[Résolu] Malwarebytes' Anti-Malware

[Christelle67]

Salut Mojac,

Ok ca marche, merci d'avoir supprimer nos données personnelles.

Encore bon week-end

[MoJac]

Bonjour Christelle,

1) Pas de nouvelle alerte en relation avec le disque. Donc pour le moment on ne va pas plus loin de ce coté.

2) Un point de restauration a été crée par OTL, donc le mécanisme fonctionne ...

3) La présence de ce "a.exe" (et aussi d'un "a.pif" d'aprés le rapport) me laisse perplexe. Les recherches ne donnent rien de directement exploitable

- Ce n'est bien entendu pas nomal ...
- Le fait qu'un seul des antimalwares sollicité via VirusTotal donne une alerte, peut être interprété de façon opposée:

. faux positif
. nouvelle menace pas encore répertoriée ...

- Une hypothèse est qu'il s'agit d'une tentative d'installation d'un truc pas bien net (mais qui n'a rien fait tant qu'il n'est pas exécuté). Dans l'état actuel des choses on va purement et simplement virer ce truc via un script OTL, ce qui est le plus facile - OTL garde une version en quarantaine au cas où ...

Nouvelle utilisation de OTL (de OldTimer), mais en nettoyage cette fois ci:

• Fais un double clic sur OTL.exe pour lancer l'outil.
  
  Ou clic droit et Exécuter en tant qu'Administrateur sous Vista/Sept
  
• Sélectionne très précisément tout ce qui est en gras et surligné avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL
  
  
  :OTL
  [2010/11/12 18:10:10 | 000,002,855 | ---- | M] () -- C:\Documents and Settings\ARBOGAST\Bureau\a.PIF
  [2010/11/12 18:10:10 | 000,002,547 | -H-- | M] () -- C:\Documents and Settings\ARBOGAST\Bureau\a.exe
  :Commands
  [emptytemp]
  [CREATERESTOREPOINT]
  
  
• Ferme toutes les fenêtres de programme ouvertes (navigateur, traitement de texte, etc...).
  Clique sur le bouton Correction:
  
  Note: Si le redémarrage est demandé, clique sur Oui/Yes
  
• Lors du redémarrage le bloc-note sera ouvert avec le contenu du fichier OTL.txt
  
• Poste son contenu

4) Je te propose de faire un test de présence de rootkit (structure cachée) pour avoir un autre type de point de vue:

Télécharge Rootkit Unhooker et sauvegarde le sur ton bureau

• Double clic sur RKUnhookerLE pour le lancer
  Ou clic droit et Exécuter en tant qu'administrateur sous Vista/Sept
• Clic sur l'onglet Report, puis Clic sur Scan
• Coche Driver, Stealth et décoche le reste.
• Clic sur OK.
• Patiente jusqu'en fin d'analyse, va sur l'onglet File > Save report
• Sauve le rapport sur ton bureau (report.txt).
• Poste le contenu du rapport dans ta prochaine réponse.

Note: si le message ""Rootkit Unhooker has detected a parasite inside itself! It is recommended to remove parasite, okay?" "Rootkit Unhooker a détécté un parasite en lui même !, il est recommandé de supprimer le parasite", ne pas en tenir compte et poursuivre l'analyse.

5) Les modules additionnels de FireFox indiqués permettent une navigation plus fluide en éliminant pas mal d'affichages "parasites". Ceci demande un peu d'habitude, en marche courante. A noter que le module WOT (web of trust) existe aussi en add on pour Internet Explorer.

En fonction des résultats des rapports donnés (Runhooker en particulier) et de ton appréciation sur le fonctionnement de la machine on verra ce qu'il est raisonnable de faire.

A plus

[Christelle67]

Bonsoir Mojac,

J'ai installé Firefox avec les modules DBlockplus et WOT.
Effectivement, plus pub. C'est pas mal. Merci !

