-08 14:07 . 2008-09-08 14:07 <REP> d-------- C:\Program Files\Sims 2 NPC Replacer
 2008-09-08 14:07 . 2008-09-18 19:04 249,856 --------- C:\Windows\Setup1.exe
 2008-09-08 14:07 . 2008-09-18 19:04 73,216 --a------ C:\Windows\ST6UNST.EXE
 2008-09-08 14:03 . 2008-09-08 14:03 <REP> d-------- C:\Program Files\The Sims Compressorizer
 2008-09-06 16:33 . 2008-09-06 17:02 <REP> d-------- C:\Program Files\MagicISO
 2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\Windows\System32\QuickTimeV​R.qtx
 2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\Windows\System32\QuickTime.​qts

 .
 ((((((((((((((((((((((((((((((​((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 2008-10-03 22:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
 2008-10-03 22:10 --------- d-----w C:\Program Files\Hp
 2008-10-03 22:10 --------- d-----w C:\Program Files\Hewlett-Packard
 2008-10-03 22:06 --------- d-----w C:\Users\Laurene\AppData\Roami​ng\Hewlett-Packard
 2008-10-03 07:39 --------- d-----w C:\ProgramData\NVIDIA
 2008-09-12 09:24 --------- d-----w C:\Program Files\EA GAMES
 2008-09-11 19:09 319,456 ----a-w C:\Windows\DIFxAPI.dll
 2008-09-11 19:09 --------- d-----w C:\Program Files\Realtek
 2008-09-10 19:09 54,503 ----a-w C:\Users\Laurene\AppData\Roami​ng\nvModes.dat
 2008-09-10 09:51 --------- d-----w C:\ProgramData\Microsoft Help
 2008-08-31 21:47 --------- d-----w C:\Users\Laurene\AppData\Roami​ng\InstallShield
 2008-08-31 21:44 --------- d-----w C:\ProgramData\Roaming
 2008-08-31 21:43 --------- d-----w C:\Program Files\Common Files\Intel
 2008-08-31 21:43 --------- d-----w C:\Program Files\Cisco
 2008-08-31 21:42 --------- d-----w C:\ProgramData\Intel
 2008-08-31 21:42 --------- d-----w C:\Program Files\Intel
 2008-08-31 19:36 319,488 ----a-w C:\Windows\HideWin.exe
 2008-08-31 18:34 --------- d-----w C:\ProgramData\ma-config.com
 2008-08-31 18:34 --------- d-----w C:\Program Files\ma-config.com
 2008-08-31 14:33 0 ---ha-w C:\Windows\system32\drivers\Ms​ft_User_WpdFs_01_00_00.Wdf
 2008-08-31 11:03 --------- d-----w C:\Users\Laurene\AppData\Roami​ng\SPORE Creature Creator
 2008-08-30 23:02 --------- d-----w C:\Program Files\Electronic Arts
 2008-08-30 09:51 --------- d-----w C:\Program Files\SimPE
 2008-08-29 08:18 87,336 ----a-w C:\Windows\System32\dns-sd.exe
 2008-08-29 07:53 61,440 ----a-w C:\Windows\System32\dnssd.dll
 2008-08-25 14:24 --------- d-----w C:\Program Files\Common Files\Adobe
 2008-08-24 12:38 174 --sha-w C:\Program Files\desktop.ini
 2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Sidebar
 2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Photo Gallery
 2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Mail
 2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Journal
 2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Defender
 2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Collaboration
 2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Calendar
 2008-08-24 12:16 82,432 ----a-w C:\Windows\System32\axaltocm.d​ll
 2008-08-24 12:16 101,888 ----a-w C:\Windows\System32\ifxcardm.d​ll
 2008-08-24 12:04 --------- d-----w C:\Program Files\Microsoft Works
 2008-08-24 12:03 --------- d-----w C:\Program Files\Microsoft.NET
 2008-08-24 11:25 307,968 ----a-w C:\Windows\System32\TuneUpDefr​agService.exe
 2008-08-24 11:25 --------- d-----w C:\Users\Laurene\AppData\Roami​ng\TuneUp Software
 2008-08-24 11:25 --------- d-----w C:\ProgramData\TuneUp Software
 2008-08-24 11:25 --------- d-----w C:\Program Files\TuneUp Utilities 2008
 2008-08-24 11:24 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
 2008-08-23 17:22 --------- d-----w C:\Program Files\K-Lite Codec Pack
 2008-08-22 13:44 269,312 ----a-w C:\Windows\System32\es.dll
 2008-08-21 16:08 --------- d-----w C:\Program Files\Real Player
 2008-08-21 16:07 --------- d-----w C:\Program Files\Common Files\xing shared
 2008-08-21 16:07 --------- d-----w C:\Program Files\Common Files\Real
 2008-08-21 16:04 61,440 ----a-w C:\Windows\System32\winipsec.d​ll
 2008-08-21 16:04 361,984 ----a-w C:\Windows\System32\IPSECSVC.D​LL
 2008-08-21 16:04 28,672 ----a-w C:\Windows\System32\FwRemoteSv​r.dll
 2008-08-21 16:04 272,896 ----a-w C:\Windows\System32\polstore.d​ll
 2008-08-21 16:01 2,048 ----a-w C:\Windows\System32\tzres.dll
 2008-08-21 15:58 --------- d-----w C:\ProgramData\Apple
 2008-08-21 15:53 801,280 ----a-w C:\Windows\System32\NaturalLan​guage6.dll
 2008-08-21 15:53 6,917,120 ----a-w C:\Windows\System32\NlsLexicon​s0c1a.dll
 2008-08-21 15:53 4,495,360 ----a-w C:\Windows\System32\NlsData081​6.dll
 2008-08-21 15:53 4,495,360 ----a-w C:\Windows\System32\NlsData041​6.dll
 2008-08-21 15:53 4,495,360 ----a-w C:\Windows\System32\NlsData041​4.dll
 2008-08-21 15:53 2,643,456 ----a-w C:\Windows\System32\NlsData000​c.dll
 2008-08-21 15:53 2,342,912 ----a-w C:\Windows\System32\NlsData000​d.dll
 2008-08-21 15:53 1,965,056 ----a-w C:\Windows\System32\NlsData0c1​a.dll
 2008-08-21 15:53 1,965,056 ----a-w C:\Windows\System32\NlsData081​a.dll
 2008-08-21 15:53 1,965,056 ----a-w C:\Windows\System32\NlsData000​f.dll
 2008-08-21 15:52 827,392 ----a-w C:\Windows\System32\wininet.dl​l
 2008-08-21 15:50 988,216 ----a-w C:\Windows\System32\winload.ex​e
 2008-08-21 15:50 927,288 ----a-w C:\Windows\System32\winresume.​exe
 2008-08-21 15:50 615,992 ----a-w C:\Windows\System32\ci.dll
 2008-08-21 15:50 6,656 ----a-w C:\Windows\System32\kbd106n.dl​l
 2008-08-21 15:50 46,592 ----a-w C:\Windows\System32\setbcdloca​le.dll
 2008-08-21 15:50 40,960 ----a-w C:\Windows\System32\srclient.d​ll
 2008-08-21 15:50 378,368 ----a-w C:\Windows\System32\srcore.dll
 2008-08-21 15:50 318,464 ----a-w C:\Windows\System32\rstrui.exe
 2008-08-21 15:50 19,000 ----a-w C:\Windows\System32\kd1394.dll
 2008-08-21 15:50 14,848 ----a-w C:\Windows\System32\srdelayed.​exe
 2008-08-21 15:49 2,032,128 ----a-w C:\Windows\System32\win32k.sys
 2008-08-21 15:49 --------- d-----w C:\Program Files\Java
 2008-08-21 15:48 541,696 ----a-w C:\Windows\AppPatch\AcLayers.d​ll
 2008-08-21 15:48 295,936 ----a-w C:\Windows\System32\gdi32.dll
 2008-08-21 15:48 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
 2008-08-21 15:48 14,848 ----a-w C:\Windows\System32\wshrm.dll
 2008-08-21 15:48 113,664 ----a-w C:\Windows\system32\drivers\rm​cast.sys
 2008-08-21 15:47 1,695,744 ----a-w C:\Windows\System32\gameux.dll
 2008-08-21 15:46 84,480 ----a-w C:\Windows\System32\INETRES.dl​l
 2008-08-21 15:46 738,304 ----a-w C:\Windows\System32\inetcomm.d​ll
 2008-08-21 15:45 428,544 ----a-w C:\Windows\System32\EncDec.dll
 2008-08-21 15:45 293,376 ----a-w C:\Windows\System32\psisdecd.d​ll
 2008-08-21 15:45 1,314,816 ----a-w C:\Windows\System32\quartz.dll
 2008-08-21 15:44 --------- d-----w C:\Program Files\MSXML 4.0
 2008-08-21 15:28 97,928 ----a-w C:\Windows\system32\drivers\av​gldx86.sys
 2008-08-21 15:28 69,128 ----a-w C:\Windows\system32\drivers\av​gwfpx.sys
 2008-08-21 15:28 12,936 ----a-w C:\Windows\system32\drivers\av​grkx86.sys
 2008-08-21 15:28 10,520 ----a-w C:\Windows\System32\avgrsstx.d​ll
 2008-08-21 15:28 --------- d-----w C:\ProgramData\avg8
 2008-08-21 15:28 --------- d-----w C:\Program Files\AVG
 2008-08-21 15:05 --------- d-----w C:\Program Files\Windows Live
 2008-08-21 15:00 --------- d-----w C:\ProgramData\WLInstaller
 2008-08-21 14:56 83,456 ----a-w C:\Windows\System32\wudriver.d​ll
 2008-08-21 14:56 563,912 ----a-w C:\Windows\System32\wuapi.dll
 2008-08-21 14:56 53,448 ----a-w C:\Windows\System32\wuauclt.ex​e
 .

