Se connecter avec
S'enregistrer | Connectez-vous

Comment se débarasser d'un rootkit ?

Dernière réponse : dans Le monde de Windows
Lassé par la pub ? Créez un compte

Comme tu le dis si bien, Skorr, je veux bien d'autres avis, parce que j'entends tout et n'importe quoi sur les antivirus ! (sans que tu le prennes mal Skorr :-) )
Et ce que j'ai pu lire sur les rootkit, c'est qu'ils n'étaient pas détecté par les antivirus, alors que Avast l'a quand même trouvé (bravo avast !) !

Merci pour ta réponse, je ferais la manip conseillée demain, et te dirais le résultat !
Expert Windows

+1 lano_87, moi je pense que avast est meilleur qu'antivir.

voici quelques rootkits que tu pourrais esseiller:

sur filehippo:

http://filehippo.com/download_rootkit_revealer/


microsoft (sysinternals)
http://download.sysinternals.com/Files/RootkitRevealer....

f secure
http://www.f-secure.com/en_EMEA/security/security-lab/t...

ATTENTION le rootkit pourrais être un faux positif.
J'ai eu plusieurs problème avec lineage 2 qui a un programme anti-triche et si il change: avast pensait que c'étais un rootkit

Bonne chance

Cherche avec google "security task manager" ce n'est pas un anti rootkit, mais ils les voient quand même, il m'a permis d'en arrêter un. C'est un shareware méconnu, mais ça fonctionne. Il va te permettre de vérifier toutes les tâches. Pour le miens il y avait deux fichiers le rootkit à proprement parler se cachait dans les drivers(donc prudence), si tu en as un utilises ensuite "RootkitRevealer" de sysinternals

Bonjour les spécialistes de la luttes anti-virale.

Le lien de skorr est très vieux. Là où il est très bon, c'est dans l'avertissement.
Citation :
DISCLAIMER : Cette page a été commencée en MAI 2007 (voir en haut la date), étant donné que les infections et antivirus bougent très vite, à l'heure où vous lisez ces lignes, le résultat peut être différent.


Tarass, aurais-tu des liens vers des comparos récents ?

Je propose même un [TU] punaisé en haut du monde de Windows pour référencer les bons articles internes ou externes sur ce sujet.

Okay, donc je fais quoi moi du coup ?!
Je désinstalle avant tout Avast et installe Antivir, qui pourra peut etre detecter le rootkit et le supprimer ? Ou j'essaye directe un anti rootkit et j'avise après pour l'antivirus ? Personne d'autres que Dextermat n'a de bons anti rootkit à ma proposer ?

Merci pour la mobilisation en tout cas !!
Expert Windows

pour ma part même si ma position n'est pas partagé par tous le monde :

rootki ou virus = format et reinstall....

Car un nettoyage = plusieurs heures sans garantie d'avoir une machine fiable
Une réinstallation = plusieurs heure mais à la fin on a un truc fiable et clean.
Expert Windows

bonjour,

Un antivirus aurait besoin de redémarrer le PC pour être capable de supprimer ce genre d'infection. Et un antivirus ne fait pas ça, c'est pas sa job.
Alors commencez par redémarrer en mode sans échec et lancer l'antivirus de service, Puisque l'infection ne devrait pas être en action, ça sera plus facile.

Ensuite si Avast a fonctionné(à condition qu'il ne supprime pas de fichiers système "irrécupérable" qui aurait été patché par l'infection), ne faites que Malarebytes.
Antivir serait mieux qu'Avast.


Téléchargez Malwarebytes
• Lancez l'installation,
• Faites la [Mise à jours] de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],



>>>>>>>> Si y a un problème avec Malwarebytes ..avisez


Citation :
C'est dans les drivers ..
Ça serait intéressant de connaitre le(s) fichier(s) ..

