Cpu 50 % - Svchost

Ouach · Message par **Ouach** » 19 déc. 2009, 12:50

Bonjour ,

alotrs comme prévu j'ai mis les drivers à, jours exepté celui ci Via Technologies DriveStation V-RAID (drivers 5.80F WHQL) car windows me disait qu'il ne trouvait pas le matériel.
de la j'ai redémarré et le svchost à l'origine de mon post a refait son apparition.

Via tout les étapes précédentes j'ai réussi à collecter quelque information que voici .

J'ai utilisé process explorer et cliqué droit sur le svchost gourmand puis cliqué sur propereties...

Dans l'onglet environment :

Dans l'onglet "image":

Tout les autre onglets ne contenait pas d'informations particulières mis à part l'onglet "strings" qui était d'une taille assez conséquente et qui part endoit comporté des chiffres ,lettres et symboles sans signification apparente (du moins pour moi) je ferais une copie de cette onglet si besoin.

Merci d'avance Ouach.

bernard53 · Message par **bernard53** » 19 déc. 2009, 13:36

Déjà ceci pour java.

** Télécharge JavaRA

**Aide en images
Pour Vista : Clic-droit sur setup et choisis "Exécuter en tant qu'administrateur".

après fait ceci.

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau:

Double clique sur RSIT.exe qui se trouve sur ton bureau pour le lancer:
Pour VISTA :
Clic-droit et choisis "Exécuter en tant qu'administrateur".
Ensuite :
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Le rapport va se créer. Pour le mettre sur le forum.

Tout sélectionner : CRTL+ A
Tout copier : CRTL+ C
Tout coller : CRTL+ V

Vous pouvez, une fois posté, le fermer. Ce rapport s’appelle.log.txt

Le rapport est sauvegardé à la racine du disque: C:\rsit\info.txt et C:\rsit\log.txt

Ouach · Message par **Ouach** » 19 déc. 2009, 15:24

Voici le rapport
Logfile of random's system information tool 1.06 (written by random/random)
Run by Roum at 2009-12-19 15:03:49
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 90 GB (41%) free of 218 GB
Total RAM: 2046 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04:02, on 19/12/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Roum\Desktop\RSIT.exe
C:\Program Files\trend micro\Roum.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: siszyd32.exe
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install ... stallX.CAB
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate1c9ba0155b52bc0) (gupdate1c9ba0155b52bc0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Avid Technology, Inc. - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 6972 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\User_Feed_Synchronization-{09B308F4-8679-4DF4-A0FC-0E19B87093C2}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-03-15 370296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-12-19 41760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-11-25 81000]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-04-17 6111232]
"TkBellExe"=C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2008-03-15 185896]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288]
"IntelliPoint"=C:\Program Files\Microsoft IntelliPoint\ipoint.exe [2009-05-28 1468296]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RayV]
C:\Program Files\RayV\RayV\RayV.exe [2008-08-31 3708200]

C:\Users\Roum\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
siszyd32.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableLUA"=0
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*
.reg - open - "regedit.exe" "%1"

======List of files/folders created in the last 1 months======

2009-12-19 13:58:41 ----D---- C:\rsit
2009-12-19 13:47:05 ----D---- C:\Program Files\trend micro
2009-12-19 13:39:13 ----A---- C:\Windows\system32\javaws.exe
2009-12-19 13:39:13 ----A---- C:\Windows\system32\javaw.exe
2009-12-19 13:39:13 ----A---- C:\Windows\system32\java.exe
2009-12-19 13:39:13 ----A---- C:\Windows\system32\deploytk.dll
2009-12-19 11:51:28 ----D---- C:\Program Files\Microsoft IntelliPoint
2009-12-19 11:51:01 ----D---- C:\Windows\PCHEALTH
2009-12-19 11:42:55 ----D---- C:\ProgramData\NVIDIA
2009-12-19 11:40:51 ----D---- C:\Program Files\NVIDIA Corporation
2009-12-19 11:39:17 ----A---- C:\Windows\system32\OpenCL.dll
2009-12-19 11:39:17 ----A---- C:\Windows\system32\nvwgf2um.dll
2009-12-19 11:39:17 ----A---- C:\Windows\system32\dpinst.exe
2009-12-19 11:39:14 ----A---- C:\Windows\system32\nvoglv32.dll
2009-12-19 11:39:13 ----A---- C:\Windows\system32\nvcuvid.dll
2009-12-19 11:39:13 ----A---- C:\Windows\system32\nvcuvenc.dll
2009-12-19 11:39:13 ----A---- C:\Windows\system32\nvcuda.dll
2009-12-19 11:39:10 ----A---- C:\Windows\system32\nvcompiler.dll
2009-12-19 11:39:10 ----A---- C:\Windows\system32\nvcod178.dll
2009-12-19 11:39:10 ----A---- C:\Windows\system32\nvcod.dll
2009-12-19 11:39:05 ----D---- C:\NVIDIA
2009-12-18 19:01:37 ----D---- C:\Program Files\ma-config.com
2009-12-18 19:01:36 ----D---- C:\ProgramData\ma-config.com
2009-12-18 15:05:16 ----SHD---- C:\Config.Msi
2009-12-18 15:03:14 ----D---- C:\Program Files\WhoCrashed
2009-12-14 19:27:30 ----D---- C:\perflogs
2009-12-14 15:36:59 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-12-14 12:52:13 ----A---- C:\Windows\ntbtlog.txt
2009-12-10 03:03:39 ----A---- C:\Windows\system32\nshhttp.dll
2009-12-10 03:03:34 ----A---- C:\Windows\system32\httpapi.dll
2009-12-09 10:36:49 ----A---- C:\Windows\system32\winhttp.dll
2009-12-09 10:36:44 ----A---- C:\Windows\system32\mshtml.dll
2009-12-09 10:36:42 ----A---- C:\Windows\system32\ieframe.dll
2009-12-09 10:36:41 ----A---- C:\Windows\system32\wininet.dll
2009-12-09 10:36:41 ----A---- C:\Windows\system32\urlmon.dll
2009-12-09 10:36:41 ----A---- C:\Windows\system32\iertutil.dll
2009-12-09 10:36:40 ----A---- C:\Windows\system32\occache.dll
2009-12-09 10:36:40 ----A---- C:\Windows\system32\msfeeds.dll
2009-12-09 10:36:40 ----A---- C:\Windows\system32\iedkcs32.dll
2009-12-09 10:36:39 ----A---- C:\Windows\system32\ieui.dll
2009-12-09 10:36:39 ----A---- C:\Windows\system32\iepeers.dll
2009-12-09 10:36:38 ----A---- C:\Windows\system32\msfeedssync.exe
2009-12-09 10:36:38 ----A---- C:\Windows\system32\msfeedsbs.dll
2009-12-09 10:36:38 ----A---- C:\Windows\system32\jsproxy.dll
2009-12-09 10:36:38 ----A---- C:\Windows\system32\ieUnatt.exe
2009-12-09 10:36:38 ----A---- C:\Windows\system32\iesysprep.dll
2009-12-09 10:36:38 ----A---- C:\Windows\system32\iesetup.dll
2009-12-09 10:36:38 ----A---- C:\Windows\system32\iernonce.dll
2009-12-09 10:36:38 ----A---- C:\Windows\system32\ie4uinit.exe
2009-12-09 10:35:34 ----A---- C:\Windows\system32\rastls.dll
2009-12-06 23:02:18 ----D---- C:\ProgramData\Real
2009-11-25 22:24:23 ----A---- C:\Windows\system32\tzres.dll
2009-11-25 10:18:49 ----A---- C:\Windows\system32\msxml6.dll
2009-11-25 10:18:47 ----A---- C:\Windows\system32\msxml3.dll
2009-11-20 20:33:00 ----A---- C:\Windows\system32\nvvsvc.exe
2009-11-20 20:33:00 ----A---- C:\Windows\system32\nvsvcr.dll
2009-11-20 20:33:00 ----A---- C:\Windows\system32\nvsvc.dll
2009-11-20 20:33:00 ----A---- C:\Windows\system32\nvshext.dll
2009-11-20 20:33:00 ----A---- C:\Windows\system32\nvmctray.dll
2009-11-20 20:33:00 ----A---- C:\Windows\system32\nvcpl.dll