 ((((((((((((((((((((((((((((((​(((   Point de chargement Reg   ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .
 .
 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
 REGEDIT4

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
 "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
 "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "SynTPStart"="C:\Program Files\Synaptics\SynTP\SynTPSta​rt.exe" [2007-09-15 102400]
 "SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hl​pr.exe" [2007-01-17 634880]
 "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
 "QPService"="C:\Program Files\HP\QuickPlay\QPService.e​xe" [2007-09-30 181544]
 "QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
 "OnScreenDisplay"="C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
 "UCam_Menu"="C:\Program Files\CyberLink\YouCam\MUITran​sfer\MUIStartMenu.exe" [2007-08-16 218408]
 "hpWirelessAssistant"="C:\Prog​ram Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
 "WAWifiMessage"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
 "AVG8_TRAY"="C:\PROGRA~1\AVG\A​VG8\avgtray.exe" [2008-08-21 1235736]
 "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe" [2008-03-28 1045800]
 "HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
 "NvCplDaemon"="C:\Windows\syst​em32\NvCpl.dll" [2008-02-27 13515296]
 "NvMediaCenter"="C:\Windows\sy​stem32\NvMcTray.dll" [2008-02-27 92704]
 "HP Health Check Scheduler"="c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
 "RtHDVCpl"="RtHDVCpl.exe" [2008-08-27 C:\Windows\RtHDVCpl.exe]

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows\currentversion​\policies\system]
 "EnableLUA"= 0 (0x0)
 "EnableUIADesktopToggle"= 0 (0x0)

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows nt\currentversion\windows]
 "AppInit_DLLs"=avgrsstx.dll

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows nt\currentversion\drivers32]
 "msacm.l3codecp"= l3codecp.acm
 "VIDC.YV12"= yv12vfw.dll

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​run-]
 "LightScribe Control Panel"=C:\Program Files\Common Files\LightScribe\LightScribeC​ontrolPanel.exe -hidden

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows\currentversion​\run-]
 "SunJavaUpdateSched"="C:\Progr​am Files\Java\jre1.6.0_07\bin\jus​ched.exe"
 "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
 "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
 "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center\Svc\S-1-5-21-575567480-1073619249-4270210281-1001]
 "EnableNotifications"=dword:00​000001
 "EnableNotificationsRef"=dword​:00000001

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\Domai​nProfile]
 "EnableFirewall"= 0 (0x0)

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\Firew​allRules]
 "{4757DF27-BB99-458F-80CB-DB03​64C8F28F}"= UDP:C:\Program Files\Common Files\AOL\Loader\aolload.exe:A​OL Loader
 "{419E922C-2259-4F5C-8434-B5F1​D2E96D3A}"= TCP:C:\Program Files\Common Files\AOL\Loader\aolload.exe:A​OL Loader
 "{ECCE1CEF-E35A-4D98-B328-225A​47D70E75}"= C:\Program Files\Cyberlink\PowerDirector\​PDR.EXE:CyberLink PowerDirector
 "{AE8B5FA8-04A4-406E-AB65-66B1​366E6B81}"= C:\Program Files\HP\QuickPlay\QP.exe:Quic​k Play
 "{BDDE6130-A573-453E-BFA5-DFF5​A71F2B41}"= C:\Program Files\HP\QuickPlay\QPService.e​xe:Quick Play Resident Program
 "{5682FD1A-F5F1-41A8-A341-D3E4​4829A9B7}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Wi​ndows Live Messenger (Phone)
 "{6A348062-FC9D-4D1A-BE67-BD8E​BC2FAF82}"= C:\Program Files\AVG\AVG8\avgemc.exe:avge​mc.exe
 "{7A3605B6-0528-4686-9515-1E74​93A35D36}"= C:\Program Files\AVG\AVG8\avgupd.exe:avgu​pd.exe
 "{09ADA532-671C-406C-8C7A-6965​076E68CF}"= C:\Program Files\AVG\AVG8\avgnsx.exe:avgn​sx.exe
 "{8626C980-D4B0-45B2-B480-86A9​26B63BBE}"= UDP:48113:LocalSubnet:LocalSub​net:maconfig_tcp
 "{CDDC3A47-0F46-411D-B470-61F6​6B1328AF}"= TCP:48113:LocalSubnet:LocalSub​net:maconfig_udp
 "{1C71B780-3A6C-4705-ABA2-7A3A​7A54CFEE}"= UDP:C:\Program Files\ma-config.com\maconfserv​ice.exe:maconfservice
 "{471DD3A9-F841-45DD-809E-6EE0​971A3AB8}"= TCP:C:\Program Files\ma-config.com\maconfserv​ice.exe:maconfservice
 "{2EACC3E0-A04E-40B0-B89E-F748​9C1AA001}"= UDP:C:\Program Files\Bonjour\mDNSResponder.ex​e:Bonjour
 "{EA3AB409-0351-438C-9ECF-316A​69830168}"= TCP:C:\Program Files\Bonjour\mDNSResponder.ex​e:Bonjour
 "{B30820A1-C379-4546-A8E0-A750​4E7095E4}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
 "{A915C9C8-60E1-4C13-8C15-87BA​BF5FA529}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\Publi​cProfile]
 "EnableFirewall"= 0 (0x0)

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\Stand​ardProfile]
 "EnableFirewall"= 0 (0x0)

 R0 AvgRkx86;avgrkx86.sys;C:\Windo​ws\system32\Drivers\avgrkx86.s​ys [2008-08-21 12936]
 R1 AvgLdx86;AVG AVI Loader Driver x86;C:\Windows\system32\Driver​s\avgldx86.sys [2008-08-21 97928]
 R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\a​vgemc.exe [2008-08-21 875288]
 R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\​avgwdsvc.exe [2008-08-21 231704]
 R2 avgfws8;AVG8 Firewall;C:\PROGRA~1\AVG\AVG8\​avgfws8.exe [2008-08-21 1220888]
 R2 QPCapSvc;QuickPlay Background Capture Service (QBCS);C:\Program Files\HP\QuickPlay\Kernel\TV\Q​PCapSvc.exe [2007-09-30 271760]
 R2 QPSched;QuickPlay Task Scheduler (QTS);C:\Program Files\HP\QuickPlay\Kernel\TV\Q​PSched.exe [2007-09-30 112016]
 R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svch​ost.exe [2008-01-19 21504]
 R3 AvgWfpX;AVG8 Firewall Driver x86;C:\Windows\system32\Driver​s\avgwfpx.sys [2008-08-21 69128]
 R3 HpqRemHid;HP Remote Control HID Device;C:\Windows\system32\DRI​VERS\HpqRemHid.sys [2007-07-11 7168]
 R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;C:\Windows\system32\DRIVER​S\NETw5v32.sys [2008-06-26 3662848]
 S3 GameConsoleService;GameConsole​Service;C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe [2007-07-24 181800]
 S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfserv​ice.exe [2008-07-25 191656]
 S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\Tu​neUpDefragService.exe [2008-08-24 307968]
 S4 JMPXQUQYVX;JMPXQUQYVX;C:\Users​\Laurene\AppData\Local\Temp\JM​PXQUQYVX.exe [ ]
 S4 SERVWZCPVM;SERVWZCPVM;C:\Users​\Laurene\AppData\Local\Temp\SE​RVWZCPVM.exe [ ]

 HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
 UxTuneUp

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​explorer\mountpoints2\{f87aeb1​c-66d6-11dd-a369-001e68611d9b}​]
 \shell\AutoRun\command - G:\Autorun.exe

 *Newly Created Service* - CATCHME

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
 "C:\Program Files\Common Files\LightScribe\LSRunOnce.ex​e"
 .
 Contenu du dossier 'Tâches planifiées'

 2008-09-11 C:\Windows\Tasks\User_Feed_Syn​chronization-{A9A140EA-964E-4F​4B-A29A-BFC0FFB856A5}.job
 - C:\Windows\system32\msfeedssyn​c.exe [2008-01-19 09:33]
 .
 .
 ------- Examen supplémentaire -------
 .
 FireFox -: Profile - C:\Users\Laurene\AppData\Roami​ng\Mozilla\Firefox\Profiles\mg​8tilnh.Laurene\
 FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ig?hl=fr&​source=iglk
 FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
 FF -: plugin - C:\Program Files\ma-config.com\nphardware​detection.dll
 FF -: plugin - C:\Program Files\Real Player\Netscape6\nppl3260.dll
 FF -: plugin - C:\Program Files\Real Player\Netscape6\nprjplug.dll
 FF -: plugin - C:\Program Files\Real Player\Netscape6\nprpjplug.dll
 FF -: plugin - C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
 FF -: plugin - C:\Users\Laurene\AppData\Roami​ng\Mozilla\Firefox\Profiles\mg​8tilnh.Laurene\extensions\{bb6​28310-0ab7-11db-9cd8-0800200c9​a66}\plugins\nphardwaredetecti​on.dll
 .

 ******************************​******************************​**************

 catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2008-10-06 12:55:58
 Windows 6.0.6001 Service Pack 1 NTFS

 Recherche de processus cachés ...

 Recherche d'éléments en démarrage automatique cachés ...

 Recherche de fichiers cachés ...

 Scan terminé avec succès
 Fichiers cachés: 0

 ******************************​******************************​**************
 .
 Heure de fin: 2008-10-06 12:57:56
 ComboFix-quarantined-files.txt  2008-10-06 10:57:36

 Avant-CF: 19 161 034 752 octets libres
 Après-CF: 19,265,179,648 octets libres

 305 --- E O F --- 2008-10-03 07:44:20

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 06/10/2008 à 16:08:24  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,  :jap:

 Ca y'est ils sont visibles sur le log, par contre ComboFix ne les a pas viré.
 Je t'écris la manip' dès que j'ai un peu de temps.  :super:

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 06/10/2008 à 16:53:00  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Moi je ne les ai pas trouvés dans ce rapport?!
 (a2pw6w3c.SYS / axmmj77g.sys)


 Edit: je refais un scan et le fichier a encore changé de nom "aehb0zz8.SYS" ..... :fou:

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 06/10/2008 à 18:08:14  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Se peut-il que le rootkit change de nom aléatoirement à chaque redémarrage par exemple?

 Dans ce cas je devrais faire un scan AVG, puis tous les autres (hijackthis...) dans la foulée, non?

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 06/10/2008 à 20:35:52  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,  :whistle:
 Saloperie de raccourci pour fermer un onglet ! (Opera quand tu nous tiens!)   :fou:
 Mon message était presque écris en entier T_T

 Bon allez on recommence... :fume:  (1h de parti en poussière)

 



Va sur VirusTOTAL et inspecte ces fichiers :

 C:\Windows\System32\dataclen.d​ll
 C:\Windows\System32\cdd.dll
 C:\Windows\System32\Apphlpdm.d​ll
 C:\Windows\System32\IPSECSVC.D​LL

 Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomput [...] oveIt2.exe


 # Redémarre le PC en mode sans échec :
 Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l'avoir à ta disposition.
 Ferme toutes les fenêtres et applications.
 Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l&#8217;apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec.

 # Double-clique sur OTMoveIt.exe pour le lancer.
 Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
 Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

 C:\Users\Laurene\AppData\Roami​ng\GTek
 C:\Windows\System32\ZFYE
 C:\Program Files\Axon Data
 C:\Users\All Users\{3276BE95_AF08_429F_A64F​_CA64CB79BCF6}
 C:\ProgramData\{3276BE95_AF08_​429F_A64F_CA64CB79BCF6}
 C:\Windows\unins000.exe
 C:\Windows\unins000.dat
 C:\Windows\System32\SRSWOW.dll
 C:\Program Files\No-Folder-Created
 C:\Windows\Setup1.exe
 C:\Windows\ST6UNST.EXE
 C:\Windows\HideWin.exe
 C:\ProgramData\ma-config.com
 C:\Program Files\ma-config.com
 C:\Program Files\Common Files\xing shared
 C:\Windows\System32\NaturalLan​guage6.dll
 C:\Users\Laurene\AppData\Local​\Temp\JMPXQUQYVX.exe
 C:\Users\Laurene\AppData\Local​\Temp\SERVWZCPVM.exe

 Clique sur MoveIt! pour lancer la suppression.
 Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC.
 Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.




razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 06/10/2008 à 22:00:33  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Maconfig.com est un service de touslesdrivers.com je crois et il ne me semble pas poser trop de problémes...

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 06/10/2008 à 22:02:49  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Je l'ai mis car je le retrouvai souvent dans des logs.
 Enfin, laisse-le si il ne te pose pas de soucis, on verra bien.  :super:

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 07/10/2008 à 08:00:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Alors tout d'abord :

 

Master G a écrit :

 
 Va sur VirusTOTAL et inspecte ces fichiers :
 C:\Windows\System32\GEARAspi.d​ll
 


aucun pb :
 Information additionnelle
 File size: 107368 bytes
 MD5...: 005ee82babf1d2d32188a75bedf500​a4
 SHA1..: 97d30f06a806a2208bcb89958b6017​e24122e816
 SHA256: 47a1ccbce460fc833afe4992f55452​227dc70d46434d2c95582c78abb653​9a50
 SHA512: a0b5bc37e1abd99453e3f354446a3c​109cae30667130f2bdaa996400d178​af17
 975953bee843808bc704297dffa896​170c2a974b6f84c1961db57e94d212​a840
 PEiD..: -
 TrID..: File type identification
 Win32 Executable MS Visual C++ (generic) (65.2%)
 Win32 Executable Generic (14.7%)
 Win32 Dynamic Link Library (generic) (13.1%)
 Generic Win/DOS Executable (3.4%)
 DOS Executable Generic (3.4%)
 PEInfo: PE Structure information

 ( base data )
 entrypointaddress.: 0x10008bfb
 timedatestamp.....: 0x479f07c4 (Tue Jan 29 11:02:28 2008)
 machinetype.......: 0x14c (I386)

 ( 5 sections )
 name viradd virsiz rawdsiz ntrpy md5
 .text 0x1000 0x12403 0x12600 6.46 77e504aa8940a5a26f5500e2d6387f​68
 .rdata 0x14000 0x32af 0x3400 5.27 a827d3d0b2c987e220961bde985684​6d
 .data 0x18000 0x2e20 0x1000 2.62 76824f0f64ec7b0b8a598ffc4c8d2d​bd
 .rsrc 0x1b000 0x5c0 0x600 4.26 f46024b1b145174ce012311a727829​54
 .reloc 0x1c000 0x195c 0x1a00 4.37 c0a68991bd3624eb79ad3ec2ccb832​17