Si Malwarebytes n'a pas supprimer le problème
Allons vérifier ce qu'il y a dans \system32\drivers\.. avec les commandes suivante
>> ou postez (le rapport d'Avast) les fichiers détectés.. <<<<<<

• Mettez le contenu de la Citation dans le Bloc-note.
• Sauvegarder sous SearchDriv.bat
• À lancer par un double-clic sur SearchDriv.bat
• Avec Vista lancer le par un clic-droit -> Exécuter en tant qu'admin.

>>>>> Postez le rapport qui s'ouvrira à l'écran.
Citation :
dir /-c /a /o:-d /t:c c:\windows\system32\drivers\*.* > C:\rapport_1.txt
for /f "tokens=1,* delims=:" %%i in ('findstr /n /r . C:\rapport_1.txt') do if %%i gtr 5 if %%i leq 25 echo %%j >> C:\rapport.txt
echo. >> C:\rapport.txt
echo ------------------------------------ >> C:\rapport.txt
echo. >> C:\rapport.txt
dir /-c /a /o:-d /t:w c:\windows\system32\drivers\*.* > C:\rapport_2.txt
for /f "tokens=1,* delims=:" %%i in ('findstr /n /r . C:\rapport_2.txt') do if %%i gtr 5 if %%i leq 25 echo %%j >> C:\rapport.txt
Start notepad C:\rapport.txt

Alors j'ai désinstallé Avast, remplacé par le fameux Antivir ! Lors du scan 'spécial rootkit', il n'a rien trouvé, à part 2 fichiers sans rapport, ainsi que des fichiers où il ne pouvait pas accéder. En gros rien n'a changé !
J'ai aussi exécuter Malwarebytes, je vous poste le rapport à la suite !

Par contre, ce matin j'allume mon PC, qui démarre en mode (je sais plus le nom!), mais en faisait une restauration système, donc j'ai du réinstaller Antivir qui s'était désinstaller ...Ca peut être dû à ce rootkit ? Il risque de me le faire à chaque fois ??
Merci pour vos conseils en tout cas, j'espère bientôt trouver la solution !

le rapport de Malwarebytes : (que je viens de lire en fait ! et il est écrit qu'il a effacé le rootkit, je dois le relancer cas où la restauration système l'aurait restauré ?)

21/01/2010 17:20 96104 avipbb.sys
21/01/2010 17:20 56816 avgntflt.sys
21/01/2010 17:20 28520 ssmdrv.sys
21/01/2010 17:03 38224 mbamswissarmy.sys
21/01/2010 17:03 19160 mbam.sys
17/01/2010 18:07 0 plyohi.sys
06/01/2010 14:58 0 Msft_User_WpdMtpDr_01_07_00.Wdf
06/01/2010 14:57 0 Msft_User_WpdFs_01_07_00.Wdf
06/01/2010 14:29 634880 dxgkrnl.sys
06/01/2010 14:28 40448 WpdUsb.sys
12/12/2009 12:24 411648 http.sys
02/12/2009 19:55 26600 GEARAspiWDM.sys
14/10/2009 11:29 144896 srv2.sys
24/09/2009 10:45 684032 spsys.sys
24/09/2009 10:45 561152 hdaudbus.sys
24/09/2009 10:44 1083880 ntfs.sys
24/09/2009 10:43 225280 rdbss.sys
24/09/2009 10:43 114688 mrxdav.sys
24/09/2009 10:43 223208 netio.sys
24/09/2009 10:43 65536 USBSTOR.SYS

------------------------------------

21/01/2010 21:48 0 plyohi.sys
21/01/2010 20:53 <REP> ..
21/01/2010 20:53 <REP> .
21/01/2010 20:29 28520 ssmdrv.sys
21/01/2010 20:29 56816 avgntflt.sys
07/01/2010 16:07 38224 mbamswissarmy.sys
07/01/2010 16:07 19160 mbam.sys
06/01/2010 14:58 <REP> fr-FR
06/01/2010 14:58 0 Msft_User_WpdMtpDr_01_07_00.Wdf
06/01/2010 14:58 <REP> UMDF
06/01/2010 14:57 0 Msft_User_WpdFs_01_07_00.Wdf
09/11/2009 11:36 411648 http.sys
01/10/2009 02:01 40448 WpdUsb.sys
25/09/2009 02:27 634880 dxgkrnl.sys
14/09/2009 10:29 144896 srv2.sys
28/08/2009 18:42 40448 usbaapl.sys
14/08/2009 17:27 904776 tcpip.sys
14/08/2009 14:48 30720 tcpipreg.sys
16/06/2009 00:15 439864 ksecdd.sys
18/05/2009 14:17 26600 GEARAspiWDM.sys

Je crois que je me suis trompée de rapport !


