[Réglé] PC infecté par le virus TR/Rootkit.Gen

[coachrider]

bonjour à tous , je fais parti de ceux qui ont leur PC infesté par le virus TR/Rootkit.Gen le mien se trouve dans ce fichier ,C:\Windows\System32\drivers\geunkyw.sys , le scan de antivir viens de s'achever , il ne peut le mettre en quarantaine je ne sais pas quoi faire , ci joint le resultat du scan , j'espere que quelqu'un pourra m'aider , merci par avance .


Avira AntiVir Personal
Date de création du fichier de rapport : samedi 24 avril 2010 19:33

La recherche porte sur 2037171 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-COACH

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:25:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 12:25:56
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 12:25:59
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 12:26:02
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 15:09:55
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 15:09:55
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 15:09:56
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 15:09:56
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 15:09:57
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 15:09:57
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 15:09:58
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 15:09:58
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 15:09:58
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 05:11:29
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 15:04:36
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 15:04:54
VBASE017.VDF : 7.10.6.179 2048 Bytes 22/04/2010 15:04:54
VBASE018.VDF : 7.10.6.180 2048 Bytes 22/04/2010 15:04:54
VBASE019.VDF : 7.10.6.181 2048 Bytes 22/04/2010 15:04:54
VBASE020.VDF : 7.10.6.182 2048 Bytes 22/04/2010 15:04:54
VBASE021.VDF : 7.10.6.183 2048 Bytes 22/04/2010 15:04:54
VBASE022.VDF : 7.10.6.184 2048 Bytes 22/04/2010 15:04:54
VBASE023.VDF : 7.10.6.185 2048 Bytes 22/04/2010 15:04:54
VBASE024.VDF : 7.10.6.186 2048 Bytes 22/04/2010 15:04:54
VBASE025.VDF : 7.10.6.187 2048 Bytes 22/04/2010 15:04:54
VBASE026.VDF : 7.10.6.188 2048 Bytes 22/04/2010 15:04:54
VBASE027.VDF : 7.10.6.189 2048 Bytes 22/04/2010 15:04:54
VBASE028.VDF : 7.10.6.190 2048 Bytes 22/04/2010 15:04:54
VBASE029.VDF : 7.10.6.191 2048 Bytes 22/04/2010 15:04:54
VBASE030.VDF : 7.10.6.192 2048 Bytes 22/04/2010 15:04:55
VBASE031.VDF : 7.10.6.197 65536 Bytes 23/04/2010 15:04:55
Version du moteur : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 15:04:56
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 24/04/2010 15:04:56
AESCN.DLL : 8.1.5.0 127347 Bytes 23/03/2010 12:26:10
AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 15:04:56
AERDL.DLL : 8.1.4.6 541043 Bytes 20/04/2010 05:11:33
AEPACK.DLL : 8.2.1.1 426358 Bytes 23/03/2010 12:26:09
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 23/03/2010 12:26:09
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 20/04/2010 05:11:33
AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 14:11:54
AEGEN.DLL : 8.1.3.7 373106 Bytes 20/04/2010 05:11:31
AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 15:04:55
AECORE.DLL : 8.1.13.1 188790 Bytes 02/04/2010 14:11:50
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 15:04:55
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 23/03/2010 12:26:11
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +PFS,

Début de la recherche : samedi 24 avril 2010 19:33

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geunkyw\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geunkyw\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geunkyw\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geunkyw\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geunkyw\qhacer8df
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geunkyw\q4bf6y4x
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geunkyw\bi6r2eqcy0
[INFO] L'entrée d'enregistrement n'est pas visible.
'157380' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MGSysCtrl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'upeksvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'edd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAANTmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'agrsmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'55' processus ont été contrôlés avec '55' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[INFO] Veuillez relancer la recherche avec les droits d'administrateur

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '47' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <OS_Install>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\geunkyw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <Data>

Début de la désinfection :
C:\Windows\System32\drivers\geunkyw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.



Fin de la recherche : samedi 24 avril 2010 21:34
Temps nécessaire: 1:56:18 Heure(s)

La recherche a été effectuée intégralement

23286 Les répertoires ont été contrôlés
323915 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
323912 Fichiers non infectés
2033 Les archives ont été contrôlées
2 Avertissements
2 Consignes
157380 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés

[Pac428]

Bonsoir et bienvenue Coachrider.