 ( 2 imports )
 > KERNEL32.dll: CreateFileA, SetEvent, GetLastError, FreeLibrary, GlobalAlloc, CreateFileW, QueryDosDeviceA, GetDriveTypeA, GlobalLock, CreateMutexA, WaitForSingleObject, ReleaseMutex, DeviceIoControl, GlobalUnlock, GlobalFree, CloseHandle, LoadLibraryA, GetVersionExA, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, RtlUnwind, WideCharToMultiByte, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetModuleHandleW, GetProcAddress, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, HeapCreate, HeapDestroy, VirtualFree, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, Sleep, HeapSize, ExitProcess, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, WriteFile, GetStdHandle, GetModuleFileNameA, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSectionAndSp​inCount, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, GetConsoleCP, GetConsoleMode, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, FlushFileBuffers
 > ADVAPI32.dll: OpenServiceA, StartServiceA, CloseServiceHandle, RegOpenKeyExW, RegCreateKeyExA, RegQueryValueExA, RegCloseKey, RegQueryValueExW, OpenSCManagerA

 ( 8 exports )
 GASPIBlockDevice, GASPIGetDriveLetter, GASPIGetMaxTransferSize, GASPINotifyMediaChange, GASPISetTimeout, GetASPI32SupportInfo, InstallDevices, SendASPI32Command



 
 C:\Windows\System32\drivers\GE​ARAspiWDM.sys
 


No pb :
 Information additionnelle
 File size: 15464 bytes
 MD5...: ab8a6a87d9d7255c3884d5b9541a6e​80
 SHA1..: dcd8ca6f82db7938e30c0d4dd9a2a9​f1253ed5d7
 SHA256: d073b5d8a06efa6415e8f22dfe486d​e913113ae23f59cfc5eef1b3e694ce​86f3
 SHA512: d93a70e88c1dddbe8538edcfb2682a​40a4e5f8c841f7bcf6a0d1963d63dd​8fd9
 9a0fef658cce14ca242405111b011f​6a4b4c58b57e6b506fc664ecacbebe​4943
 PEiD..: -
 TrID..: File type identification
 Clipper DOS Executable (33.3%)
 Generic Win/DOS Executable (33.0%)
 DOS Executable Generic (33.0%)
 VXD Driver (0.5%)
 Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
 PEInfo: PE Structure information

 ( base data )
 entrypointaddress.: 0x11e09
 timedatestamp.....: 0x47fbc45a (Tue Apr 08 19:15:38 2008)
 machinetype.......: 0x14c (I386)

 ( 7 sections )
 name viradd virsiz rawdsiz ntrpy md5
 .text 0x480 0x1014 0x1080 6.25 084d1ba76d916157fa224cffd68c88​03
 .rdata 0x1500 0x123 0x180 4.05 c01b510f09605daec5354013fa9ef8​0e
 .data 0x1680 0x19c 0x200 0.24 cea5497367bdba8ba5441970535272​b4
 PAGE 0x1880 0x48a 0x500 5.64 7d405f278a8031fc4f69c113a9e2c9​0f
 INIT 0x1d80 0x44a 0x480 5.50 bf3d6de31388526773e2ca3a70fc71​bd
 .rsrc 0x2200 0x380 0x380 3.36 56242084ab6df59edaef1cd0a63b26​93
 .reloc 0x2580 0x15c 0x180 4.99 4034516e24d27fb2edd4d9795c7bf2​70

 ( 1 imports )
 > ntoskrnl.exe: KeInitializeEvent, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IoAttachDeviceToDeviceStack, RtlCompareUnicodeString, IoGetDeviceProperty, KeSetEvent, InterlockedIncrement, InterlockedDecrement, IofCompleteRequest, IoGetCurrentProcess, IofCallDriver, KeWaitForSingleObject, IoReportTargetDeviceChange, IoBuildDeviceIoControlRequest, ExFreePool, ExAllocatePoolWithTag, memcpy, RtlQueryRegistryValues, memset, IoDeleteDevice, IoAttachDevice, ZwClose, _wcsnicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoFreeIrp, IoAllocateIrp, IoDetachDevice, PoStartNextPowerIrp, PoCallDriver, KeTickCount, KeBugCheckEx

 ( 0 exports )
 



 
 C:\Windows\System32\dataclen.d​ll
 


No pb :
 Information additionnelle
 File size: 45056 bytes
 MD5...: e4c2a84bc3ed47da2958614dd3e1d1​81
 SHA1..: e06b0fdfcaf28a60bd319ca40cdc9d​752acea737
 SHA256: fa27f1649935cc001aa9cde1d99b6b​0048aa0155d8290967ce1aedadf26b​a4aa
 SHA512: 72d0d8b87dd148730a1a58493bb133​c9de9cdefd0acc8108c98a9d9562ca​d33a
 2b2e15f517c1c6051ffc88eb1ba871​700575e587fab7a4e91df2013a6f71​17ce
 PEiD..: -
 TrID..: File type identification
 DirectShow filter (90.9%)
 Win32 Executable Generic (3.8%)
 Win32 Dynamic Link Library (generic) (3.4%)
 Generic Win/DOS Executable (0.9%)
 DOS Executable Generic (0.9%)
 PEInfo: PE Structure information

 ( base data )
 entrypointaddress.: 0x23a834b8
 timedatestamp.....: 0x48630b5c (Thu Jun 26 03:22:04 2008)
 machinetype.......: 0x14c (I386)

 ( 4 sections )
 name viradd virsiz rawdsiz ntrpy md5
 .text 0x1000 0x322b 0x3400 6.25 d7bdbc758cdafcef0ae84e813dcb50​79
 .data 0x5000 0x364 0x200 0.28 38a465ab13e516ac4d90e19854e125​b5
 .rsrc 0x6000 0x71f8 0x7200 5.70 5d124ef2a73af61d932aa9f86a7d5d​3f
 .reloc 0xe000 0x3b0 0x400 4.86 04b75ef88d4218b133bf4a0d6be738​83

 ( 9 imports )
 > msvcrt.dll: _initterm, _amsg_exit, _adjust_fdiv, malloc, _except_handler4_common, _XcptFilter, free, memcpy, memset
 > POWRPROF.dll: CallNtPowerInformation, IsPwrHibernateAllowed
 > KERNEL32.dll: FindResourceExW, LoadResource, GetCurrentProcessId, GetLastError, HeapAlloc, GetProcessHeap, HeapFree, InterlockedIncrement, InterlockedDecrement, CompareFileTime, DeleteFileW, RemoveDirectoryW, SetFileAttributesW, CompareStringW, GetSystemDirectoryW, GlobalMemoryStatusEx, CloseHandle, CreateProcessW, SystemTimeToFileTime, GetSystemTime, lstrlenW, lstrcmpW, FindClose, FindNextFileW, FindFirstFileW, GetFileAttributesW, InterlockedExchange, Sleep, InterlockedCompareExchange, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, SetUnhandledExceptionFilter, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, LockResource
 > USER32.dll: LoadStringW
 > ADVAPI32.dll: RegQueryValueExW, CloseServiceHandle, OpenServiceW, OpenSCManagerW, RegCloseKey, QueryServiceStatus, RegOpenKeyExW, RegEnumKeyExW
 > ole32.dll: CoInitializeEx, CoCreateInstance, CoUninitialize, CoTaskMemFree, CoTaskMemAlloc
 > OLEAUT32.dll: -
 > SHELL32.dll: SHGetFolderPathW
 > SHLWAPI.dll: StrCmpNIW, -, -, PathAppendW, StrCmpW, -, PathCombineW, SHGetValueW

 ( 2 exports )
 DllCanUnloadNow, DllGetClassObject

 



 
 C:\Windows\System32\cdd.dll
 



 no pb :
 Information additionnelle
 File size: 36864 bytes
 MD5...: 99d8d5af1826a4cb454b8652235404​49
 SHA1..: ab77d9bae47ed907722ff5abe3918d​4093ab90e2
 SHA256: bb79dbd0b387c0ad54c21dc55db72a​0be4074a1f86387ae468416ce0b5b1​025c
 SHA512: 573011daf823b3e4aec41650eb2f31​8d57fb954418f1c2315cd2c175e3a7​a205
 223aea1fead2d77d1d4bc7767b1509​b904ac717c129e7bebb892314db747​e272
 PEiD..: -
 TrID..: File type identification
 Win32 Executable Generic (68.0%)
 Generic Win/DOS Executable (15.9%)
 DOS Executable Generic (15.9%)
 Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
 PEInfo: PE Structure information

 ( base data )
 entrypointaddress.: 0x6f407b7a
 timedatestamp.....: 0x4893d3d9 (Sat Aug 02 03:26:17 2008)
 machinetype.......: 0x14c (I386)