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3609
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

21/01/2010 20:50:22
mbam-log-2010-01-21 (20-50-22).txt

Type de recherche: Examen complet (C:\|D:\|H:\|I:\|)
Eléments examinés: 271207
Temps écoulé: 1 hour(s), 25 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\GalaPlayer (Trojan.Swizzor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\No\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NH67DVD9\load[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\No\AppData\Local\temp\~TMDF5F.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\No\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siszyd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\plyohi.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\No\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\No\AppData\Roaming\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
Expert Windows


LaNo_87 a dit :
Alors j'ai désinstallé Avast, remplacé par le fameux Antivir ! Lors du scan 'spécial rootkit', il n'a rien trouvé, à part 2 fichiers sans rapport, ainsi que des fichiers où il ne pouvait pas accéder. En gros rien n'a changé !
C'est certain que si Antivir n'a pas été paramétré après installation ou avant utilisation ?
• Antivir : Tuto de config.

LaNo_87 a dit :
le rapport de Malwarebytes : (que je viens de lire en fait ! et il est écrit qu'il a effacé le rootkit, je dois le relancer cas où la restauration système l'aurait restauré ?)
Si vous avez restauré après le scan posté au message précédent.
• Devez préférablement relancer un autre scan avec Malwarebytes.

Favorisez Malwarebytes pour l'éradication d'infection, ..même avec Antivir en place. Ont complètera après toute les vérifications d'usages avec un scan préventif d'Antivir.


• Re-scanner avec Malwarebytes,
• Et produisez un nouveau rapports avec Hijakcthis.
► Postez ces rapports


P.S.:
Vous avez une version pré-installée de windows.
• Devez donc avoir un répertoire ..\Windows\i386\.. : Quand est-il ?

Voilà le nouveau rapport de Malwarebytes !
Par contre je ne me souviens plus de la manip pour faire un Hijackthis de quelque chose !!
J'ai fait une recherche dans C:\, mais pas de traces de i386, je peux y accéder d'une autre manière ?



Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3619
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

23/01/2010 16:10:44
mbam-log-2010-01-23 (16-10-44).txt

Type de recherche: Examen rapide
Eléments examinés: 102101
Temps écoulé: 7 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\system32\Drivers\plyohi.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Expert Windows

Téléchargez HijackThis

• Installez HJTInstall.exe par un clic-droit -> "Exécuter ce programme en tant qu'administrateur"

• Lancez HijackThis avec le raccourci créé sur le bureau par un clic-droit ->
"Exécuter ce programme en tant qu'administrateur"

• Appuyer sur ,

>> Le bloc-note va s'ouvrir avec un rapport,
Postez le rapport.
__________________________________________

Téléchargez sur le bureau Rooter (équipe IDN )

Déconnectez l'Internet et fermez toutes applications.

• Lancez Rooter par un clic-droit -> "Exécuter ce programme en tant qu'administrateur" et laissez le aller,

Postez le rapport ( C:\ Rooter.txt).
__________________________________________

Citation :
C:\, mais pas de traces de i386,
Vous n'avez pas de CD d'installation de windows et pas de répertoire \i386\ quelques part dans le répertoire \Windows\.. <------- Lancer une p'tite Recherche dans le répertoire de windows avec i386

Cette installation de windows, provient donc d'un CD d'installation "original" de Windows.

Tout ça.., c'est pour savoir comment vous faire recréer soit, un CD d'installation de windows ou une image disque restaurable de windows.