======List of files/folders modified in the last 1 months======

2009-12-19 15:02:35 ----D---- C:\Program Files\Mozilla Firefox
2009-12-19 15:01:15 ----D---- C:\Windows\TEMP
2009-12-19 15:00:03 ----D---- C:\Windows\Minidump
2009-12-19 14:59:57 ----D---- C:\Windows
2009-12-19 14:26:43 ----D---- C:\ProgramData
2009-12-19 13:48:04 ----D---- C:\Windows\Prefetch
2009-12-19 13:47:05 ----D---- C:\Program Files
2009-12-19 13:45:46 ----D---- C:\Windows\System32
2009-12-19 13:40:38 ----D---- C:\Program Files\Java
2009-12-19 13:39:41 ----SHD---- C:\Windows\Installer
2009-12-19 13:37:12 ----SHD---- C:\System Volume Information
2009-12-19 12:25:27 ----D---- C:\Windows\system32\drivers
2009-12-19 11:56:23 ----D---- C:\Windows\system32\catroot
2009-12-19 11:56:23 ----D---- C:\Windows\inf
2009-12-19 11:54:48 ----SD---- C:\Users\Roum\AppData\Roaming\Microsoft
2009-12-19 11:54:45 ----D---- C:\Windows\system32\Tasks
2009-12-19 11:51:32 ----D---- C:\Windows\Fonts
2009-12-19 11:51:01 ----D---- C:\Program Files\Common Files\microsoft shared
2009-12-19 11:13:17 ----D---- C:\Windows\system32\wbem
2009-12-19 11:12:07 ----D---- C:\Windows\Tasks
2009-12-19 11:12:07 ----D---- C:\Windows\system32\spool
2009-12-19 11:12:07 ----D---- C:\Windows\system32\Msdtc
2009-12-19 11:12:07 ----D---- C:\Windows\system32\CodeIntegrity
2009-12-19 11:12:07 ----D---- C:\Windows\system32\catroot2
2009-12-19 11:12:07 ----D---- C:\Windows\BDOSCAN8
2009-12-19 11:12:05 ----D---- C:\Users\Roum\AppData\Roaming\Winamp
2009-12-19 11:12:05 ----D---- C:\Users\Roum\AppData\Roaming\teamspeak2
2009-12-19 11:11:52 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-12-19 11:11:50 ----HD---- C:\Program Files\InstallShield Installation Information
2009-12-19 11:11:50 ----D---- C:\Program Files\PhotoFiltre
2009-12-19 11:11:48 ----D---- C:\Program Files\Common Files\LightScribe
2009-12-19 11:11:48 ----D---- C:\Program Files\CCleaner
2009-12-19 11:11:48 ----D---- C:\Program Files\Bonjour
2009-12-19 11:11:38 ----D---- C:\Windows\registration
2009-12-18 19:31:03 ----A---- C:\Windows\NeroDigital.ini
2009-12-18 10:16:34 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-12-18 06:12:55 ----D---- C:\Windows\system32\migration
2009-12-18 06:12:55 ----D---- C:\Windows\system32\fr-FR
2009-12-18 06:12:55 ----D---- C:\Program Files\Internet Explorer
2009-12-18 06:12:54 ----D---- C:\Windows\winsxs
2009-12-18 06:12:53 ----D---- C:\Windows\rescache
2009-12-16 10:23:56 ----SD---- C:\Windows\Downloaded Program Files
2009-12-13 14:52:47 ----D---- C:\Windows\Debug
2009-12-13 14:02:35 ----D---- C:\Users\Roum\AppData\Roaming\My Games
2009-12-10 03:21:23 ----D---- C:\Program Files\Windows Mail
2009-12-06 23:02:09 ----D---- C:\Users\Roum\AppData\Roaming\Real
2009-12-01 21:06:19 ----A---- C:\Windows\system32\mrt.exe
2009-11-25 00:54:29 ----A---- C:\Windows\system32\aswBoot.exe
2009-11-21 03:34:54 ----A---- C:\Windows\system32\nvudisp.exe
2009-11-21 03:34:54 ----A---- C:\Windows\system32\nvd3dum.dll
2009-11-21 03:34:54 ----A---- C:\Windows\system32\nvapi.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Asapi;Asapi; C:\Windows\system32\drivers\Asapi.sys [2002-04-17 11264]
R1 aswRdr;aswRdr; C:\Windows\system32\drivers\aswRdr.sys [2009-11-25 23120]
R1 aswSP;avast! Self Protection; C:\Windows\system32\drivers\aswSP.sys [2009-11-25 114768]
R1 aswTdi;avast! Network Shield Support; C:\Windows\system32\drivers\aswTdi.sys [2009-11-25 48560]
R2 aswFsBlk;aswFsBlk; C:\Windows\system32\DRIVERS\aswFsBlk.sys [2009-11-25 20560]
R2 aswMonFlt;aswMonFlt; C:\Windows\system32\DRIVERS\aswMonFlt.sys [2009-11-25 53328]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service; C:\Windows\system32\DRIVERS\fetnd5bv.sys [2007-04-17 42496]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\System32\Drivers\GEARAspiWDM.sys [2009-03-19 23400]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-04-17 2098904]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2009-11-21 11515752]
R3 pfc;Padus ASPI Shell; C:\Windows\system32\drivers\pfc.sys [2006-01-19 10368]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\Windows\system32\DRIVERS\point32k.sys [2009-05-28 30088]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S3 3xHybrid;Philips SAA713x PCI Card; C:\Windows\system32\DRIVERS\3xHybrid.sys [2007-01-08 1136600]
S3 akwtnkz1;akwtnkz1; C:\Windows\system32\drivers\akwtnkz1.sys []
S3 catchme;catchme; \??\C:\Users\Roum\AppData\Local\Temp\catchme.sys []
S3 driverhardwarev2;driverhardwarev2; \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys [2009-12-18 14336]
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 EuMusDesignVirtualAudioCableWdm;Virtual Audio Cable (WDM); C:\Windows\system32\DRIVERS\vrtaucbl.sys [2007-06-28 52608]
S3 FETNDIS;Service de pilote de carte VIA famille Rhine 10/100Mo Fast Ethernet; C:\Windows\system32\DRIVERS\fetnd5.sys [2006-11-02 45568]
S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MA_CMIDI;M-Audio USB Driver; C:\Windows\system32\drivers\ma_cmidi.sys [2006-08-16 21888]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 2028032]
S3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2009-04-11 73216]
S3 USBCamera;Icatch(IV) Still Camera Device; C:\Windows\System32\Drivers\Bulk533.sys []
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-07-09 144712]
R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-11-25 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-11-25 138680]
R2 Bonjour Service;Service Bonjour; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2006-10-19 61440]
R2 MA_CMIDI_InstallerService;M-Audio Series II MIDI Installer; C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe [2007-06-11 86016]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-11-20 122984]
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-11-20 240232]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-11-25 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-11-25 352920]
S2 gupdate1c9ba0155b52bc0;Service Google Update (gupdate1c9ba0155b52bc0); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-04-10 133104]
S3 Adobe LM Service;Adobe LM Service; C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe []
S3 Boonty Games;Boonty Games; C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe [2008-05-07 69120]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-04-11 654848]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 getPlusHelper;@C:\Program Files\NOS\bin\getPlus_Helper.dll,-101; C:\Windows\System32\svchost.exe [2008-01-19 21504]
S3 iPod Service;Service de l’iPod; C:\Program Files\iPod\bin\iPodService.exe [2009-07-13 542496]
S3 maconfservice;Ma-Config Service; C:\Program Files\ma-config.com\maconfservice.exe [2009-12-17 243056]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2006-12-05 774144]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2006-12-23 262144]