 ( 6 sections )
 name viradd virsiz rawdsiz ntrpy md5
 .text 0x1000 0x71f8 0x7200 6.32 e2e5c014e024635d7896ca53d4fb6f​67
 .rdata 0x9000 0x1b0 0x200 3.33 4279efd7740abacb312019a496ba77​41
 .data 0xa000 0x30c 0x400 4.19 2e7574b080de4942c21be913429d74​88
 INIT 0xb000 0x710 0x800 4.88 abd88b0dbf0cf09b31f44d388e2d16​af
 .rsrc 0xc000 0x3f0 0x400 3.34 0b1d684c35869e2e09c83f27206a1e​06
 .reloc 0xd000 0x624 0x800 5.30 fd58b6441f6ebbf88598d7daf77156​b0

 ( 4 imports )
 > WIN32K.SYS: EngDeleteRgn, CLIPOBJ_bEnum, CLIPOBJ_cEnumStart, EngGetRgnData, EngCombineRgn, EngSetRectRgn, EngRectInRgn, EngGetRgnBox, EngCreateRectRgn, EngQueryW32kCddInterface, EngDeleteSurface, EngUnlockSurface, EngAssociateSurface, EngCreateDeviceSurface, EngLockSurface, EngCreateBitmap, EngDeletePalette, EngCreatePalette, EngAllocMem, EngCopyBits, EngEqualRgn, EngStrokePath, PATHOBJ_vGetBounds, EngTransparentBlt, EngAlphaBlend, EngGradientFill, EngStretchBlt, EngOffsetRgn, EngBitBlt, EngTextOut, EngLineTo, EngFillPath, EngStrokeAndFillPath, EngStretchBltROP, EngPlgBlt, EngBugCheckEx, PALOBJ_cGetColors, EngFreeMem
 > ntoskrnl.exe: ExFreePoolWithTag, MmFreePagesFromMdl, MmMapLockedPagesSpecifyCache, MmAllocatePagesForMdl, KeInitializeEvent, KeGetCurrentThread, ExReleaseFastMutexUnsafeAndLea​veCriticalRegion, ExEnterCriticalRegionAndAcquir​eFastMutexUnsafe, KeWaitForSingleObject, KeSetEvent, IofCallDriver, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePoolWithTag, PsGetProcessImageFileName, PsGetCurrentProcess, MmUnmapLockedPages, KeSetActualBasePriorityThread, ZwClose, PsCreateSystemThread, ObOpenObjectByPointer, KeClearEvent, ObfDereferenceObject, ZwQuerySystemInformation
 > HAL.dll: KeGetCurrentIrql
 > watchdog.sys: WdLogEvent5, SMgrGdiCallout, WdLogServiceEntry5

 ( 0 exports )
 



 
 C:\Windows\System32\Apphlpdm.d​ll
 


no pb :
 Information additionnelle
 File size: 28160 bytes
 MD5...: 860c0fec03daa99bed61791aa6da23​2e
 SHA1..: a40e905b8ccafe60f534fba961700e​6f9e8ec905
 SHA256: cdacace79842f2081de3d8f1b20b5e​612a37d803e8ed8faee8d3af5fabda​8671
 SHA512: 3fa761f6e005b8bd8c4a6c0b63bd91​8fe8987dd0e07dc5fb21ecc2b35ea1​9c16
 9962c20992422b2f04a5fea94dd275​7aa5657db00ece792f873f72e29fb8​82c2
 PEiD..: -
 TrID..: File type identification
 Win64 Executable Generic (59.6%)
 Win32 Executable MS Visual C++ (generic) (26.2%)
 Win32 Executable Generic (5.9%)
 Win32 Dynamic Link Library (generic) (5.2%)
 Generic Win/DOS Executable (1.3%)
 PEInfo: PE Structure information

 ( base data )
 entrypointaddress.: 0x26403573
 timedatestamp.....: 0x48913071 (Thu Jul 31 03:24:33 2008)
 machinetype.......: 0x14c (I386)

 ( 4 sections )
 name viradd virsiz rawdsiz ntrpy md5
 .text 0x1000 0x33b4 0x3400 6.40 40afd3b24ef6f0f286a41fe0bb8a2b​47
 .data 0x5000 0x380 0x200 0.28 8f276bc8493006369d128a007b6354​1f
 .rsrc 0x6000 0x2e58 0x3000 5.10 fc62262d7ae143d3016fd2018702ee​41
 .reloc 0x9000 0x36a 0x400 4.82 10f426a62b824f30e92bbca8920bb1​11

 ( 11 imports )
 > msvcrt.dll: _except_handler4_common, _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _XcptFilter, memset, memcpy, _wcsnicmp, _vsnwprintf
 > ntdll.dll: RtlFreeUnicodeString, RtlStringFromGUID
 > KERNEL32.dll: GetSystemTimeAsFileTime, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, InterlockedCompareExchange, Sleep, InterlockedExchange, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSectionAndSp​inCount, HeapAlloc, GetProcessHeap, HeapFree, CloseHandle, CreateDirectoryW, GetTempPathW, WaitForSingleObject, CreateProcessW
 > wdi.dll: WdiSetResolution, WdiGetParameterByName, WdiGetParameterData, WdiGetDiagnosticModuleId, WdiAddParameter, WdiSetProblemDetectionResult, WdiGetEvent
 > ADVAPI32.dll: GetTokenInformation
 > SHELL32.dll: ShellExecuteW, Shell_NotifyIconW
 > USER32.dll: SetWindowTextW, SetDlgItemTextW, SetForegroundWindow, mouse_event, SendDlgItemMessageW, LoadIconW, DestroyWindow, SetWindowLongW, EndDialog, GetWindowLongW, SendMessageW, DefWindowProcW, PostMessageW, CreateWindowExW, RegisterWindowMessageW, PostQuitMessage, GetMessageW, DispatchMessageW, DestroyIcon, RegisterClassW, UnregisterClassW, GetDlgItem, DialogBoxParamW, EnableWindow, LoadStringW
 > GDI32.dll: CreateFontIndirectW, GetObjectW
 > WTSAPI32.dll: WTSQueryUserToken
 > wer.dll: WerReportSetUIOption, WerReportSetParameter, WerReportCreate, WerReportCloseHandle, WerReportAddFile, WerReportSubmit
 > apphelp.dll: SdbGrabMatchingInfo

 ( 3 exports )
 WdiDiagnosticModuleMain, WdiGetDiagnosticModuleInterfac​eVersion, WdiHandleInstance

 



 
 C:\Windows\System32\IPSECSVC.D​LL
 


no pb :
 Information additionnelle
 File size: 361984 bytes
 MD5...: 47b8f37aa18b74d8c2e1bc1a7a2c8f​8a
 SHA1..: 2b00ddf8b6bced76854ee1fb53ca67​16b2aff896
 SHA256: fae64867ce80439735f88a99882436​67bde84486b5a768b650e55e1519c8​5c03
 SHA512: a1f5e43246d37ea36e5a64cd754c27​78d2e853311b06ac22d2b1b5a46e51​ca44
 5eb50f7fea293970cf6f3fb45d6d5e​3690f669accc63723e1f3376da3360​d9d5
 PEiD..: -
 TrID..: File type identification
 Win32 Executable Generic (42.3%)
 Win32 Dynamic Link Library (generic) (37.6%)
 Generic Win/DOS Executable (9.9%)
 DOS Executable Generic (9.9%)
 Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
 PEInfo: PE Structure information

 ( base data )
 entrypointaddress.: 0x6ef41409
 timedatestamp.....: 0x4859d252 (Thu Jun 19 03:28:18 2008)
 machinetype.......: 0x14c (I386)

 ( 4 sections )
 name viradd virsiz rawdsiz ntrpy md5
 .text 0x1000 0x5141d 0x51600 6.53 5da3d3fc1a264f1ed886ad054169be​92
 .data 0x53000 0xa60 0xa00 2.17 b4fd3917158a770ce1086d5ad2b540​3c
 .rsrc 0x54000 0x1240 0x1400 3.15 5754ecb46f297bcd5a171235dfae66​55
 .reloc 0x56000 0x4c78 0x4e00 6.78 2f633607d66729a997952efe3247b0​ed