En attendant le passage d'un de nos Helpers, fais tourner > MBAM < stp et poste nous le rapport.

Belle nuit et ++

[coachrider]

Bonjour , merci pour votre réponse , je viens d'effectuer le scan comme vous me l'avez conseillé , je n'ai scanné que le disque C car je pense que tout se passe là , j'espère que je n'ai pas mal agit dans le cas contraire , je n'aurais qu'a le refaire dans son intégralité , je vous joint le rapport , dans l'attente de vous lire , recevez mes sincères salutations

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4033

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

25/04/2010 08:36:25
mbam-log-2010-04-25 (08-36-25).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 276313
Temps écoulé: 55 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\SystemInit (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.nixud.com/) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.nixud.com/) Good: (http://www.google.com) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\coach\AppData\Roaming\hety.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\geunkyw.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

[coachrider]

... par curiosité j'ai refait une analyse du fichié concerné apres avoir redémarré le PC , aparemment il est toujours infecté , malgré le premier rapport qui dit l'avoir mis en quarantaine et détruit ci joins le rapport qui lui aussi me dit à nouveau mis en quarantaine et détruit ! merci encore pour votre aide ...

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4033

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

25/04/2010 08:49:56
mbam-log-2010-04-25 (08-49-56).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 1
Temps écoulé: 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\geunkyw.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

[Pac428]

Salut Coachrider.

Il faudrait mieux scanner l'intégralité du PC parce qu'une infection, ça se passe partout dans le PC.

Quand tu as obtenu la suppression du nuisible il faudrait supprimer tous tes points de restauration

qui sont toujours susceptibles de contenir le nuisible, puis d'en re-créer un "propre".

> si besoin <

Pour plus ou si ça ne suffit pas, un helper va passer pour reprendre la suite.

++

[coachrider]

aloha , je suis allé sur le lien que vous m'avez communiqué pour la marche a suivre afin de supprimer tous les points de restauration une fois le scan total effectué , mais quand je clik sur "nettoyage de disque " j'ai un panneau "options de nettoyage de lecteur " qui apparait mais là il me demande de choisir les fichiers à supprimer: - "mes fichiers uniquement" , ou
-"les fichiers de tous les utilisateurs" je n'ai pas le tableau ou il y a "autre option" et ou je peux choisir comme sur l'exemple montré en suivant le lien , que dois je faire ? merci

[bernard53]

Bonjour coachrider

Pour le moment ne touche pas à la restauration du système s.t.p

Hélas Malwaresbytres n'arrive pas a supprimer ce Rootkit résistant car il faut un outil plus puissant.

>>Télécharge Winsockxpfix sur ton bureau et passe à la suite.

si a tout hasard ta connexion internet n'est plus active après le redémarrage du pc fait cela pour la réparer...

Fait un double clic sur l'icône de WinsockXPFix.


>>clique sur "Fix" > et si ton pc ne redémarre pas,redémarre le manuellement.

PUIS:


Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

[coachrider]

voici le rapport effectué apres le scan de tout le PC ( il est bien court )

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4033

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

25/04/2010 15:07:57
mbam-log-2010-04-25 (15-07-57).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 281874
Temps écoulé: 1 heure(s), 13 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\geunkyw.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

[coachrider]

désolé Bernard53 nos messages se sont croisé , je vais essayer ce que tu me dis , merci

[coachrider]

Bernard53 voila le rapport de combofix demandé , pour information ,j'ai telecharché le WinsockxpFix.exe mais je ne l'ai pas executé , si je veut l'executer on me dit que ce n'est pas compatible avec mon pc , je suis donc passé à combo et voila le rapport , quand j'ai cliké sur Mozilla firefox pour acceder à internet , cela m'a ete refusé , j'ai alors ouvert mozilla firefox en tant q'administrateur, merci

Lancé depuis: c:\users\coach\Desktop\ComboFix.exe
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\%appdata%
c:\windows\system32\drivers\aukndk.sys
c:\windows\system32\drivers\rxjvtvmy.sys

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_fnfgkepy
-------\Service_ueqg


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-25 au 2010-04-25 ))))))))))))))))))))))))))))))))))))
.