-----------------EOF-----------------

Ceci dit au passage le fameux svchost.exe n'etait pas actif au moment du "scan"...

j'ai redémarré entre mon post précedent et celui ci.(qui c'est soldé quelque fois par des écrans bleu "resetant" le pc avant de reussir

).
Et le message d'avsat apparait aussi pour le soit disant rootkit dpvmz.sys

Merci encore.

bernard53 · Message par **bernard53** » 19 déc. 2009, 15:38

Fait ceci pour accéder a hijackthis qui a été renommé.

Démarrer>Exécuter ou (Touche windows+R) puis fait un copier coller de ceci.

C:\Program Files\Trend Micro

Ensuite clique droit sur Roum.exe b] puis

Relance HijackThis renommé en Roum.exe b] >puis : Do a system scan only > coche ces lignes: ensuite valides sur Fix checked

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - Startup: siszyd32.exe

puis ceci.

Installe Malewarebytes' Antimalware,
Téléchargement et tuto

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.
*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Rien dans ce rapport qui signale ce dpvmz.sys

fait cela et dis moi après.

Ouach · Message par **Ouach** » 19 déc. 2009, 19:29

Voila le rapport :

C:\Program Files\VstPlugins\Ohmforce\Mobilohm VST2\Uninstall Information\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\Ohmforce\Ohmboyz VST2\Uninstall Information\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\Ohmforce\Predatohm VST2\Uninstall Information\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\Nomad Factory\Blue Tubes Bundle\Nomad Factory Blue Tubes Bundle Uninstall\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\Blue Tubes Bundle\Nomad Factory Blue Tubes Bundle Uninstall\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\rgcaudio z3ta+\z3ta+Uninstall\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\discoDSP\Uninstall\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\VST-I\albino\Albino2Fx\albino211ui\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\VST-I\Hypersonic\Hypersonic Content\Uninstall Information\HYPERSONIC\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\VST-I\Hypersonic Content\Uninstall Information\HYPERSONIC\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\Yamaha\Pitch Fix Uninstall\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\VstPlugins\Yamaha\Yamaha 01X Uninstall\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\Waves\DiamondUninstall\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\Waves\Q-Clone\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\Waves\UninstalIL3\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\Recycle\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Windows\System32\drivers\dpvrmz.sys (Rootkit.Agent) -> No action taken.
C:\Windows\winsxs\Backup\x86_microsoft-windows-i..er-engine.resources_31bf3856ad364e35_6.0.6002.18005_lt-lt_bf12ba06fdc0c65b_msimsg.dll.mui_72e8994f (Trojan.Dropper) -> No action taken.
C:\$RECYCLE.BIN\S-1-5-21-4072832112-4049359469-3962481220-1000\$RE999FJ\Sony.Sound.Forge.Audio.Studio.9.0.Build.85.Winall.Cracked-NoPE\crack\sony.sound.forge.audio.studio.9.0.build.85-NoPE.exe (Trojan.Downloader) -> No action taken.
C:\$RECYCLE.BIN\S-1-5-21-4072832112-4049359469-3962481220-1000\$RGQIUUX\Documentation\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
J:\$RECYCLE.BIN\S-1-5-21-4072832112-4049359469-3962481220-1000\$R9DRF0P\Adobe After Effects CS3 - KeyGen.exe (Trojan.Agent) -> No action taken.
J:\Logiciels\Guru\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Users\Roum\AppData\Roaming\avdrn.dat (Malware.Trace) -> No action taken.
C:\Users\Roum\AppData\Roaming\fvgqad.dat (Malware.Trace) -> No action taken.