 ( 15 imports )
 > msvcrt.dll: wcsstr, wcschr, _wtol, _snwscanf_s, _mkgmtime, memset, _wcsicmp, memcpy, _XcptFilter, malloc, free, _except_handler4_common, _onexit, _lock, __dllonexit, _unlock, _adjust_fdiv, _amsg_exit, _initterm, _vsnwprintf
 > KERNEL32.dll: SetHandleInformation, CreateEventW, InitializeCriticalSectionAndSp​inCount, GetModuleHandleW, GetCurrentProcess, GetLastError, CloseHandle, FormatMessageW, LeaveCriticalSection, EnterCriticalSection, ResetEvent, SetEvent, LoadLibraryA, GetTickCount, WaitForMultipleObjects, DeleteCriticalSection, GetProcAddress, FreeLibrary, InterlockedCompareExchange, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, DelayLoadFailureHook, InterlockedIncrement, HeapAlloc, GetProcessHeap, HeapFree, InterlockedDecrement, Sleep, InterlockedExchange, WideCharToMultiByte, LocalFree
 > ADVAPI32.dll: EventWrite, RegSetValueExW, RegDeleteValueW, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegisterServiceCtrlHandlerExW, RegCreateKeyExW, SetServiceStatus, EventRegister, EventUnregister, UnregisterTraceGuids, RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegOpenKeyW, RegQueryValueExW, RegCloseKey, AllocateAndInitializeSid, FreeSid, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetLengthSid, InitializeAcl, AddAccessAllowedAce, AddAccessDeniedAce, GetAce, SetSecurityDescriptorDacl, GetSecurityDescriptorLength, MakeSelfRelativeSD, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, TraceMessage
 > AUTHZ.dll: AuthziInitializeAuditEvent, AuthziInitializeAuditEventType​, AuthziInitializeAuditParams, AuthziFreeAuditEventType, AuthzFreeAuditEvent, AuthziLogAuditEvent, AuthzAccessCheck
 > ole32.dll: CoInitializeEx, CoCreateInstance, CoUninitialize
 > RPCRT4.dll: UuidCreate, RpcRevertToSelf, RpcImpersonateClient, RpcEpUnregister, RpcServerInqDefaultPrincNameW, RpcServerRegisterAuthInfoW, RpcServerUseProtseqW, RpcServerRegisterIfEx, UuidIsNil, RpcEpRegisterW, NdrServerCall2, RpcGetAuthorizationContextForC​lient, RpcFreeAuthorizationContext, RpcStringFreeW, RpcBindingInqAuthClientW, RpcStringBindingParseW, RpcBindingToStringBindingW, RpcServerInqBindings, RpcServerUnregisterIfEx, RpcBindingVectorFree, I_RpcBindingIsClientLocal
 > IPHLPAPI.DLL: NhGetInterfaceNameFromGuid, GetAdaptersAddresses
 > WS2_32.dll: -, WSASocketW, WSACreateEvent, -, WSAIoctl, WSAEventSelect, WSAResetEvent, -, -, WSACloseEvent, -, -, -
 > CRYPT32.dll: CertStrToNameW
 > USERENV.dll: FreeGPOListW, GetGPOListW, RefreshPolicy
 > fwpuclnt.dll: IPsecGetStatistics0, FwpmEngineClose0, IkeextGetConfigParameters0, IkeextSetConfigParameters0, FwpmEngineOpen0, IkeextGetStatistics0, IkeextSaDestroyEnumHandle0, FwpmFreeMemory0, IkeextSaEnum0, IkeextSaCreateEnumHandle0, IPsecSaDestroyEnumHandle0, IPsecSaEnum0, IPsecSaCreateEnumHandle0, IkeextSaDeleteById0, IPsecSaContextDeleteById0, IPsecSaContextEnum0, IPsecSaContextCreateEnumHandle​0, FwpmIPsecTunnelAdd0, FwpmTransactionAbort0, FwpmProviderAdd0, FwpmTransactionBegin0, FwpmTransactionCommit0, FwpmProviderContextAdd0, FwpmProviderContextDeleteByKey​0, FwpmFilterAdd0, FwpmFilterDeleteByKey0, FwpmIPsecTunnelDeleteByKey0
 > OLEAUT32.dll: -, -
 > FirewallAPI.dll: FWChangeNotificationDestroy, FWChangeNotificationCreate
 > FwRemoteSvr.DLL: FwRpcAPIsShutdown, FwRpcAPIsInitialize
 > WLDAP32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

 ( 1 exports )
 SpdServiceMain

 



 
 C:\Windows\System32\FwRemoteSv​r.dll
 


no pb :
 Information additionnelle
 File size: 28672 bytes
 MD5...: 988963e9e07787e1d8f99dc1f45221​3d
 SHA1..: 934fa735102a02a656c79966afb8aa​e477d4adc5
 SHA256: da549366a0529a9b6378889599d3ff​a57201f598c27c7527bba36046c3f0​9d23
 SHA512: 50fd7b05ccba7922474af185caec52​de6ad531407f1644ade99d3b94f885​7023
 d138db516bbece4566fc063b801f2f​dec38d1434c373a87e92474f19ab76​f22c
 PEiD..: -
 TrID..: File type identification
 Win32 Executable Generic (42.3%)
 Win32 Dynamic Link Library (generic) (37.6%)
 Generic Win/DOS Executable (9.9%)
 DOS Executable Generic (9.9%)
 Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
 PEInfo: PE Structure information

 ( base data )
 entrypointaddress.: 0x4a391230
 timedatestamp.....: 0x4791a6b1 (Sat Jan 19 07:28:49 2008)
 machinetype.......: 0x14c (I386)

 ( 4 sections )
 name viradd virsiz rawdsiz ntrpy md5
 .text 0x1000 0x5988 0x5a00 6.12 96bec92d351f42c634f67eaac9bc02​aa
 .data 0x7000 0x458 0x600 0.89 07fbcb13e509c2312e848e8ff54f5a​54
 .rsrc 0x8000 0x438 0x600 2.58 67f7d01b04d410c650a71e0948e8d4​a3
 .reloc 0x9000 0x568 0x600 6.29 fdf5b7e89848f4c1773e87e6ca6bc3​e9

 ( 5 imports )
 > msvcrt.dll: malloc, free, _initterm, _amsg_exit, _adjust_fdiv, _XcptFilter, memcpy, memset, _except_handler4_common
 > KERNEL32.dll: Sleep, CloseHandle, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, LocalFree, GetTickCount, QueryPerformanceCounter, InterlockedCompareExchange, InterlockedExchange, GetCurrentThread, GetLastError
 > ADVAPI32.dll: OpenThreadToken, ConvertStringSecurityDescripto​rToSecurityDescriptorW, TraceMessage, AccessCheck
 > RPCRT4.dll: RpcEpUnregister, RpcBindingToStringBindingW, I_RpcBindingIsClientLocal, RpcBindingInqAuthClientW, RpcServerUseProtseqW, NdrServerCall2, RpcRevertToSelf, RpcImpersonateClient, RpcServerUnregisterIfEx, RpcBindingVectorFree, RpcStringBindingParseW, RpcStringFreeW, RpcServerRegisterAuthInfoW, RpcServerInqDefaultPrincNameW, RpcEpRegisterW, RpcServerInqBindings, RpcServerRegisterIfEx
 > FirewallAPI.dll: FWEnumPhase1SAs, FWEnumCryptoSets, FWEnumPhase2SAs, FWDeleteCryptoSet, FWSetCryptoSet, FWAddCryptoSet, FWEnumAuthenticationSets, FWSetAuthenticationSet, FWDeleteAuthenticationSet, FWAddAuthenticationSet, FWEnumConnectionSecurityRules, FWDeleteAllConnectionSecurityR​ules, FWDeleteConnectionSecurityRule​, FWSetConnectionSecurityRule, FWAddConnectionSecurityRule, FWDeletePhase1SAs, FWDeletePhase2SAs, FWDeleteAllCryptoSets, FWDeleteAllAuthenticationSets, FWClosePolicyStore, FWOpenPolicyStore, FWSetGlobalConfig, FWGetGlobalConfig, FWSetConfig, FWGetConfig, FWSetFirewallRule, FWAddFirewallRule, FWDeleteAllFirewallRules, FWDeleteFirewallRule, FWEnumFirewallRules, FWRestoreDefaults, FwFree, FwAlloc

 ( 2 exports )
 FwRpcAPIsInitialize, FwRpcAPIsShutdown



 



 
 Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomput [...] oveIt2.exe


 # Redémarre le PC en mode sans échec :
 Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l'avoir à ta disposition.
 Ferme toutes les fenêtres et applications.
 Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec.