Pour info, mon anti-virus m'a donné l'information suivante :
"14/11/2010 18:42:21 Noyau Le fichier 'C:\Documents and
Settings\ARBOGAST\Bureau\a.exe' a été envoyé à ESET pour analyse. "

J'ai lancé OTL pour correction comme demandé. Il a "buggé" : après avoir
effectué le processus, il s'est arrêté, plus d'icônes sur le bureau, pas
moyen de fermer non plus. J'ai utilisé le gestionnaire des tâches pour
redémarrer l'ordinateur.
Voici le rapport :
All processes killed
========== OTL ==========
C:\Documents and Settings\ARBOGAST\Bureau\a.PIF moved successfully.
C:\Documents and Settings\ARBOGAST\Bureau\a.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: ARBOGAST
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 49554 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47131341 bytes
->Flash cache emptied: 534 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 16786 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 10159 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder
emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet
Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 45,00 mb

Restore point Set: OTL Restore Point (0)

OTL by OldTimer - Version 3.2.17.3 log created on 11142010_185801

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

POUR LA SUITE, j'ai pas pu accéder au site pour télécharger Rootkit Unhooker
Message :
La connexion a été réinitialisée
La connexion avec le serveur a été réinitialisée pendant le chargement de la
page.
* Le site est peut-être temporairement indisponible ou surchargé.
Réessayez plus
tard ;

* Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion
au réseau de votre ordinateur ;

* Si votre ordinateur ou votre réseau est protégé par un pare-feu ou
un proxy,
assurez-vous que Firefox est autorisé à accéder au Web.

J'essayerai plus tard...

A bientôt,
Christelle

[Christelle67]

J'ai oublié de te préciser que mon PC a l'air de fonctionner normalement et que je n'ai pas constaté de lenteur en naviguant sur internet.

Bonne soirée,
Christelle

[MoJac]

Bonjour Christelle67,

Décidément ce fichier aura fait réagir beaucoup de monde. Son éradication semble aussi avoir été douloureuse; Au fait, a t'il effectivement disparu de sur le bureau ??

Cela me conforte dans l'idée de jeter un œil du coté rootkit. Il existe plusieurs outil. Je pense utiliser Rootkit unhooker dans un premier temps. Malheureusement son auteur a changé de serveur ... voici la nouvelle procédure, un peu plus compliquée:

Télécharge Rootkit Unhooker et sauvegarde le sur ton bureau

• Ce fichier est maintenant au format .rar. Tu peux obtenir un outil te permettant de le décompresser ici:
  http://www.7-zip.org/
• Donc tu le décompresses sur le bureau afin d'avoir le fichier RKUnhookerLE.exe
  
• Double clic sur RKUnhookerLE pour le lancer
  Ou clic droit et Exécuter en tant qu'administrateur sous Vista/Sept
• Clic sur l'onglet Report, puis Clic sur Scan
• Coche Driver, Stealth et décoche le reste.
• Clic sur OK.
• Patiente jusqu'en fin d'analyse, va sur l'onglet File > Save report
• Sauve le rapport sur ton bureau (report.txt).
• Poste le contenu du rapport dans ta prochaine réponse.

Note: si le message ""Rootkit Unhooker has detected a parasite inside itself! It is recommended to remove parasite, okay?" "Rootkit Unhooker a détecte un parasite en lui même !, il est recommandé de supprimer le parasite", ne pas en tenir compte et poursuivre l'analyse.

On ne va pas faire de l'acharnement non plus (d'autant que la machine à l'air de bien se comporter).

En fonction du résultat on verra ce qu'il est raisonnable de faire.

A plus

[Christelle67]

Bonsoir Mojac,

Je n'ai plus le fichier a:exe ni son raccourci sur le bureau.