Ouach · Message par **Ouach** » 19 déc. 2009, 19:59

Donc alors apres avoir supprimé tout les anomalies que malwarebytes me trouvaient,mon pc a procédé tout seul à un redemarrage "en bonne et due forme" c'est à dire comme si c'était pas le biais d'une de mes actions...de la il m'a refait le coup du crash avec reset pc et ecran bleu la premiere fois avant d'avoir atteint le bureau puis apres ça il a démarré normalement.

Voilà...donc affaire à suivre

Ps: je réédite ce message car avast viens de me réafficher "un rootkit a été trouvé" en me recitant dpvrmz.sys.....lequel meme m'avait été signalé par malwarbyte's et que j'avais supprimé avec tout les autres avant que le pc ne reboot tout seul...

Message par **nardino** » 20 déc. 2009, 12:49

Bonjour.

Télécharge Combofix

IMPORTANT. Enregistre ComboFix.exe sur le Bureau.
Désactive les applications antivirus et anti-malware, en général via un clic droit sur l'icône de la Zone de notification.
Sinon, elles risquent d'interférer avec l'outil.

Fais un double clic sur l'icône et suis les invites.

Lorsque l'outil aura terminé, il affichera un rapport.
Un redémarrage est parfois nécessaire et provoqué.
Copie le contenu dans ta prochaine réponse.
Il sera enregistré sous C:\Combofix.txt

@+

Ouach · Message par **Ouach** » 20 déc. 2009, 20:32

Salutation.

alors comme prévu téléchargé sur le bureau combo fix arrété via la barre et le gestionnaire des taches avast et spybot.
Lancé combofix qui a redémarré mon pc afin de faire son truc...une fois fini il a procédé de nouveau a un redemarrage cette fois ci dans le but d'atteindre le bureau..il y a eu le fameux ecran bleu crash qui est apparu avant qu'il ne soit atteint...ensuite de la combofix me dit qu'il créé un rapport et au bout d'un moment se ferme.
a ce moment la une fois que combo a fini avast se réouvre et me parle encore dece "rootkit dpvrmz.sys" que je choisi d'ignorer.
Ensuite j'essaie differente action sur mon pc qui se solde par un echec (ouvrir explorateur window..programmes ...) une fenetre s'affiche en me disant une truc du genre :
"........marqué pour une clé de registre de suppression...." (c'est approximatif ).

donc je redemarre avec toujours l'ecran bleu de crash avant de reussir et la je peux denouveau me servir de mon pc..

ci joint le rapport combo:
ComboFix 09-12-19.03 - Roum 20/12/2009 19:34:36.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.917 [GMT 1:00]
Lancé depuis: c:\users\Roum\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 081120-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1229 [VPS 081120-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\data
c:\data\Projects\Templates\test.swf
C:\LHT8B74.tmp
c:\windows\system32\msvcsv60.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Boonty Games

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-20 au 2009-12-20 ))))))))))))))))))))))))))))))))))))
.