 # Double-clique sur OTMoveIt.exe pour le lancer.
 Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
 Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

 C:\Users\Laurene\AppData\Roami​ng\GTek
 C:\Windows\System32\ZFYE
 C:\Program Files\Axon Data
 C:\Users\All Users\{3276BE95_AF08_429F_A64F​_CA64CB79BCF6}
 C:\ProgramData\{3276BE95_AF08_​429F_A64F_CA64CB79BCF6}
 C:\Windows\unins000.exe
 C:\Windows\unins000.dat
 C:\Windows\System32\SRSWOW.dll
 C:\Program Files\No-Folder-Created
 C:\Windows\Setup1.exe
 C:\Windows\ST6UNST.EXE
 C:\Windows\HideWin.exe
 C:\ProgramData\ma-config.com
 C:\Program Files\ma-config.com
 C:\Program Files\Common Files\xing shared
 C:\Windows\System32\NaturalLan​guage6.dll
 C:\Users\Laurene\AppData\Local​\Temp\JMPXQUQYVX.exe
 C:\Users\Laurene\AppData\Local​\Temp\SERVWZCPVM.exe

 Clique sur MoveIt! pour lancer la suppression.
 Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC.
 Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.
 



 Pour cette partie je le ferais ce soir là j'ai pas le temps...

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 07/10/2008 à 08:29:21  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
C:\Users\Laurene\AppData\Roami​ng\GTek\HP\HPNetworkAssistant\​device_lib\Netgear moved successfully.
 C:\Users\Laurene\AppData\Roami​ng\GTek\HP\HPNetworkAssistant\​device_lib\Linksys moved successfully.
 C:\Users\Laurene\AppData\Roami​ng\GTek\HP\HPNetworkAssistant\​device_lib\Dlink moved successfully.
 C:\Users\Laurene\AppData\Roami​ng\GTek\HP\HPNetworkAssistant\​device_lib\Buffalo moved successfully.
 C:\Users\Laurene\AppData\Roami​ng\GTek\HP\HPNetworkAssistant\​device_lib\Belkin moved successfully.
 C:\Users\Laurene\AppData\Roami​ng\GTek\HP\HPNetworkAssistant\​device_lib moved successfully.
 C:\Users\Laurene\AppData\Roami​ng\GTek\HP\HPNetworkAssistant moved successfully.
 C:\Users\Laurene\AppData\Roami​ng\GTek\HP moved successfully.
 C:\Users\Laurene\AppData\Roami​ng\GTek moved successfully.
 C:\Windows\System32\ZFYE moved successfully.
 C:\Program Files\Axon Data\AxCrypt\etc moved successfully.
 C:\Program Files\Axon Data\AxCrypt\1.6.4.4 moved successfully.
 C:\Program Files\Axon Data\AxCrypt moved successfully.
 C:\Program Files\Axon Data moved successfully.
 C:\Users\All Users\{3276BE95_AF08_429F_A64F​_CA64CB79BCF6}\x86\x86 moved successfully.
 C:\Users\All Users\{3276BE95_AF08_429F_A64F​_CA64CB79BCF6}\x86 moved successfully.
 C:\Users\All Users\{3276BE95_AF08_429F_A64F​_CA64CB79BCF6} moved successfully.
 File/Folder C:\ProgramData\{3276BE95_AF08_​429F_A64F_CA64CB79BCF6} not found.
 C:\Windows\unins000.exe moved successfully.
 C:\Windows\unins000.dat moved successfully.
 C:\Windows\System32\SRSWOW.dll unregistered successfully.
 C:\Windows\System32\SRSWOW.dll moved successfully.
 C:\Program Files\No-Folder-Created moved successfully.
 C:\Windows\Setup1.exe moved successfully.
 C:\Windows\ST6UNST.EXE moved successfully.
 C:\Windows\HideWin.exe moved successfully.
 C:\Program Files\Common Files\xing shared\mpeg encode moved successfully.
 C:\Program Files\Common Files\xing shared moved successfully.
 C:\Windows\System32\NaturalLan​guage6.dll unregistered successfully.
 File move failed. C:\Windows\System32\NaturalLan​guage6.dll scheduled to be moved on reboot.
 File/Folder C:\Users\Laurene\AppData\Local​\Temp\JMPXQUQYVX.exe not found.
 File/Folder C:\Users\Laurene\AppData\Local​\Temp\SERVWZCPVM.exe not found.

 OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10072008_101725

 Files moved on Reboot...
 C:\Windows\System32\NaturalLan​guage6.dll unregistered successfully.
 File move failed. C:\Windows\System32\NaturalLan​guage6.dll scheduled to be moved on reboot.



 Pour info,
 C:\Users\Laurene\AppData\Roami​ng\GTek\HP\HPNetworkAssistant : assistant HP
 C:\Program Files\Axon Data\AxCrypt : logiciel de cryptage
 C:\Program Files\No-Folder-Created : c'etait un rajout pour les sims 2 je crois

 Donc je n'ai plus ces differentes fonctionnalités pour le moment...

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 07/10/2008 à 08:33:12  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,  :D

 



S4 JMPXQUQYVX;JMPXQUQYVX;C:\Users​\Laurene\AppData\Local\Temp\JM​PXQUQYVX.exe [ ]
 S4 SERVWZCPVM;SERVWZCPVM;C:\Users​\Laurene\AppData\Local\Temp\SE​RVWZCPVM.exe [ ]




 Il ne sont visiblement pas présents. Néanmoins vide ton dossier "Temp" et vide ta corbeille.

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 07/10/2008 à 08:42:32  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Rerere bonjour,
 voila maintenant que tout est fait je fais quoi ?! Je relance un scan AVG? (surement que le fichier est toujours là avec un autre nom...)

 :grrr:  :(  :( *satanés fichiers*

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 07/10/2008 à 08:52:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,  :super:

 Relance un scan AVG en mode sans échec.  :fume:

 Bon courage.  :jap:

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 07/10/2008 à 16:08:34  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Le scan AVG n'a rien donné :

 Scanner de ligne de commande Anti-Virus AVG 8.0
 Copyright (c) 1992 - 2008 AVG Technologies
 Version du programme 8.0.145, moteur 8.0.0
 Base de données virale : version 270.7.6/1711 2008-10-06