Voilà déjà le Hijackthis !
Et j'ai fait une recherche dans Windows, et j'ai plein de fichiers i386, environ 50 dont une quarantaine de la même date...


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16:31, on 23/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\tsnp2std.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Windows\vsnp2std.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iTunes\iTunes.exe
C:\Users\No\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [tsnp2std] C:\Windows\tsnp2std.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [snp2std] C:\Windows\vsnp2std.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnlivesearch] C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe /Run
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpld...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoD...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/curre...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: UWVWPXTYE - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\UWVWPXTYE.exe
O23 - Service: VX - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\VX.exe
O23 - Service: XRMUAZEY - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\XRMUAZEY.exe
O23 - Service: XT - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\XT.exe

--
End of file - 7837 bytes
Expert Windows

Citation :
Et j'ai fait une recherche dans Windows, et j'ai plein de fichiers i386
C'est un répertoire qu'ont cherche, y en a t-il dans le lot.

Si Windows était pré-installé à l'achat du PC, il devrait y avoir un répertoire \i386

En attente du rapport de Rooter .


Utilisateur de Vista.
• Désactiver l'UAC
>> Réactiverez l’UAC après ..après Hijackthis <<.


Utilisateur de SpybotSD.
Désactivez la protection résidente de SpybotSD.
• Lancez Spybot > Mode avancé > Outils >> Résident
• Décochez la case résident "tea timer" et refermez Spybot

>> Réactiverez la protection de Spybot ..après Hijackthis <<
>> Acceptez toutes les modifications qui auront été faites.

_____________________________________________________

Téléchargez sur votre bureau Ad-Remover (de C_XX)

/|\ Désactiver l'antivirus. /|\

• Lancez AD-R.exe par un Clic droit > "Exécuter en tant qu'administrateur"

• Sélectionner la langue, F et validez par Entrée,
• Déconnectez-vous, quittez les applications ouvertes
• Sélectionner l'option [L. Lancer le nettoyage]
>> Laisser le aller,

• Lorsque le scan sera complété appuyez sur une touche pour ouvrir le rapport
Postez le rapport (C:\Ad-Report-SCAN.log)


/|\ Réactiver l'antivirus. /|\
_____________________________________________________

Optimisation des ressources système (les lignes 04-).
Les quelques suppressions proposées avec HijackThis, n'ont pour but que d'ajouter aux performances du PC et ne sont donc pas obligatoires.
En supprimant des objets / programmes qui sont lancés inutilement au démarrage du PC. Aucun fichiers de programmes ne sont supprimés avec Hijackthis. En fait ces suppressions ne s'appliques qu'à des endroits du registre prévus, pour le lancement automatique de programmes au démarrage du PC.
De ces suppressions faites avec HijackThis, quelque unes peuvent aussi être faites(que pour les lignes 04-) avec MSConfig > [Démarrage], où il y aurait qu'à Décocher les processus (qui seraient toujours Recochable si nécessaire), à vérifier..

Dans le cas où un objet (Au choix -) à supprimé est utilisé +-fréquemment.
Créer leurs un raccourci sur le bureau, pour une utilisation au besoin !


Lancer HijackThis > clic-droit -> Exécuter en tant qu'Adm.
• Appuyer sur ,
• Cocher les lignes suivantes
>>> Fermer Internet Explorer et autre fenêtre..
• Appuyer sur pour les supprimer.

À cocher.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [tsnp2std] C:\Windows\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\Windows\vsnp2std.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

Au choix - Enables the user to access Windows Messenger from within Windows Media Center Edition
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

Au choix - Créer leurs un raccourci sur le bureau pour utilisation au besoin.
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

À cocher.
O4 - HKCU\..\Run: [msnlivesearch] C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe /Run
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe



Redémarrer votre PC.

_______________________________________________________

Mises à jours Logiciels.
Important pour prévenir les failles de sécurités des logiciels qui ont accès à Internet.