2009-12-20 18:48 . 2009-12-20 18:53 -------- d-----w- c:\users\Roum\AppData\Local\temp
2009-12-20 18:48 . 2009-12-20 18:48 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-12-19 14:45 . 2009-12-19 14:45 -------- d-----w- c:\users\Roum\AppData\Roaming\Malwarebytes
2009-12-19 14:45 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-19 14:45 . 2009-12-19 14:45 -------- d-----w- c:\programdata\Malwarebytes
2009-12-19 14:45 . 2009-12-19 18:13 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-19 14:45 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-19 12:58 . 2009-12-19 12:59 -------- d-----w- C:\rsit
2009-12-19 12:47 . 2009-12-19 15:00 -------- d-----w- c:\program files\trend micro
2009-12-19 12:39 . 2009-12-19 12:38 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-19 10:55 . 2009-05-05 08:59 22168 ----a-w- c:\windows\system32\drivers\xfilt.sys
2009-12-19 10:55 . 2009-05-05 08:58 13976 ----a-w- c:\windows\system32\drivers\videX32.sys
2009-12-19 10:51 . 2009-12-19 10:51 -------- d-----w- c:\program files\Microsoft IntelliPoint
2009-12-19 10:51 . 2009-12-19 10:51 -------- d-----w- c:\windows\PCHEALTH
2009-12-19 10:42 . 2009-12-20 18:52 -------- d-----w- c:\programdata\NVIDIA
2009-12-19 10:40 . 2009-12-19 10:42 -------- d-----w- c:\program files\NVIDIA Corporation
2009-12-19 10:39 . 2009-11-21 02:34 795104 ----a-w- c:\windows\system32\dpinst.exe
2009-12-19 10:39 . 2009-11-21 02:34 76392 ----a-w- c:\windows\system32\OpenCL.dll
2009-12-19 10:39 . 2009-11-21 02:34 4241000 ----a-w- c:\windows\system32\nvwgf2um.dll
2009-12-19 10:39 . 2009-11-21 02:34 11515752 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2009-12-19 10:39 . 2009-11-21 02:34 14064232 ----a-w- c:\windows\system32\nvoglv32.dll
2009-12-19 10:39 . 2009-11-21 02:34 4001384 ----a-w- c:\windows\system32\nvcuda.dll
2009-12-19 10:39 . 2009-11-21 02:34 2243176 ----a-w- c:\windows\system32\nvcuvid.dll
2009-12-19 10:39 . 2009-11-21 02:34 1989224 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-12-19 10:39 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod178.dll
2009-12-19 10:39 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod.dll
2009-12-19 10:39 . 2009-11-21 02:34 11381352 ----a-w- c:\windows\system32\nvcompiler.dll
2009-12-19 10:39 . 2009-12-19 10:39 -------- d-----w- C:\NVIDIA
2009-12-18 18:39 . 2009-12-18 18:40 -------- d-----w- c:\users\Roum\mes drivers
2009-12-18 18:01 . 2009-12-19 10:34 -------- d-----w- c:\program files\ma-config.com
2009-12-18 18:01 . 2009-12-19 10:34 -------- d-----w- c:\programdata\ma-config.com
2009-12-18 14:03 . 2009-12-18 14:05 -------- d-----w- c:\program files\WhoCrashed
2009-12-16 09:07 . 2009-12-16 09:06 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-12-16 09:06 . 2009-12-16 09:07 -------- d-----w- c:\users\Roum\.housecall6.6
2009-12-14 18:27 . 2009-12-14 18:27 -------- d-----w- C:\perflogs
2009-12-14 14:36 . 2009-12-14 14:41 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-10 02:03 . 2009-11-09 12:31 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-12-10 02:03 . 2009-11-09 10:36 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-12-10 02:03 . 2009-11-09 12:30 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-12-09 09:35 . 2009-10-07 11:36 243712 ----a-w- c:\windows\system32\rastls.dll
2009-11-25 21:24 . 2009-10-29 09:17 2048 ----a-w- c:\windows\system32\tzres.dll
2009-11-25 09:18 . 2009-08-11 16:44 1401856 ----a-w- c:\windows\system32\msxml6.dll
2009-11-25 09:18 . 2009-08-11 16:44 1248768 ----a-w- c:\windows\system32\msxml3.dll
2009-11-20 19:33 . 2009-11-20 19:33 812648 ----a-w- c:\windows\system32\nvsvc.dll
2009-11-20 19:33 . 2009-11-20 19:33 66664 ----a-w- c:\windows\system32\nvshext.dll
2009-11-20 19:33 . 2009-11-20 19:33 1323624 ----a-w- c:\windows\system32\nvsvcr.dll
2009-11-20 19:33 . 2009-11-20 19:33 12685928 ----a-w- c:\windows\system32\nvcpl.dll
2009-11-20 19:33 . 2009-11-20 19:33 122984 ----a-w- c:\windows\system32\nvvsvc.exe
2009-11-20 19:33 . 2009-11-20 19:33 110184 ----a-w- c:\windows\system32\nvmctray.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-20 18:52 . 2009-12-19 10:49 34800 ----a-w- c:\programdata\nvModes.dat
2009-12-20 12:16 . 2006-11-02 15:48 714378 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-20 12:16 . 2006-11-02 15:48 143166 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-19 18:36 . 2008-07-05 18:09 -------- d-----w- c:\program files\Recycle
2009-12-19 12:40 . 2008-03-15 12:44 -------- d-----w- c:\program files\Java
2009-12-19 10:55 . 2008-03-12 05:42 51400 ----a-w- c:\users\Roum\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-19 10:12 . 2008-12-06 00:12 -------- d-----w- c:\users\Roum\AppData\Roaming\teamspeak2
2009-12-19 10:12 . 2008-03-31 20:27 -------- d-----w- c:\users\Roum\AppData\Roaming\Winamp
2009-12-19 10:11 . 2008-03-12 14:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-12-19 10:11 . 2008-04-02 20:30 -------- d-----w- c:\program files\PhotoFiltre
2009-12-19 10:11 . 2007-05-11 12:03 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-19 10:11 . 2008-03-26 17:33 -------- d-----w- c:\program files\Bonjour
2009-12-19 10:11 . 2008-03-17 20:07 -------- d-----w- c:\program files\CCleaner
2009-12-19 10:11 . 2007-06-12 09:25 -------- d-----w- c:\program files\Common Files\LightScribe
2009-12-13 13:02 . 2008-10-08 03:04 -------- d-----w- c:\users\Roum\AppData\Roaming\My Games
