× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Laptop infecté par Security Shield 2012Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Fabien57
  Posté le 22/05/2012 @ 20:34 
Aller en bas de la page 
Petit astucien

Bonjour,

mon laptop est infecté par Security Shield 2012 depuis hier soir (alors que naviguais sur le web).

plus aucun programme ne se lance, et plus de connection internet possible (IE, mozilla firefox, chrome).

J'ai rebooté le laptop en mode sans échec avec connection pour pouvoir me connecter.

Pouvez-vous m'aider.

Merci beaucoup

Publicité
Fill
 Posté le 22/05/2012 à 20:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Fabien57
 Posté le 22/05/2012 à 20:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

merci pour cette réaction rapide

comme annoncé, je suis en mode sans échec pour l'instant. est-ce que je peux lancer le diagnostic ZHPDiag dans ce mode ?

Fill
 Posté le 22/05/2012 à 21:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Oui, pas de souci.

Fill

Fabien57
 Posté le 22/05/2012 à 21:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Fabien57
 Posté le 22/05/2012 à 21:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

´j'ai joint le rapport ZHP

as-tu besoin d'autres information pour l'instant, ou dois-tu analyser le rapport d'abord ?

Fill
 Posté le 22/05/2012 à 21:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Oui, tu fais ceci :

  • Télécharge Adwcleaner de Xplode sur ton Bureau (Pour Vista ou windows 7, il faut faire un clic droit et exécuter en tant qu'administrateur),
  • Clique sur Recherche,
  • Edite le rapport généré qui se trouve là : C:\AdwCleaner[R1].txt

Fill

Fabien57
 Posté le 22/05/2012 à 21:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[R1].txt

Fabien57
 Posté le 22/05/2012 à 21:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'ai ajouté le rapport adwcleaner (toujours exécuté en mode sans échec)

Publicité
Fill
 Posté le 22/05/2012 à 21:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

OK.

1/

  • Exécute Adwcleaner de Xplode sur ton Bureau (Pour Vista ou windows 7, il faut faire un clic droit et exécuter en tant qu'administrateur),
  • Clique sur Suppression,
  • Edite le rapport généré qui se trouve là : C:\AdwCleaner[S1].txt

2/

  • Télécharge Roguekiller de Tigzy sur ton Bureau,
  • Exécute le programme (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification) :


  • Clique sur le bouton "Scan" pour lancer l'analyse,
  • Un rapport nommé RKreport[1] doit être créé sur ton Bureau. Copie son contenu dans ta prochaine réponse.

Fill

Fabien57
 Posté le 22/05/2012 à 21:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[S1].txt

Fabien57
 Posté le 22/05/2012 à 21:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'ai posté le rapport S1 de adwcleaner

voici le rapport du scan de Roguekiller :

RogueKiller V7.4.5 [05/18/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Safe mode with network support
User: PCServis [Admin rights]
Mode: Scan -- Date: 05/22/2012 21:50:32

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\RunOnce : urjsulc (C:\DOCUME~1\PCServis\LOCALS~1\APPLIC~1\urjsulc.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1454471165-308236825-1801674531-1003[...]\RunOnce : urjsulc (C:\DOCUME~1\PCServis\LOCALS~1\APPLIC~1\urjsulc.exe) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHY2120BH +++++
--- User ---
[MBR] 26d99377dc92965607181c7b78c960c4
[BSP] e5689fa077fdbde540f3aa45688e8d30 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[1].txt >>
RKreport[1].txt

Fill
 Posté le 22/05/2012 à 21:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/

  • Exécute le programme Roguekiller de Tigzy (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification).
  • Clique sur le bouton "Suppression" comme indiqué ici pour que le programme corrige les éléments trouvés :


Un rapport RKreport[2] créé sur ton Bureau. Copie/colle son contenu dans ta prochaine réponse.

2/

  • Télécharge Ccleaner Slim sur le Bureau,
  • Installe-le,
  • Ouvre ccleaner et clique sur "Lancer le nettoyage".

3/

  • Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :

EmptyTemp
EmptyFlash
O4 - HKLM\..\Run: [KernelFaultCheck] Orphean Key
O4 - HKLM\..\Run: [KTPWare] . (.ELANTECH Devices Corp. - KTP Ware TSR Enhancements.) -- C:\Program Files\Elantech\ktp.exe
O4 - HKCU\..\RunOnce: [urjsulc] . (...) -- C:\Documents and Settings\PCServis\Local Settings\Application Data\urjsulc.exe
O4 - HKUS\S-1-5-21-1454471165-308236825-1801674531-1003\..\RunOnce: [urjsulc] . (...) -- C:\Documents and Settings\PCServis\Local Settings\Application Data\urjsulc.exe
O4 - Global Startup: C:\Documents And Settings\PCServis\Desktop\Bližnjica do Brezžièna omrežna povezava 2.lnk - Orphean Key
O4 - Global Startup: C:\Documents And Settings\PCServis\Desktop\Bližnjica do Brezžièna omrežna povezava 2.lnk - Orphean Key
[HKCU\Software\Conduit]
O43 - CFD: 4/1/2012 - 11:57:26 AM - [0] ----D C:\Program Files\SecurityXploded
O47 - AAKE:Key Export SP - "D:\setup\HPZnui01.exe" [Enabled] .(...) -- D:\setup\HPZnui01.exe (.not file.)
O47 - AAKE:Key Export SP - "D:\FSETUP.EXE" [Enabled] .(...) -- D:\FSETUP.exe (.not file.)
O47 - AAKE:Key Export DP - "D:\setup\HPZnui01.exe" [Enabled] .(...) -- D:\setup\HPZnui01.exe (.not file.)
[MD5.E0579A7B4215A026BED046F9BF374BAC] [SPRF][5/21/2012] (...) -- C:\Documents and Settings\PCServis\Local Settings\Application Data\urjsulc.exe [355840]