Voici le rapport RkU :
RkU Version: 3.8.388.590, Type LE (SR2)
==============================================
OS Name: Windows XP
Version 5.1.2600 (Service Pack 3)
Number of processors #2
==============================================
> >Drivers
==============================================
0xF6D6B000 C:\WINDOWS\system32\drivers\ALCXWDM.SYS 3964928 bytes (Realtek
Semiconductor Corp., Realtek AC'97 Audio Driver (WDM))
0xBF0DF000 C:\WINDOWS\System32\ati3duag.dll 2375680 bytes (ATI Technologies
Inc. , ati3duag.dll)
0x804D7000 C:\WINDOWS\system32\ntoskrnl.exe 2260992 bytes (Microsoft
Corporation, Noyau et système NT)
0x804D7000 PnpManager 2260992 bytes
0x804D7000 RAW 2260992 bytes
0x804D7000 WMIxWDM 2260992 bytes
0xBF800000 Win32k 1855488 bytes
0xBF800000 C:\WINDOWS\System32\win32k.sys 1855488 bytes (Microsoft
Corporation, Pilote Win32 multi-utilisateurs)
0xBF323000 C:\WINDOWS\System32\ativvaxx.dll 1789952 bytes (ATI Technologies
Inc. , Radeon Video Acceleration Universal Driver)
0xF71A3000 C:\WINDOWS\system32\DRIVERS\ati2mtag.sys 1736704 bytes (ATI
Technologies Inc., ATI Radeon WindowsNT Miniport Driver)
0xF73DA000 Ntfs.sys 577536 bytes (Microsoft Corporation, NT File System
Driver)
0xF29C0000 C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 458752 bytes (Microsoft
Corporation, Windows NT SMB Minirdr)
0xF6BF1000 C:\WINDOWS\system32\DRIVERS\update.sys 385024 bytes (Microsoft
Corporation, Update Driver)
0xF2ACB000 C:\WINDOWS\system32\DRIVERS\tcpip.sys 364544 bytes (Microsoft
Corporation, TCP/IP Protocol Driver)
0xEFCF8000 C:\WINDOWS\system32\DRIVERS\srv.sys 360448 bytes (Microsoft
Corporation, Server driver)
0xEFF21000 C:\WINDOWS\system32\DRIVERS\eamon.sys 315392 bytes (ESET, Amon
monitor)
0xBF055000 C:\WINDOWS\System32\ati2cqag.dll 286720 bytes (ATI Technologies
Inc., Central Memory Manager / Queue Server Module)
0xBFFA0000 C:\WINDOWS\System32\ATMFD.DLL 286720 bytes (Adobe Systems
Incorporated, Windows NT OpenType/Type 1 Font Driver)
0xBF09B000 C:\WINDOWS\System32\atikvmag.dll 278528 bytes (ATI Technologies
Inc., Virtual Command And Memory Manager)
0xBF012000 C:\WINDOWS\System32\ati2dvag.dll 274432 bytes (ATI Technologies
Inc., ATI Radeon WindowsNT Display Driver)
0xEFE40000 C:\WINDOWS\System32\Drivers\HTTP.sys 266240 bytes (Microsoft
Corporation, HTTP Protocol Stack)
0xF6C4F000 C:\WINDOWS\system32\DRIVERS\rdpdr.sys 196608 bytes (Microsoft
Corporation, Microsoft RDP Device redirector)
0xF751E000 ACPI.sys 192512 bytes (Microsoft Corporation, Pilote ACPI pour
NT)
0xEFF96000 C:\WINDOWS\system32\DRIVERS\mrxdav.sys 184320 bytes (Microsoft
Corporation, Windows NT WebDav Minirdr)
0xF73AD000 NDIS.sys 184320 bytes (Microsoft Corporation, NDIS 5.1 wrapper
driver)
0xEF485000 C:\WINDOWS\system32\drivers\kmixer.sys 176128 bytes (Microsoft
Corporation, Kernel Mode Audio Mixer)
0xF2A30000 C:\WINDOWS\system32\DRIVERS\rdbss.sys 176128 bytes (Microsoft
Corporation, Redirected Drive Buffering SubSystem Driver)
0xF2AA3000 C:\WINDOWS\system32\DRIVERS\netbt.sys 163840 bytes (Microsoft
Corporation, MBT Transport driver)
0xF74C8000 dmio.sys 155648 bytes (Microsoft Corp., Veritas Software, Pilote
E/S du Gestionnaire de disques NT)
0xF2A7D000 C:\WINDOWS\system32\DRIVERS\ipnat.sys 155648 bytes (Microsoft
Corporation, IP Network Address Translator)
0xF6D47000 C:\WINDOWS\system32\drivers\portcls.sys 147456 bytes (Microsoft
Corporation, Port Class (Class Driver for Port/Miniport Devices))