2009-12-10 02:21 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-11-24 23:54 . 2008-03-16 16:45 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:50 . 2008-03-31 16:26 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-03-31 16:26 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2008-03-16 16:45 53328 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2009-11-24 23:49 . 2008-03-16 16:45 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-03-16 16:45 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-03-16 16:45 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-21 06:40 . 2009-12-09 09:36 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-09 09:36 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-09 09:36 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-09 09:36 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-21 02:34 . 2009-12-19 10:39 10920 ----a-w- c:\windows\system32\drivers\nvBridge.kmd
2009-11-21 02:34 . 2007-06-11 14:29 592488 ----a-w- c:\windows\system32\nvudisp.exe
2009-11-21 02:34 . 2007-06-11 14:29 9333352 ----a-w- c:\windows\system32\nvd3dum.dll
2009-11-21 02:34 . 2007-06-11 14:29 1249896 ----a-w- c:\windows\system32\nvapi.dll
2009-11-19 21:54 . 2008-05-06 00:13 80 ----a-w- c:\windows\msocreg32.dat
2009-11-19 20:42 . 2007-06-12 07:18 592488 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-11-18 03:21 . 2009-11-18 03:21 -------- d-----w- c:\program files\Windows Portable Devices
2009-11-18 03:21 . 2009-11-18 03:21 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-10-27 10:08 . 2009-04-11 15:37 -------- d-----w- c:\program files\Common Files\Adobe
2009-10-27 10:03 . 2009-05-08 10:05 -------- d-----w- c:\program files\NOS
2009-10-08 21:08 . 2009-11-18 02:00 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll
2009-10-08 21:08 . 2009-11-18 02:00 234496 ----a-w- c:\windows\system32\oleacc.dll
2009-10-08 21:07 . 2009-11-18 02:00 4096 ----a-w- c:\windows\system32\oleaccrc.dll
2009-10-01 01:02 . 2009-11-18 02:02 2537472 ----a-w- c:\windows\system32\wpdshext.dll
2009-10-01 01:02 . 2009-11-18 02:02 30208 ----a-w- c:\windows\system32\WPDShextAutoplay.exe
2009-10-01 01:02 . 2009-11-18 02:02 334848 ----a-w- c:\windows\system32\PortableDeviceApi.dll
2009-10-01 01:02 . 2009-11-18 02:02 87552 ----a-w- c:\windows\system32\WPDShServiceObj.dll
2009-10-01 01:02 . 2009-11-18 02:02 31232 ----a-w- c:\windows\system32\BthMtpContextHandler.dll
2009-10-01 01:01 . 2009-11-18 02:02 546816 ----a-w- c:\windows\system32\wpd_ci.dll
2009-10-01 01:01 . 2009-11-18 02:02 160256 ----a-w- c:\windows\system32\PortableDeviceTypes.dll
2009-10-01 01:01 . 2009-11-18 02:02 60928 ----a-w- c:\windows\system32\PortableDeviceConnectApi.dll
2009-10-01 01:01 . 2009-11-18 02:02 100864 ----a-w- c:\windows\system32\PortableDeviceClassExtension.dll
2009-10-01 01:01 . 2009-11-18 02:02 350208 ----a-w- c:\windows\system32\WPDSp.dll
2009-10-01 01:01 . 2009-11-18 02:02 196608 ----a-w- c:\windows\system32\PortableDeviceWMDRM.dll
2009-10-01 01:01 . 2009-11-18 02:02 81920 ----a-w- c:\windows\system32\wpdbusenum.dll
2009-09-25 02:10 . 2009-11-18 02:03 974848 ----a-w- c:\windows\system32\WindowsCodecs.dll
2009-09-25 02:07 . 2009-11-18 02:03 189440 ----a-w- c:\windows\system32\WindowsCodecsExt.dll
2009-09-25 02:04 . 2009-11-18 02:03 321024 ----a-w- c:\windows\system32\PhotoMetadataHandler.dll
2009-09-25 01:49 . 2009-11-18 02:03 1554432 ----a-w- c:\windows\system32\xpsservices.dll
2009-09-25 01:48 . 2009-11-18 02:03 351232 ----a-w- c:\windows\system32\XpsPrint.dll
2009-09-25 01:38 . 2009-11-18 02:03 847360 ----a-w- c:\windows\system32\OpcServices.dll
2009-09-25 01:36 . 2009-11-18 02:03 280064 ----a-w- c:\windows\system32\XpsGdiConverter.dll
2009-09-25 01:35 . 2009-11-18 02:03 135680 ----a-w- c:\windows\system32\XpsRasterService.dll
2009-09-25 01:33 . 2009-11-18 02:03 195584 ----a-w- c:\windows\system32\dxdiagn.dll
2009-09-25 01:33 . 2009-11-18 02:03 829440 ----a-w- c:\windows\system32\d3d10warp.dll
2009-09-25 01:33 . 2009-11-18 02:03 369664 ----a-w- c:\windows\system32\WMPhoto.dll
2009-09-25 01:32 . 2009-11-18 02:03 252928 ----a-w- c:\windows\system32\dxdiag.exe
2009-09-25 01:31 . 2009-11-18 02:03 519680 ----a-w- c:\windows\system32\d3d11.dll
2009-09-25 01:31 . 2009-11-18 02:03 486912 ----a-w- c:\windows\system32\d3d10level9.dll
2009-09-25 01:31 . 2009-11-18 02:03 161280 ----a-w- c:\windows\system32\d3d10_1.dll
2009-09-25 01:31 . 2009-11-18 02:03 218112 ----a-w- c:\windows\system32\d3d10_1core.dll
2009-09-25 01:31 . 2009-11-18 02:03 1030144 ----a-w- c:\windows\system32\d3d10.dll
2009-09-25 01:31 . 2009-11-18 02:03 828928 ----a-w- c:\windows\system32\d2d1.dll
2009-09-25 01:30 . 2009-11-18 02:03 190464 ----a-w- c:\windows\system32\d3d10core.dll
2009-09-25 01:30 . 2009-11-18 02:03 481792 ----a-w- c:\windows\system32\dxgi.dll
2009-09-25 01:27 . 2009-11-18 02:03 634880 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2009-09-25 01:27 . 2009-11-18 02:03 37888 ----a-w- c:\windows\system32\cdd.dll
2009-09-25 01:27 . 2009-11-18 02:03 793088 ----a-w- c:\windows\system32\FntCache.dll
2009-09-25 01:27 . 2009-11-18 02:03 1064448 ----a-w- c:\windows\system32\DWrite.dll
2009-09-24 22:54 . 2009-11-18 02:03 258048 ----a-w- c:\windows\system32\winspool.drv
2009-09-24 22:54 . 2009-11-18 02:03 667648 ----a-w- c:\windows\system32\printfilterpipelinesvc.exe
2009-09-24 22:54 . 2009-11-18 02:03 26112 ----a-w- c:\windows\system32\printfilterpipelineprxy.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2009-05-28 1468296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi2"=ma_cmidn.dll
"midi3"=ma_cmidn.dll
"midi4"=ma_cmidn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\I:\0autocheck autochk *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RayV]
2008-08-31 11:19 3708200 ----a-w- c:\program files\RayV\RayV\RayV.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):62,66,6f,d2,c5,3f,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-4072832112-4049359469-3962481220-1000]
"EnableNotificationsRef"=dword:00000002