• Adobe : http://www.adobe.com/fr/products/acrobat/readstep2.html

Java ; puisqu'il peut y avoir plusieurs version d'accumulées.
• Suivez ce tuto de Javara, pour télécharger et installer Java,
• Et ensuite toujours avec JavaRa, supprimer les anciennes version de Java.

• Faites les mise à jours proposées par Sumo Lite ou Secunia
► À vérifier aux 30jours.

_______________________________________________________

Ajoutez en ressources..
En désinstallant des logiciels "moins performants" qui font double emplois.

Avec Antivir qui contient déjà un antispyware performant.
Vous pourriez aisément désinstaller Windows Defender.
Windows Defender reste toujours disponible gratuitement chez Microsoft, autant pour XP que Vista..

Spybot est largué avec Malwarebytes en place.
De plus sa protection résidente prend énormément en ressources ; +-90Mo.
Vous pourriez aussi le désinstaller sans problème.
En remplacement pour la vaccination y a SpywareBlaster.

Avec Antivir en résident et Malwarebytes en 2ième ligne de défense. Un Pc un très bien protégé.
Toujours précéder un scan de Malwarebytes par une mise à jours.


P.S.:

Si besoin était ..

Restauration de ligne "04-" avec Hijackthis
• Lancer HijackThis,
• appuyer sur [View the list of backups],
• cocher la/les ligne(s) à restaurer et
• appuyer sur [Restore] à droite.

Et voilà le rapport de Rooter :

Je m'attelle au reste des manips, mais je ne suis pas sure de tout faire aujourd'hui !
Merci beaucoup pour votre patience et votre aide !

Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows Vista Home Edition (6.0.6002) Service Pack 2
[32_bits] - x86 Family 15 Model 104 Stepping 1, AuthenticAMD
.
[wscsvc] (Security Center) RUNNING (state:4)
[MpsSvc] RUNNING (state:4)
Windows Firewall -> Enabled
Windows Defender -> Enabled
User Account Control (UAC) -> Enabled
.
Internet Explorer 7.0.6002.18005
Mozilla Firefox 3.5.7 (fr)
.
C:\ [Fixed-NTFS] .. ( Total:34 Go - Free:5 Go )
D:\ [Fixed-NTFS] .. ( Total:71 Go - Free:62 Go )
E:\ [CD_Rom]
H:\ [Fixed-FAT32] .. ( Total:232 Go - Free:15 Go )
I:\ [Fixed-FAT32] .. ( Total:298 Go - Free:6 Go )
.
Scan : 17:39.25
Path : C:\Users\No\Downloads\Rooter.exe
User : No ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
Locked System (4)
______ \SystemRoot\System32\smss.exe (412)
______ C:\Windows\system32\csrss.exe (488)
______ C:\Windows\system32\wininit.exe (540)
______ C:\Windows\system32\csrss.exe (548)
______ C:\Windows\system32\services.exe (588)
______ C:\Windows\system32\lsass.exe (604)
______ C:\Windows\system32\lsm.exe (616)
______ C:\Windows\system32\winlogon.exe (668)
______ C:\Windows\system32\svchost.exe (808)
______ C:\Windows\system32\svchost.exe (892)
______ C:\Windows\System32\svchost.exe (932)
______ C:\Windows\System32\svchost.exe (1036)
______ C:\Windows\System32\svchost.exe (1084)
______ C:\Windows\system32\svchost.exe (1156)
Locked audiodg.exe (1216)
______ C:\Windows\system32\SLsvc.exe (1244)
______ C:\Windows\system32\svchost.exe (1276)
______ C:\Windows\system32\svchost.exe (1420)
______ C:\Windows\System32\spoolsv.exe (1644)
______ C:\Program Files\Avira\AntiVir Desktop\sched.exe (1668)
______ C:\Windows\system32\svchost.exe (1680)
______ C:\Windows\system32\agrsmsvc.exe (1904)
______ C:\Program Files\Avira\AntiVir Desktop\avguard.exe (1936)
______ C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (1948)
______ C:\Program Files\Bonjour\mDNSResponder.exe (1960)
______ C:\Program Files\System Control Manager\edd.exe (2012)
______ C:\Windows\system32\o2flash.exe (284)
______ C:\Windows\system32\svchost.exe (476)
______ C:\Program Files\CyberLink\Shared Files\RichVideo.exe (536)
______ C:\Windows\system32\svchost.exe (608)
______ C:\Windows\System32\svchost.exe (1432)
______ C:\Windows\system32\SearchIndexer.exe (1512)
______ C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe (2052)
______ C:\Windows\system32\taskeng.exe (3116)
______ C:\Windows\system32\taskeng.exe (2408)
______ C:\Windows\system32\Dwm.exe (3332)
______ C:\Windows\Explorer.EXE (3296)
______ C:\Program Files\Windows Defender\MSASCui.exe (3096)
______ C:\Windows\RtHDVCpl.exe (3304)
______ C:\Windows\tsnp2std.exe (2396)
______ C:\Program Files\System Control Manager\MGSysCtrl.exe (3896)
______ C:\Windows\vsnp2std.exe (3828)
______ C:\Program Files\QuickTime\QTTask.exe (2432)
______ C:\Program Files\iTunes\iTunesHelper.exe (2564)
______ C:\Program Files\Java\jre6\bin\jusched.exe (2348)
______ C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (2568)
______ C:\Windows\ehome\ehtray.exe (728)
______ C:\Program Files\Windows Live\Messenger\msnmsgr.exe (760)
______ C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe (3792)
______ C:\Program Files\Windows Media Player\wmpnscfg.exe (3468)
______ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (2544)
______ C:\Windows\System32\rundll32.exe (4028)
______ C:\Windows\ehome\ehmsas.exe (1564)
______ C:\Program Files\Windows Media Player\wmpnetwk.exe (1884)
______ C:\Program Files\iPod\bin\iPodService.exe (3344)
______ C:\Program Files\Windows Live\Contacts\wlcomm.exe (3636)
______ C:\Windows\explorer.exe (4284)
______ C:\Users\No\Downloads\Rooter.exe (356)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 8 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:1048576 | Length:6291456000)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:6292504576 | Length:36700160000)
\Device\Harddisk0\Partition3 (Start_Offset:42992664576 | Length:77039927296)
.
----------------------\\ Scheduled Tasks
.
C:\Windows\Tasks\SA.DAT
C:\Windows\Tasks\SCHEDLGU.TXT
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 17:39.41
.
C:\Rooter$\Rooter_1.txt - (24/01/2010 | 17:39.41)

Je ne sais pas si vous le vouliez, mais voilà le rapport d'Hijackthis en ayant désactivé Spybot :

Par contre, au relancement de Spybot, aucune modif ne pas était proposée ...
(rapport Ad Remover à la suite)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:58, on 24/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\tsnp2std.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Windows\vsnp2std.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\No\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [tsnp2std] C:\Windows\tsnp2std.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [snp2std] C:\Windows\vsnp2std.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnlivesearch] C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe /Run
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpld...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoD...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/curre...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: UWVWPXTYE - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\UWVWPXTYE.exe
O23 - Service: VX - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\VX.exe
O23 - Service: XRMUAZEY - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\XRMUAZEY.exe
O23 - Service: XT - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\XT.exe

--
End of file - 7649 bytes

Et le rapport d'Ad Remover :


.
======= RAPPORT D'AD-REMOVER 1.1.4.6_I | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 24.01.2010 à 14:33
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:04:11, 24/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002
Nom du PC: PC-DE-NO | Utilisateur actuel: No
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Users\No\scriptjava.html
C:\Users\No\temp1.6
C:\Users\No\AppData\Roaming\Mozilla\FireFox\Profiles\fjn85g02.default\searchplugins\cherche.xml
C:\Program Files\Macrogaming

(!) -- Fichiers temporaires supprimés.