0xF716B000 C:\WINDOWS\system32\DRIVERS\USBPORT.SYS 147456 bytes (Microsoft
Corporation, USB 1.1 & 2.0 Port Driver)
0xF7148000 C:\WINDOWS\system32\DRIVERS\ks.sys 143360 bytes (Microsoft
Corporation, Kernel CSA Library)
0xF2A5B000 C:\WINDOWS\System32\drivers\afd.sys 139264 bytes (Microsoft
Corporation, Ancillary Function Driver for WinSock)
0x806FF000 ACPI_HAL 134400 bytes
0x806FF000 C:\WINDOWS\system32\hal.dll 134400 bytes (Microsoft Corporation,
Hardware Abstraction Layer DLL)
0xF7490000 fltmgr.sys 131072 bytes (Microsoft Corporation, Microsoft
Filesystem Filter Manager)
0xF74EE000 ftdisk.sys 126976 bytes (Microsoft Corporation, Pilote de disque
à FT)
0xF7393000 Mup.sys 106496 bytes (Microsoft Corporation, Multiple UNC
Provider driver)
0xF74B0000 atapi.sys 98304 bytes (Microsoft Corporation, IDE/ATAPI Port
Driver)
0xF7467000 KSecDD.sys 94208 bytes (Microsoft Corporation, Kernel Security
Support Provider Interface)
0xF6D30000 C:\WINDOWS\system32\DRIVERS\ndiswan.sys 94208 bytes (Microsoft
Corporation, MS PPP Framing Driver (Strong Encryption))
0xF7133000 C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys 86016 bytes (Realtek
Semiconductor Corporation , Realtek 10/100/1000
NDIS 5.1 Driver )
0xF03AB000 C:\WINDOWS\system32\drivers\wdmaud.sys 86016 bytes (Microsoft
Corporation, MMSYSTEM Wave/Midi API mapper)
0xF718F000 C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS 81920 bytes (Microsoft
Corporation, Video Port Driver)
0xF2B24000 C:\WINDOWS\system32\DRIVERS\ipsec.sys 77824 bytes (Microsoft
Corporation, IPSec Driver)
0xBF000000 C:\WINDOWS\System32\drivers\dxg.sys 73728 bytes (Microsoft
Corporation, DirectX Graphics Driver)
0xF747E000 sr.sys 73728 bytes (Microsoft Corporation, Pilote de filtre de
système de fichiers pour la restauration du système)
0xF750D000 pci.sys 69632 bytes (Microsoft Corporation, Énumérateur
Plug-and-Play PCI pour NT)
0xF6D1F000 C:\WINDOWS\system32\DRIVERS\psched.sys 69632 bytes (Microsoft
Corporation, MS QoS Packet Scheduler)
0xF778E000 C:\WINDOWS\System32\Drivers\Cdfs.SYS 65536 bytes (Microsoft
Corporation, CD-ROM File System Driver)
0xF764E000 C:\WINDOWS\system32\DRIVERS\cdrom.sys 65536 bytes (Microsoft
Corporation, SCSI CD-ROM Driver)
0xF767E000 C:\WINDOWS\system32\drivers\drmk.sys 61440 bytes (Microsoft
Corporation, Microsoft Kernel DRM Descrambler Filter)
0xF772E000 C:\WINDOWS\system32\DRIVERS\easdrv.sys 61440 bytes (ESET, Eset
AntiStealth driver)
0xF765E000 C:\WINDOWS\system32\DRIVERS\redbook.sys 61440 bytes (Microsoft
Corporation, Pilote de filtre audio Livre rouge)
0xF0540000 C:\WINDOWS\system32\drivers\sysaudio.sys 61440 bytes (Microsoft
Corporation, System Audio WDM Filter)
0xF770E000 C:\WINDOWS\system32\DRIVERS\usbhub.sys 61440 bytes (Microsoft
Corporation, Default Hub Driver for USB)
0xF766E000 C:\WINDOWS\system32\DRIVERS\i8042prt.sys 57344 bytes (Microsoft
Corporation, Pilote de port i8042)
0xF758E000 VolSnap.sys 57344 bytes (Microsoft Corporation, Pilote de cliché
instantané du volume)
0xF75AE000 C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS 53248 bytes (Microsoft
Corporation, SCSI Class System Dll)
0xF768E000 C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 53248 bytes (Microsoft
Corporation, RAS L2TP mini-port/call-manager driver)
0xF774E000 C:\WINDOWS\system32\DRIVERS\epfwtdir.sys 49152 bytes
0xF2930000 C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys 49152 bytes