2010-04-25 13:30 . 2010-04-25 13:35 -------- d-----w- c:\users\coach\AppData\Local\temp
2010-04-25 13:30 . 2010-04-25 13:30 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-04-25 13:30 . 2010-04-25 13:30 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-04-25 05:37 . 2010-04-25 05:37 -------- d-----w- c:\users\coach\AppData\Roaming\Malwarebytes
2010-04-25 05:36 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-25 05:36 . 2010-04-25 05:36 -------- d-----w- c:\programdata\Malwarebytes
2010-04-25 05:36 . 2010-04-25 05:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-25 05:36 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-14 14:55 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 14:55 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 14:55 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 14:55 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 14:55 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 14:55 . 2010-03-05 14:01 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 14:55 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-14 14:55 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-14 14:55 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 14:54 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 14:54 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-25 12:33 . 2008-11-12 18:19 -------- d-----w- c:\users\coach\AppData\Roaming\uTorrent
2010-04-25 11:37 . 2006-11-02 15:47 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-25 11:37 . 2006-11-02 15:47 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-24 14:46 . 2008-01-07 07:25 -------- d-----w- c:\programdata\Google Updater
2010-04-23 18:20 . 2007-10-27 10:29 -------- d-----w- c:\users\coach\AppData\Roaming\Skype
2010-04-23 17:34 . 2008-05-07 17:21 -------- d-----w- c:\users\coach\AppData\Roaming\skypePM
2010-04-22 06:13 . 2007-10-27 10:29 -------- d-----w- c:\program files\Google
2010-04-14 15:35 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-14 15:32 . 2007-07-16 21:00 -------- d-----w- c:\programdata\Microsoft Help
2010-03-23 12:23 . 2010-03-23 12:23 -------- d-----w- c:\programdata\Avira
2010-03-23 12:23 . 2010-03-23 12:23 -------- d-----w- c:\program files\Avira
2010-03-04 13:54 . 2010-03-04 13:54 -------- d-----w- c:\users\coach\AppData\Roaming\FastStone
2010-03-04 13:54 . 2010-03-04 13:54 -------- d-----w- c:\program files\FastStone Photo Resizer
2010-02-26 17:56 . 2007-10-03 11:15 71848 ----a-w- c:\users\coach\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 08:16 . 2009-10-03 15:21 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-23 06:39 . 2010-03-30 19:04 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-30 19:04 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-02-23 06:33 . 2010-03-30 19:04 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-02-23 04:55 . 2010-03-30 19:04 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-02-20 23:06 . 2010-03-10 20:01 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-02-20 23:05 . 2010-03-10 20:01 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-02-20 20:53 . 2010-03-10 20:01 411648 ----a-w- c:\windows\system32\drivers\http.sys
2010-02-15 08:17 . 2007-10-25 16:26 5632 ----a-w- c:\windows\system32\drivers\StarOpen.sys
2010-02-15 08:16 . 2010-02-15 08:04 89280248 ----a-w- c:\users\coach\AppData\Roaming\Samsung\New PC Studio\LiveUpdate\Setup_For_Full_Update_IH2_7.exe
2010-02-12 10:32 . 2010-03-03 15:56 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-02-10 10:01 . 2010-02-10 10:01 3441144 ----a-w- c:\users\coach\AppData\Roaming\Alicia Keys - Empire State Of Mind (part ii).zip
2010-02-03 18:35 . 2010-02-03 18:35 50354 ----a-w- c:\users\coach\AppData\Roaming\Facebook\uninstall.exe
2010-02-01 22:04 . 2010-02-01 22:04 847040 ----a-w- c:\users\coach\AppData\Roaming\Facebook\axfbootloader.dll
2010-02-01 22:04 . 2010-02-01 22:04 5578752 ----a-w- c:\users\coach\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
2007-03-28 17:54 . 2008-01-07 21:50 865792 ----a-w- c:\program files\mozilla firefox\components\pbgk1_8.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2007-03-28 17:59 2953216 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2007-03-28 17:59 2953216 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-04 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2007-06-06 561152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-28 17:46 90112 ----a-w- c:\windows\System32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^coach^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Notification de cadeaux MSN.lnk]
path=c:\users\coach\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\axis love poll lite]
c:\programdata\Close file byte.lw0ueym [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoamOnce]
c:\programdata\Flap ante ante.ws59zx0 [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42 36272 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2010-02-15 08:18 102400 ----a-w- c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2009-04-11 06:28 1233920 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 12:11 25623336 ----a-r- c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-11 03:17 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-01-04 09:55 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):9c,c5,7c,27,78,21,ca,01