.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\software\SWEETIE
HKLM\software\Macrogaming
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
HKU\.default\software\SWEETIE
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
Nom du profil: fjn85g02.default (No)
.
(No, Invalidprefs.js) Browser.download.dir, C:\Users\No\Downloads
(No, Invalidprefs.js) Browser.download.lastDir, C:\Users\No\Desktop
(No, Invalidprefs.js) Browser.startup.homepage, www.google.fr
(No, Invalidprefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.17
(No, Invalidprefs.js) Keyword.URL
.
(No, prefs.js) Browser.download.dir, C:\Users\No\Downloads
(No, prefs.js) Browser.download.lastDir, C:\Users\No\Saved Games\Pictures\Fond d'écran
(No, prefs.js) Browser.startup.homepage, www.google.fr
(No, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
.
.
.
* Internet Explorer Version 7.0.6002.18005 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Enable Browser Extensions: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\No\AppData\Roaming\uTorrent\How.I.Met.Your.Mother.S05E07.The.Rough.Patch.HDTV.XviD-FQM.[VTV].avi.torrent
.
===================================
.
3908 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
192 Fichier(s) - C:\Users\No\AppData\Local\Temp
29 Fichier(s) - C:\Windows\Temp
10 Fichier(s) - C:\Windows\Prefetch
.
21 Fichier(s) - C:\Ad-Remover\BACKUP
5 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 18:07:57 | 24/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.


Expert Windows


Citation :
Je ne sais pas si vous le vouliez, mais voilà le rapport d'hijackthis en ayant désactivé Spybot :
Toutes les lignes de R0 à 023 que j'ai placées dans le message précédent, sont à cocher dans Hijackthis et supprimer en appuyant sur [Fix Checked].

Et comme la majorité de ces lignes à supprimer proviennent du registre et que la protection résidente de Spybot, n'a pôur tâche que de protéger le registre. Alors cette protection de Spybot doit être désactivée avant de supprimer des lignes avec Hijkacthis.
Vous réactiverez la protection de Spybot après Hijackthis.
Serait préférable de le laisser "au moins" désactiver, mais ça c'est comme vous voulez.

Do it, vous relancer et posterez un nouveau Hijkacthis après avoir supprimées ces lignes.

Voilà le rapport aprés avoir modifier le registre :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:43, on 24/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\No\Downloads\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpld...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoD...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/curre...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: UWVWPXTYE - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\UWVWPXTYE.exe
O23 - Service: VX - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\VX.exe
O23 - Service: XRMUAZEY - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\XRMUAZEY.exe
O23 - Service: XT - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\XT.exe

--
End of file - 6088 bytes




Merci pour votre autres conseils !
J'ai fait comme conseillé, désactiver Windows Defender, ainsi que désinstaller SpyBot.
Pour Malwarebytes, je dois l'exécuter régulièrement, il n'est pas actif tout le temps comme Spybot ? Si non, je dois le faire tous les combiens environ ?
Je peux désinstaller Ad Remover aussi ?
Expert Windows


Vous pouvez Désinstaller Ad-remover
En le laçant sélectionner D. Désinstaller
_______________________________________________

Le rapport d'Hijackthis ne montre plus trace d'infection !

Vous dîtes avoir désinstaller windows Defender et Spybot.
Pourtant ils sont toujours dans le rapport.
Certes ils ne sont pas utiles et ce serait un gain significatif en performance de les désinstaller. Mais ça c'est comme vous voulez.

Mais pour les mises à jours, entre autre d'Adobe et Java. C'est très risqué de laisser ce genre d'applications aux versions obsolètes, avoir accès à Internet. Surtout que les mises à jours de ces d'applications n'ont pour but que réparer des failles de sécurités.

Pour l'utilisation de Malwarebytes.
Lancez un scan ..toujours précédé d'une mise à jours au préaléble.
Lorsque l'antivirus détecte quelques chose ou si le système adopte un comportement étrange, du genre ralentissement etc. Ou même occasionnellement au 15 jours.

Voilà le dernier Hijackthis ! J'espère qu'il est clean. J'ai fait la mise à jour d'Adobe, mais je ne sais pas si ca a fonctionné, vous pouvez voir ça vous ?