(Microsoft Corporation, Family Safety Filter Driver (TDI))
0xF76AE000 C:\WINDOWS\system32\DRIVERS\raspptp.sys 49152 bytes (Microsoft
Corporation, Peer-to-Peer Tunneling Protocol)
0xF776E000 C:\WINDOWS\System32\Drivers\Fips.SYS 45056 bytes (Microsoft
Corporation, Pilote de cryptographie FIPS)
0xF763E000 C:\WINDOWS\system32\DRIVERS\imapi.sys 45056 bytes (Microsoft
Corporation, IMAPI Kernel Driver)
0xF757E000 MountMgr.sys 45056 bytes (Microsoft Corporation, Mount Manager)
0xF769E000 C:\WINDOWS\system32\DRIVERS\raspppoe.sys 45056 bytes (Microsoft
Corporation, RAS PPPoE mini-port/call-manager driver)
0xF762E000 C:\WINDOWS\system32\DRIVERS\intelppm.sys 40960 bytes (Microsoft
Corporation, Pilote de périphérique processeur)
0xF756E000 isapnp.sys 40960 bytes (Microsoft Corporation, Pilote de bus PNP
ISA)
0xF76DE000 C:\WINDOWS\System32\Drivers\NDProxy.SYS 40960 bytes (Microsoft
Corporation, NDIS Proxy)
0xF76CE000 C:\WINDOWS\system32\DRIVERS\termdd.sys 40960 bytes (Microsoft
Corporation, Terminal Server Driver)
0xF759E000 disk.sys 36864 bytes (Microsoft Corporation, PnP Disk Driver)
0xF76BE000 C:\WINDOWS\system32\DRIVERS\msgpc.sys 36864 bytes (Microsoft
Corporation, MS General Packet Classifier)
0xF775E000 C:\WINDOWS\system32\DRIVERS\netbios.sys 36864 bytes (Microsoft
Corporation, NetBIOS interface driver)
0xEF6D0000 C:\WINDOWS\System32\Drivers\Normandy.SYS 36864 bytes (RKU Driver)
0xF773E000 C:\WINDOWS\system32\DRIVERS\wanarp.sys 36864 bytes (Microsoft
Corporation, MS Remote Access and Routing ARP Driver)
0xF7876000 C:\WINDOWS\System32\Drivers\Npfs.SYS 32768 bytes (Microsoft
Corporation, NPFS Driver)
0xF789E000 C:\WINDOWS\system32\DRIVERS\usbccgp.sys 32768 bytes (Microsoft
Corporation, USB Common Class Generic Parent Driver)
0xF795E000 C:\WINDOWS\system32\DRIVERS\usbehci.sys 32768 bytes (Microsoft
Corporation, EHCI eUSB Miniport Driver)
0xF7966000 C:\WINDOWS\system32\DRIVERS\kbdclass.sys 28672 bytes (Microsoft
Corporation, Pilote de la classe Clavier)
0xF77EE000 C:\WINDOWS\System32\DRIVERS\PCIIDEX.SYS 28672 bytes (Microsoft
Corporation, PCI IDE Bus Driver Extension)
0xF7886000 C:\WINDOWS\system32\DRIVERS\usbprint.sys 28672 bytes (Microsoft
Corporation, USB Printer driver)
0xF788E000 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 28672 bytes (Microsoft
Corporation, USB Mass Storage Class Driver)
0xF796E000 C:\WINDOWS\system32\DRIVERS\mouclass.sys 24576 bytes (Microsoft
Corporation, Pilote de la classe Souris)
0xF7866000 C:\WINDOWS\System32\drivers\vga.sys 24576 bytes (Microsoft
Corporation, VGA/Super VGA Video Driver)
0xF786E000 C:\WINDOWS\System32\Drivers\Msfs.SYS 20480 bytes (Microsoft
Corporation, Mailslot driver)
0xF77F6000 PartMgr.sys 20480 bytes (Microsoft Corporation, Partition
Manager)
0xF7806000 C:\WINDOWS\system32\DRIVERS\ptilink.sys 20480 bytes (Parallel
Technologies, Inc., Parallel Technologies DirectParallel IO Library)
0xF7846000 C:\WINDOWS\system32\DRIVERS\raspti.sys 20480 bytes (Microsoft
Corporation, PTI DirectParallel(R) mini-port/call-manager driver)
0xF7976000 C:\WINDOWS\system32\DRIVERS\TDI.SYS 20480 bytes (Microsoft
Corporation, TDI Wrapper)
0xF7956000 C:\WINDOWS\system32\DRIVERS\usbohci.sys 20480 bytes (Microsoft
Corporation, OHCI USB Miniport Driver)
0xF78A6000 C:\WINDOWS\System32\watchdog.sys 20480 bytes (Microsoft
Corporation, Watchdog Driver)
0xF7363000 C:\WINDOWS\system32\DRIVERS\mssmbios.sys 16384 bytes (Microsoft