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\System32\drivers\xfilt.sys [19/12/2009 11:55 22168]
R1 Asapi;Asapi;c:\windows\System32\drivers\asapi.sys [30/04/2008 13:17 11264]
R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [31/03/2008 17:26 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [31/03/2008 17:26 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [16/03/2008 17:45 53328]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [14/12/2009 15:37 1153368]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [20/11/2009 19:17 240232]
S2 gupdate1c9ba0155b52bc0;Service Google Update (gupdate1c9ba0155b52bc0);c:\program files\Google\Update\GoogleUpdate.exe [10/04/2009 18:25 133104]
S3 3xHybrid;Philips SAA713x PCI Card;c:\windows\System32\drivers\3xhybrid.sys [09/05/2007 11:02 1136600]
S3 EuMusDesignVirtualAudioCableWdm;Virtual Audio Cable (WDM);c:\windows\System32\drivers\vrtaucbl.sys [16/03/2008 10:37 52608]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [28/04/2008 17:40 21504]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [17/12/2009 19:00 243056]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - dpvrmz

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
getPlusHelper REG_MULTI_SZ getPlusHelper
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\users\Roum\AppData\Roaming\Mozilla\Firefox\Profiles\q0awamy7.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla

official
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-AKAI professional VST Collection v1.0 - c:\progra~1\VSTPLU~1\VSTPLU~1\UNWISE.EXE
AddRemove-Antares Autotune DX v4.12 - c:\progra~1\Antares\AUTOTU~1\ANTARE~1\UNWISE.EXE
AddRemove-Antares AVOX Vocal Kit Bundle VST v1.02 - c:\progra~1\VSTPLU~1\AVOXVO~1\Choir\UNWISE.EXE
AddRemove-Antares Filter VST DX v1.0 - c:\progra~1\Antares\UNINST~1\UNWISE.EXE
AddRemove-Applied Accoustics String Studio VS 1 VST DX v1.0 - c:\progra~1\AAS\STRING~1.0\UNWISE.EXE
AddRemove-Applied Accoustics UltraAnalog VA-1 v1.01 - c:\progra~1\AAS\ULTRAA~1.0\UNWISE.EXE
AddRemove-Audio Damage DubStation VST v1.0.2.0 - c:\progra~1\VSTPLU~1\AUDIOD~1\DUBUNI~1\UNWISE.EXE
AddRemove-BugPack1 - c:\program files\Image-Line\FL Studio 7\Plugins\VST\BugPack1\BugPack1 Uninstall.exe
AddRemove-DiscoDSP Discovery VSTi v2.0 XE - c:\progra~1\VSTPLU~1\discoDSP\UNINST~1\UNWISE.EXE
AddRemove-FL Studio 7 - j:\logiciels\uninstall.exe
AddRemove-HLOP_is1 - c:\program files\Image-Line\FL Studio 6\Plugins\VST\discoDSP\unins000.exe
AddRemove-iZotope Spectron v1.0.6 - c:\progra~1\iZotope\Spectron\UNWISE.EXE
AddRemove-IZotope Trash DX VST RTAS v1.07 - c:\progra~1\iZotope\trash\UNWISE.EXE
AddRemove-LinPlug DeltaIII VSTi v3.0.5 - c:\progra~1\VSTPLU~1\DeltaIII\UNWISE.EXE
AddRemove-LinPlug ElementP - c:\program files\VSTPLUGINS\UninstalElementP.exe
AddRemove-LinPlug RM 2 - c:\program files\VSTPLUGINS\UninstalRM2.exe
AddRemove-LinPlug RM IV Demo - c:\program files\VstPlugins\UninstalRMIV.exe
AddRemove-Lounge Lizard EP-2 v2.0 - c:\progra~1\AAS\LOUNGE~1\UNINST~1\UNWISE.EXE
AddRemove-Native.Instruments.Kontakt.v2.0.2.007 - c:\progra~1\NATIVE~1\KONTAK~1\UNWISE.EXE
AddRemove-Nomad Factory Blue Tubes Bundle v2.0 - c:\progra~1\IMAGE-~1\FLSTUD~3\Plugins\VST\BLUETU~1\NOMADF~1\UNWISE.EXE
AddRemove-Nomad Factory Liquid Bundle VST v1.6 - c:\progra~1\IMAGE-~1\FLSTUD~3\Plugins\VST\LIQUID~1\UNWISE.EXE
AddRemove-Nomad Factory Rock Amp Legends VST v1.0 - c:\progra~1\IMAGE-~1\FLSTUD~3\Plugins\VST\VSTPLU~1\NOMADF~1\UNWISE.EXE
AddRemove-Ohmforce Hematohm PRO VST v1.22 - c:\progra~1\VSTPLU~1\Ohmforce\HEMATO~1\UNINST~1\UNWISE.EXE
AddRemove-Ohmforce Mobilohm PRO VST v1.12 - c:\progra~1\VSTPLU~1\Ohmforce\MOBILO~1\UNINST~1\UNWISE.EXE
AddRemove-Ohmforce Ohmboyz PRO VST v1.42 - c:\progra~1\VSTPLU~1\Ohmforce\OHMBOY~1\UNINST~1\UNWISE.EXE
AddRemove-Ohmforce Predatohm PRO VST v1.32 - c:\progra~1\VSTPLU~1\Ohmforce\PREDAT~1\UNINST~1\UNWISE.EXE
AddRemove-Ohmforce Quad Frohmage Pro VST v1.10 - c:\progra~1\VSTPLU~1\Ohmforce\QUADFR~1.10\OHMFOR~1\QUADFR~1\UNWISE.EXE
AddRemove-Reaktor 5 - c:\progra~1\NATIVE~1\REAKTO~1\UNWISE.EXE
AddRemove-ReCycle v2.1 - c:\progra~1\Recycle\UNWISE.EXE
AddRemove-ReFX QuadraSID 6581 VSTi v1.4 - c:\progra~1\IMAGE-~1\FLSTUD~3\Plugins\VST\%VSTPL~1\REFXQU~1.4\UNINST~1\UNWISE.EXE
AddRemove-rgcAudio z3ta Plus v1.40 - c:\progra~1\VSTPLU~1\RGCAUD~1\Z3TA_U~1\UNWISE.EXE
AddRemove-Steinberg Magneto VST v1.5 - c:\progra~1\IMAGE-~1\FLSTUD~3\Plugins\VST\VSTPLU~1\UNWISE.EXE
AddRemove-Steinberg Model-E VSTi v1.1 - c:\progra~1\VSTPLU~1\Model-E\UNWISE.EXE
AddRemove-Steinberg WaveLab 5.00a - c:\progra~1\STEINB~1\WaveLab\UNWISE.EXE
AddRemove-Superwave Performer v1.0 - c:\progra~1\SUPERW~1\SUPERW~1\UNWISE.EXE
AddRemove-Waves Diamond Bundle v5.2 - c:\progra~1\Waves\DIAMON~1\UNWISE.EXE
AddRemove-Waves L3 v5.2 - c:\progra~1\Waves\UNINST~1\UNWISE.EXE
AddRemove-Waves Q-Clone v1.0 - c:\progra~1\Waves\Q-Clone\UNWISE.EXE
AddRemove-WideBug - c:\program files\Image-Line\FL Studio 6\Plugins\VST\WideBug\WideBug Uninstall.exe
AddRemove-Yamaha 01X Channel Module v1.0 - c:\progra~1\VSTPLU~1\Yamaha\YAMAHA~1\UNWISE.EXE
AddRemove-{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7} - c:\program files\NOS\bin\getPlus_HelperSvc.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-20 19:52
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\TEMP\_avast4_\unp93982997.tmp 60416 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys xfilt.sys acpi.sys hal.dll >>UNKNOWN [0x852181F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x887b1d24
\Driver\ACPI -> acpi.sys @ 0x83214d68
\Driver\atapi -> 0x852181f8
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\dpvrmz]

.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\conime.exe
c:\program files\Alwil Software\Avast4\ashDisp.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Microsoft IntelliPoint\dpupdchk.exe
.
**************************************************************************
.
Heure de fin: 2009-12-20 20:03:20 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-20 19:03

Avant-CF: 97 767 477 248 octets libres
Après-CF: 98 557 521 920 octets libres

- - End Of File - - F3ABB9A9DDF5A722EBBE5212FA16FAFD

Merci d'avance Ouach.