Pour ce qui est du répertoire i386, je ne le trouve pas à proprement parler. J'ai plusieurs fichiers dans les drivers, mais ils sont éparses, et je ne m'y retrouve guère !

Merci pour tous vos conseils, j'ai réussi à tout faire pas à pas, formidable !


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:28:51, on 24/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\mobsync.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\No\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpld...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoD...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/curre...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: UWVWPXTYE - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\UWVWPXTYE.exe
O23 - Service: VX - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\VX.exe
O23 - Service: XRMUAZEY - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\XRMUAZEY.exe
O23 - Service: XT - Sysinternals - www.sysinternals.com - C:\Users\No\AppData\Local\Temp\XT.exe

--
End of file - 5251 bytes


bonjour
je suis sur vista et avast me detecte un rootkit qui se situe dans C:\Windows\System32\drivers il se nomme zyefak.sys
impossible de le supprimer il me dit impossible de lire a partir de la disquette source???!!.???
j'ai essaié tous les anti rootkit lol il le reconnaisse mais sont incapable de le supprimer alors je c plus quoi faire si quelqu'un pouvais m'aider sa seai super
merci d'avance

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3615
Windows 6.0.6000
Internet Explorer 7.0.6000.16982

26/01/2010 14:20:19
mbam-log-2010-01-26 (14-20-19).txt

Type de recherche: Examen rapide
Eléments examinés: 1
Temps écoulé: 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\windows\system32\drivers\zyefak.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Expert Windows

bonjour dim34,

Préférable que vous ouvriez un sujet à vous.

L'infection a été supprimer en partie ou en totalité ?
Pour vérifier ça, postez un diagnostique du PC d'Hijackthis.
• Téléchargez HijackThis et installer le par un clic-droit > "Exécuter en tant qu'Adm."
• Appuyer sur ..

voici le log de hijack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:35, on 26/01/2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16982)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Windows\StiD1210.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATIEDE.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Hercules\WiFi Station pour Livebox\WiFiLB.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Users\elodie\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\elodie\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\eMule\emule.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WaitingDog] C:\Windows\StiD1210.exe
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\PROGRA~2\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LGPCSuiteLanucher] "C:\Program Files\LG PC Suite 2\LGPCSuiteLanucher_Setup.exe" /tray
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Windows\bureau\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [EPSON SX100 Series (Copie 1)] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\Windows\TEMP\E_SFC8E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: BoontyBox 01net.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: Outil de notification Live Search.lnk = elodie\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: WiFi Station pour Livebox.lnk = C:\Program Files\Hercules\WiFi Station pour Livebox\WiFiLB.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O13 - Gopher Prefix:
O15 - Trusted Zone: *.chat-land.org
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.20/cfweb_a...
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/Gam...
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Ap...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 13015 bytes

Bonjours cosmido, vous avez l'air de bien vousy connaitre alors je vous le demande:
D'après ce que j'ai vu les rootkits s'installeraient sur les drivers. Mon problème c'est que bitdefender m'a detecté un rootkit avec 1560 fichiers infectés (mais il n'a pas pu les supprimer). Or lorsque je demande la source "du mal" il me dit que cela vient de SDK. Ce sont des scans que j'ai téléchargé. C'est possible? Ce sont des images pourtant, pas des drivers. Bref j'aimerais pouvoir m'en débarrasser et ce en évitant au maximum de formater mon pc! Vous pouvez m'aider.

Bonjour !

Je me permets de re demander de l'aide, car ce rootkit n'a toujours pas disparu, argh !
J'ai exécuté Antivir, Malwarebytes ainsi qu'Ad remover, ils détectent toujours quelque chose, l'efface, redémarre mais il est encore et toujours présent ! il se trouve dans system32... Si quelqu'un veut bien m'aider encore une fois, ca devient vraiment lassant et énervant !
Merci d'avance !
Lassé par la pub ? Créez un compte

Répondre Créer un nouveau sujet