R2 gupdate1c9a9296e8be48e;Service Google Update (gupdate1c9a9296e8be48e);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-20 133104]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
S0 iaNvStor;Intel(R) Turbo Memory Technology NAND Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2007-05-04 208896]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-04-07 233472]
S2 NishService;SCM Driver Daemon;c:\program files\System Control Manager\edd.exe [2006-03-22 40960]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-04-07 36608]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2007-03-26 111104]
S3 MGHwCtrl;MGHwCtrl;c:\windows\system32\drivers\MGHwCtrl.sys [2006-12-22 19456]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - geunkyw

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-04-25 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-10-27 06:58]

2010-04-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-20 06:59]

2010-04-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-20 06:59]

2010-04-24 c:\windows\Tasks\User_Feed_Synchronization-{94FC17B0-3F3A-4D3E-9DC1-9E6CABBB19DD}.job
- c:\windows\system32\msfeedssync.exe [2010-03-30 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
Name-Space Handler: FTP\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
Name-Space Handler: HTTP\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
FF - ProfilePath - c:\users\coach\AppData\Roaming\Mozilla\Firefox\Profiles\wz4euovr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/result ... EF&v=18&q=
FF - prefs.js: browser.search.selectedEngine - Fast Browser Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.fastbrowsersearch.com/result ... &v=18&tid={7C921F2D-D844-24CE-F246-44BD2B9CE67B}&q=
FF - component: c:\users\coach\AppData\Roaming\Mozilla\Firefox\Profiles\wz4euovr.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\users\coach\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\geunkyw]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(692)
c:\windows\system32\psqlpwd.dll
c:\program files\Protector Suite QL\homefus2.dll
c:\program files\Protector Suite QL\infra.dll

- - - - - - - > 'Explorer.exe'(2288)
c:\program files\Protector Suite QL\farchns.dll
c:\program files\Protector Suite QL\infra.dll
c:\program files\CyberLink\PowerDVD\deskband32.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Protector Suite QL\upeksvr.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\conime.exe
.
**************************************************************************
.
Heure de fin: 2010-04-25 15:44:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-25 13:44

Avant-CF: 5 329 432 576 octets libres
Après-CF: 4 916 965 376 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=15 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15
- - End Of File - - 838DFB122B08D05B4CD9CF9370D0C974

[coachrider]

...je viens de me rendre compte que j'aurais du cliké sur winsockFix.exe pour rendre active ma connection internet , je n'avais pas saisi auparavant , jespere que ma façon d'avoir procedé n'est pas néfaste ...

[Pac428]

pas de panique Coachrider, tu es entre de bonne mains

Bonne décontamination et ++

[bernard53]

OK ceci à suivre.




Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\desktop\CFScript.txt" 0

Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :

KillAll::

Rootkit::
C:\Windows\system32\Drivers\geunkyw.sys

RegLockDel::

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\geunkyw]

File::
c:\program files\mozilla firefox\components\pbgk1_8.dll

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:




Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

[coachrider]

Oui je sais que je suis en de bonne main car si je me suis décidé à me connecté à ce forum c'est grace à vous , en voyant ce que vous avez proposé au autre , sans vouloir vous passez de la pommade ... bon j'essaie

[coachrider]

alors j'ai fais directement "window +R" ,le panneau "executer" apparait , en face de ,"ouvrir :" il y a "msconfig" c'est donc là que je colle fsutil... 0 à la place, si j'ai bien compris , quand alors je clik sur OK il y a un panneau qui apparait :
C:\Windows\system32\fsutil.exe et qui dit " tentative d'operation non autorisee sur une cle du registre marquée pour suppression et en clikant sur ok tout s'en va je dois recommencer , suis -je dans le bon panneau au départ ? ,