Message par **nardino** » 20 déc. 2009, 23:17

Bonsoir.
Merci pour le rapport et les commentaires.
Télécharge RootRepeal sur le bureau depuis l'un de ces liens
http://rootrepeal.googlepages.com/RootRepeal.zip
Crée un dossier RootRepeal à la racine du système : C:\RootRepeal
Décompresses-y l'archive RootRepeal.zip
Désactive les protections résidentes, antivirus, antipsywares.
Dans le dossier créé, double clique sur RootRepeal.exe
Sous Windows Vista/Sept, clic droit sur RootRepeal.exe puis "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Clique sur l'onglet Report

Clique sur le bouton Scan
Dans la nouvelle fenêtre Select Scan, coche tout
Clique sur le bouton OK
Dans la nouvelle fenêtre Select Drives, cocher le lecteur système (généralement C:\)
Clique sur le bouton OK pour lancer l'analyse

Remarque.
Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.

Lorsque l'analyse est terminée, le bouton Save Report sera disponible
Clique sur ce bouton Save Report et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal-$$$$$$.txt
Ouvrir le menu File, cliquer sur Exit pour fermer le programme

Important: Réactive le module résident de l'antivirus et celui de l'antispyware.

Poste par copier-coller l'intégralité du rapport, en plusieurs fois au besoin selon sa taille.
@+

Ouach · Message par **Ouach** » 22 déc. 2009, 18:17

Bonjour,

Voici le rapport du scan:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/12/22 17:40
Program Version: Version 1.3.5.0
Windows Version: Windows Vista SP2
==================================================

Drivers
-------------------
Name: dpvrmz.sys
Image Path: C:\Windows\System32\Drivers\dpvrmz.sys
Address: 0x87E0F000 Size: 1130496 File Visible: No Signed: -
Status: -

Name: dump_atapi.sys
Image Path: C:\Windows\System32\Drivers\dump_atapi.sys
Address: 0x8DF82000 Size: 32768 File Visible: No Signed: -
Status: -

Name: dump_dumpata.sys
Image Path: C:\Windows\System32\Drivers\dump_dumpata.sys
Address: 0x8DF77000 Size: 45056 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\Windows\system32\drivers\rootrepeal.sys
Address: 0x9AFCD000 Size: 49152 File Visible: No Signed: -
Status: -

Name: spmy.sys
Image Path: C:\Windows\System32\Drivers\spmy.sys
Address: 0x80692000 Size: 1048576 File Visible: No Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

==EOF==

une fois fait ce scan j'ai procédé à 1 redemarrage afin que toutes les protections que j'avais arrétées soit remise automatiquement...
Chose rare j'ai réussi à redémarrer sans ecran bleu de crash mais une fois sur le bureau ...icone realtek dans la barre barrée c'est a dire carte son pas en marche...internet inactif alors que modem branché et souris usb inactive...
Donc via le clavier j'effectue un autre démaragge qui se solde par un ecran bleu de crash qui reset...donc redemarrage et je choisi l'option "demarrer normalement"
Demarrage réussi... et a nouveau avast qui me parle à nouveau de ce "virus" dpvrmz.sys que comme à mon habitude je choisi d'ignorer..

voilà ...merci d'avance...

Ouach

Message par **nardino** » 22 déc. 2009, 22:17

Bonsoir
Tu refais un scan avec Malwarebytes et tu supprimes la sélection à la fin.
Tu postes le rapport.
Télécharge CureIt Dr.Web (launch.exe)
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Il ne nécessite pas d'installation.
Tu le lances.
Il va te demander de faire la mise à jour et une fois effectuée va lancer un scan rapide.
Quand tout ceci est fait tu choisis scan sélectif et tu coches au moins C.
A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.
@+

Ouach · Message par **Ouach** » 24 déc. 2009, 10:45

Bonjour,

alors voici le rapport Malwarebytes:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3414
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

23/12/2009 12:34:02
mbam-log-2009-12-23 (12-34-02).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 347254
Temps écoulé: 3 hour(s), 1 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\dpvrmz.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Ensuite Malwarebyte's m'a dit que je devais redémarrer pour que le "nettoyage soit effectif" chose que je n'ai pas faite (peut etre à tort) du faire que la derniere fois ou j'avais néttoyé ce fameux dpvrmz.sys,il avait réapparu au démarrage juste apres un crash..

et voici le rapport Drweb:

RegUBP2b-Roum.reg;C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Supprimé.;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\Roum\Desktop\ComboFix.exe;Probablement BATCH.Virus;;
ComboFix.exe;C:\Documents and Settings\Roum\Desktop;L'archive contient des éléments infectés;Quarantaine.;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\Roum\DoctorWeb\Quarantine\ComboFix.exe;Probablement BATCH.Virus;;
ComboFix.exe;C:\Documents and Settings\Roum\DoctorWeb\Quarantine;L'archive contient des éléments infectés;Quarantaine.;

Merci d'avance et bonne fêtes

Ouach · Message par **Ouach** » 24 déc. 2009, 11:12

chose rare Je viens d'effectuer un redemarrage ou il n'y a pas eu de crash avant d'atteindre le bureau mais avsat me redétecte dpvrmz.sys

Voilà et encore bonne fêtes

Message par **nardino** » 24 déc. 2009, 12:23

Bonjour,
Vide la quarantaine de Malwarebytes.
Et dis-moi si Avast trouve toujours l'intrus.
@+

Ouach · Message par **Ouach** » 28 déc. 2009, 10:35

Bonjour,

Alors oui Avast m'a encore trouvé dpvrmz.z et j'ai le droit a chaque démarrage à mon ecran bleu (quand ce n'est pas plusieurs) avant de réussir à démarrer)

Merci d'avance.

Forum-vista : Entraide et dépannage Windows Vista et Windows Seven

Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost

Re: Cpu 50 % - Svchost