Corporation, System Management BIOS Driver)
0xF06F8000 C:\WINDOWS\system32\DRIVERS\ndisuio.sys 16384 bytes (Microsoft
Corporation, NDIS User mode I/O Driver)
0xF7A4E000 C:\WINDOWS\system32\DRIVERS\usbscan.sys 16384 bytes (Microsoft
Corporation, USB Scanner Driver)
0xF797E000 C:\WINDOWS\system32\BOOTVID.dll 12288 bytes (Microsoft
Corporation, VGA Boot Driver)
0xF6BE5000 C:\WINDOWS\System32\drivers\Dxapi.sys 12288 bytes (Microsoft
Corporation, DirectX API Driver)
0xF7A5E000 C:\WINDOWS\system32\DRIVERS\ndistapi.sys 12288 bytes (Microsoft
Corporation, NDIS 3.0 connection wrapper driver)
0xF7A0E000 C:\WINDOWS\system32\DRIVERS\rasacd.sys 12288 bytes (Microsoft
Corporation, RAS Automatic Connection Driver)
0xF7A36000 C:\WINDOWS\System32\drivers\ws2ifsl.sys 12288 bytes (Microsoft
Corporation, Winsock2 IFS Layer)
0xF7AC2000 C:\WINDOWS\System32\Drivers\Beep.SYS 8192 bytes (Microsoft
Corporation, BEEP Driver)
0xF7A74000 dmload.sys 8192 bytes (Microsoft Corp., Veritas Software., NT
Disk Manager Startup Driver)
0xF7AC0000 C:\WINDOWS\System32\Drivers\Fs_Rec.SYS 8192 bytes (Microsoft
Corporation, File System Recognizer Driver)
0xF7A72000 intelide.sys 8192 bytes (Microsoft Corporation, Pilote IDE Intel
PCI)
0xF7A6E000 C:\WINDOWS\system32\KDCOM.DLL 8192 bytes (Microsoft Corporation,
Kernel Debugger HW Extension DLL)
0xF7AC4000 C:\WINDOWS\System32\Drivers\mnmdd.SYS 8192 bytes (Microsoft
Corporation, Frame buffer simulator)
0xF7AC6000 C:\WINDOWS\System32\DRIVERS\RDPCDD.sys 8192 bytes (Microsoft
Corporation, RDP Miniport)
0xF7AB8000 C:\WINDOWS\system32\DRIVERS\swenum.sys 8192 bytes (Microsoft
Corporation, Plug and Play Software Device Enumerator)
0xF7ABC000 C:\WINDOWS\system32\DRIVERS\USBD.SYS 8192 bytes (Microsoft
Corporation, Universal Serial Bus Driver)
0xF7A70000 C:\WINDOWS\system32\DRIVERS\WMILIB.SYS 8192 bytes (Microsoft
Corporation, WMILIB WMI support library Dll)
0xF7B75000 C:\WINDOWS\system32\DRIVERS\audstub.sys 4096 bytes (Microsoft
Corporation, AudStub Driver)
0xF7B68000 C:\WINDOWS\System32\drivers\dxgthk.sys 4096 bytes (Microsoft
Corporation, DirectX Graphics Driver Thunk)
0xF7C4A000 C:\WINDOWS\System32\Drivers\Null.SYS 4096 bytes (Microsoft
Corporation, NULL Driver)
0xF7B36000 pciide.sys 4096 bytes (Microsoft Corporation, Pilote de bus
générique PCI IDE)
==============================================
> >Stealth
==============================================

Bonne soirée,
Christelle

[MoJac]

Re:

Dans l'état actuel des investigations, il ne semble pas y avoir d'anomalie ...

Le driver disque qui avait eu un coup de blues est bien chargé, il est signé Microsoft, il n'y en a pas d'autre d'allure suspect, et RkU ne voit rien de furtif ...

0xF7B36000 pciide.sys 4096 bytes (Microsoft Corporation, Pilote de bus
générique PCI IDE)

- Pour l'instant je te propose d'en rester là, ça ne sert à rien de la jouer parano sans bille. Le mieux est de t'habituer à tes nouvelles conditions de navigation avec FF et ses filtres, et d'être attentive.

- Refais un scan MbAM de temps à autre pour s'assurer que tout continue à baigner.

- Attend quelques jours pour désinstaller OTL (avec le bouton "purge Outils"), histoire de pouvoir faire un scan en urgence au cas où ...

Bonne soirée

[Christelle67]

Bonsoir Mojac,

Tout à l'air de bien aller.
Encore un grand merci pour ton aide et tes bons conseils.
Continue en ce sens ...

A bientôt,
Christelle