 C:\boot\bcd Fichier verrouillé. Non analysé.
 C:\boot\BCD.LOG Fichier verrouillé. Non analysé.
 C:\Documents and Settings\ Fichier verrouillé. Non analysé.
 C:\pagefile.sys Fichier verrouillé. Non analysé.
 C:\Program Files\Windows NT\Accessoires\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Bureau\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Desktop\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Documents\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Favoris\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Favorites\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Menu Démarrer\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Microsoft\Crypt​o\RSA\MachineKeys\200cb28f052e​adc11508c32e87535984_6bd86f2c-​84eb-43e0-bbe1-74b0574d652a Fichier verrouillé. Non analysé.
 C:\ProgramData\Microsoft\Windo​ws\Start Menu\Programmes\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Modèles\ Fichier verrouillé. Non analysé.
 C:\ProgramData\Templates\ Fichier verrouillé. Non analysé.
 C:\System Volume Information\ Fichier verrouillé. Non analysé.
 C:\Users\Default\AppData\Local​\Historique\ Fichier verrouillé. Non analysé.
 C:\Users\Default\AppData\Local​\History\ Fichier verrouillé. Non analysé.
 C:\Users\Default\AppData\Roami​ng\Microsoft\Windows\Start Menu\Programmes\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Documents\Ma musique\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Documents\Mes images\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Documents\Mes vidéos\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Documents\My Music\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Documents\My Pictures\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Documents\My Videos\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Modèles\ Fichier verrouillé. Non analysé.
 C:\Users\Default\NetHood\ Fichier verrouillé. Non analysé.
 C:\Users\Default\PrintHood\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Recent\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Templates\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Voisinage d'impression\ Fichier verrouillé. Non analysé.
 C:\Users\Default\Voisinage réseau\ Fichier verrouillé. Non analysé.
 C:\Users\Laurene\AppData\Local​\Historique\ Fichier verrouillé. Non analysé.
 C:\Users\Laurene\AppData\Local​\Microsoft\Windows\UsrClass.da​t Fichier verrouillé. Non analysé.
 C:\Users\Laurene\AppData\Local​\Microsoft\Windows\UsrClass.da​t.LOG1 Fichier verrouillé. Non analysé.
 C:\Users\Laurene\AppData\Local​\Microsoft\Windows\UsrClass.da​t.LOG2 Fichier verrouillé. Non analysé.
 C:\Users\Laurene\AppData\Roami​ng\Microsoft\Windows\Start Menu\Programmes\ Fichier verrouillé. Non analysé.
 C:\Users\Laurene\Documents\Ma musique\ Fichier verrouillé. Non analysé.
 C:\Users\Laurene\Documents\Mes images\ Fichier verrouillé. Non analysé.
 C:\Users\Laurene\Documents\Mes vidéos\ Fichier verrouillé. Non analysé.
 C:\Users\Laurene\Modèles\ Fichier verrouillé. Non analysé.
 C:\Users\Laurene\NTUSER.DAT Fichier verrouillé. Non analysé.
 C:\Users\Laurene\ntuser.dat.LO​G1 Fichier verrouillé. Non analysé.
 C:\Users\Laurene\ntuser.dat.LO​G2 Fichier verrouillé. Non analysé.
 C:\Users\Laurene\Voisinage d'impression\ Fichier verrouillé. Non analysé.
 C:\Users\Laurene\Voisinage réseau\ Fichier verrouillé. Non analysé.
 C:\Users\Public\Documents\Ma musique\ Fichier verrouillé. Non analysé.
 C:\Users\Public\Documents\Mes images\ Fichier verrouillé. Non analysé.
 C:\Users\Public\Documents\Mes vidéos\ Fichier verrouillé. Non analysé.
 C:\Users\Public\Documents\My Music\ Fichier verrouillé. Non analysé.
 C:\Users\Public\Documents\My Pictures\ Fichier verrouillé. Non analysé.
 C:\Users\Public\Documents\My Videos\ Fichier verrouillé. Non analysé.
 C:\Windows\ServiceProfiles\Loc​alService\AppData\Local\lastal​ive0.dat Fichier verrouillé. Non analysé.
 C:\Windows\ServiceProfiles\Loc​alService\AppData\Local\lastal​ive1.dat Fichier verrouillé. Non analysé.
 C:\Windows\ServiceProfiles\Loc​alService\NTUSER.DAT Fichier verrouillé. Non analysé.
 C:\Windows\ServiceProfiles\Loc​alService\ntuser.dat.LOG1 Fichier verrouillé. Non analysé.
 C:\Windows\ServiceProfiles\Loc​alService\ntuser.dat.LOG2 Fichier verrouillé. Non analysé.
 C:\Windows\ServiceProfiles\Net​workService\NTUSER.DAT Fichier verrouillé. Non analysé.
 C:\Windows\ServiceProfiles\Net​workService\ntuser.dat.LOG1 Fichier verrouillé. Non analysé.
 C:\Windows\ServiceProfiles\Net​workService\ntuser.dat.LOG2 Fichier verrouillé. Non analysé.
 C:\Windows\System32\catroot2\e​db.log Fichier verrouillé. Non analysé.
 C:\Windows\System32\catroot2\{​127D0A1D-4EF2-11D1-8608-00C04F​C295EE}\catdb Fichier verrouillé. Non analysé.
 C:\Windows\System32\catroot2\{​F750E6C3-38EE-11D1-85E5-00C04F​C295EE}\catdb Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\COM​PONENTS Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\COM​PONENTS.LOG1 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\COM​PONENTS.LOG2 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\DEF​AULT Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\DEF​AULT.LOG1 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\DEF​AULT.LOG2 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\Reg​Back\COMPONENTS Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\Reg​Back\DEFAULT Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\Reg​Back\SAM Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\Reg​Back\SECURITY Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\Reg​Back\SOFTWARE Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\Reg​Back\SYSTEM Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SAM Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SAM​.LOG1 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SAM​.LOG2 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SEC​URITY Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SEC​URITY.LOG1 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SEC​URITY.LOG2 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SOF​TWARE Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SOF​TWARE.LOG1 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SOF​TWARE.LOG2 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SYS​TEM Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SYS​TEM.LOG1 Fichier verrouillé. Non analysé.
 C:\Windows\System32\config\SYS​TEM.LOG2 Fichier verrouillé. Non analysé.
 C:\Windows\System32\drivers\sp​td.sys Fichier verrouillé. Non analysé.
 C:\Windows\System32\LogFiles\W​MI\RtBackup\ Fichier verrouillé. Non analysé.
 D:\System Volume Information\ Fichier verrouillé. Non analysé.
 E:\System Volume Information\ Fichier verrouillé. Non analysé.

 ------------------------------​------------------------------
 Objets analysés : 1119452
 Infections trouvées :    0
 PUP trouvés :    0
 Infections réparées :    0
 PUP réparés :    0
 Avertissements :    0
 ------------------------------​------------------------------

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 07/10/2008 à 18:46:51  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,  :fume:

 Télécharge IceSword : http://www.01net.com/telecharg [...] 33656.html

 Fais des captures d'écran des différentes sections, puis poste les dans ta prochaine réponse. Si tu as des soucis, demande-moi.Pour faire simple, considère ce logiciel comme un explorateur avancé de Windows.

 http://www.malekal.com/tutorial_IceSword.php : le tutorial

 Edit : Enumère les fichiers en rouge également.


razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 08/10/2008 à 17:09:45  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut,
 Je n'arrive pas à ouvrir IceSword.exe
 Il me mets "Initialize Failed[1] !"
 J'ai essayé en tant qu'administrateur et de le re-télécharger mais ça ne change rien...

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 08/10/2008 à 19:05:09  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,  :fume:

 Bon pas grave, essaye avec GMER.

 Télécharge GMER ici : http://www.gmer.net/files.php
 Lance gmer.exe. Sur la "Rootkit Tab", sélectionne seulement les options: Files + ADS + Show all et clique sur le bouton "Scan".

 Note tous les fichiers en rouge.
 Sur l'onglet "Settings" choisis ces options :

 http://www.gmer.net/settings1.​jpg

 Récupère le rapport ici : C:\WINDOWS\gmer.log.
 Poste le tout dans ta prochaine réponse.

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 08/10/2008 à 20:12:01  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,
 J'ai téléchargé et lancé GMER, et après un scna il me dit : aucun fichier trouvé, pas de modification systéme, un truc comme ça...

 Et je n'ai pas d'onglets settings  :hebe: (donc pas de fichiers log)

razoor
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 08/10/2008 à 20:28:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
En me baladant dans la partie "Modules", je trouve un fichier lancé qui correspond à mon fichier .sys qui a encore changé de nom (je dois lancer un début de scan AVG à chaque fois pour trouver le nouveau nom)

 http://img517.imageshack.us/im​g517/8950/rootkitqt5.th.jpg
 :youpi:  :youpi: enfin un indice...

master-g
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 08/10/2008 à 20:47:40  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,  :fume:

 # Redémarre le PC en mode sans échec :
 Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l'avoir à ta disposition.
 Ferme toutes les fenêtres et applications.
 Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l&#8217;apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec.

 # Double-clique sur OTMoveIt.exe pour le lancer.
 Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
 Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

 C:\Windows\System32\Drivers\at​en7xui.SYS
 C:\Windows\System32\Drivers\a2​pw6w3c.SYS
 C:\Windows\System32\Drivers\ax​mmj77g.sys

 Clique sur MoveIt! pour lancer la suppression.
 Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC.
 Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.

 Page :
1  2  3
Dernière Page
Page Suivante
Page Précédente
Première Page

Aller à :
 

Sujets relatifs
win32-rootkit-gen ---> à l'aide [résolu] [Resolu] VBS Malware-gen, Win32 Trojan-gen et rootkit
Win32- rootkit-gen et win32 -beagle-AAw assaillants (Résolu) Win32:Rootkit-gen [Rtk] [Résolu]
virus détecté par ad-aware?  
Plus de sujets relatifs à : Rootkit détécté par avg 8?

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
pub intempestives [resolu] 7
Dossiers illisibles [résolu] 0
probleme d'antivirus qui s'ouvre tout seul 2
Lop S&D 3
fenetre "une fille de ma region" s'ouvre sans cesse 5