  • Lance ZHPFix de Nicolas Coolman qui se trouve dans C:\Program Files\ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
  • Le logiciel s'ouvre,
  • Clique sur le bouton H pour importer dans l'outil lesl ignes que tu as sélectionnées.
  • Clique sur OK comme indiqué ci-dessous :

  • Les lignes du rapport apparaissent alors avec des cases à cocher.
  • Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Go" comme ceci :

  • Ceci va avoir pour effet de réaliser un correctif.
  • Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
  • Si un redémarrage est demandé, effectue-le.
  • Copie-colle le contenu du rapport situé dans le dossier ZHPDiag et qui se nomme ZHPFixreport.txt

4/ Utilise malwarebyte's ainsi et édite le rapport.

Fill



Modifié par Fill le 22/05/2012 22:00
Fabien57
 Posté le 22/05/2012 à 22:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'ai toujours la session précédente de RogueKiller ouverte aevc le résultat du scan précédent. dois-je lancer la suppression a partir de la ? ou dois fermer Rogue Killer et le relancer ?

si j'essaie de le fermer, un message s'affiche me disant qu'aucun élément n'a été supprimé et me demande si je veux vraiment quitter

merci

Fabien57
 Posté le 22/05/2012 à 22:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ma question était stupide

j'ai relancé a partir de la session précédente. Voici le rapport :

RogueKiller V7.4.5 [05/18/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Safe mode with network support
User: PCServis [Admin rights]
Mode: Remove -- Date: 05/22/2012 22:24:33

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\RunOnce : urjsulc (C:\DOCUME~1\PCServis\LOCALS~1\APPLIC~1\urjsulc.exe) -> DELETED
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHY2120BH +++++
--- User ---
[MBR] 26d99377dc92965607181c7b78c960c4
[BSP] e5689fa077fdbde540f3aa45688e8d30 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Fabien57
 Posté le 22/05/2012 à 22:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je suis sur le point de lancer "Nettoyer" de CCleaner", mais je me pose des questions . va-t-il réellement supprimer ces applications ? (elles sont cochées)

foxit reader

Google earth

MS office Picture manager

Office 2007 ????????

Skype

Windows live Messenger

Adobe flash player

Microsoft silverlight

Quicktime player

Quicktime player cache

Winamp

windows Media player

Antivir Desktop

Avast Antivirus 5

AVG Antivirus 8.0

WinRAR

MS Management Console

MS Paint

Regedit

Fill
 Posté le 22/05/2012 à 22:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Non, il ne supprime pas les applications mais vire les fichiers temporaires créés par certaines de ces applications. Si tu ne fais que "Nettoyer" sans modifier d'autres options, tu ne risques rien.

Fill

Publicité
Fabien57
 Posté le 22/05/2012 à 22:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok merci

c'est en cours, mais apperemment ca va etre long ...

Fabien57
 Posté le 22/05/2012 à 23:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je ne suis pas sur de comprendre l'étape 3/

je dois copier les lignes de ton message ? ou sont les quotes dont tu parles ?

merci

Fill
 Posté le 22/05/2012 à 23:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Fabien57 a écrit :

je ne suis pas sur de comprendre l'étape 3/

je dois copier les lignes de ton message ? ou sont les quotes dont tu parles ?

merci

Les lignes entre quotes sont les lignes que j'ai indiquées :

EmptyTemp
EmptyFlash
O4 - HKLM\..\Run: [KernelFaultCheck] Orphean Key
O4 - HKLM\..\Run: [KTPWare] . (.ELANTECH Devices Corp. - KTP Ware TSR Enhancements.) -- C:\Program Files\Elantech\ktp.exe
O4 - HKCU\..\RunOnce: [urjsulc] . (...) -- C:\Documents and Settings\PCServis\Local Settings\Application Data\urjsulc.exe
O4 - HKUS\S-1-5-21-1454471165-308236825-1801674531-1003\..\RunOnce: [urjsulc] . (...) -- C:\Documents and Settings\PCServis\Local Settings\Application Data\urjsulc.exe
O4 - Global Startup: C:\Documents And Settings\PCServis\Desktop\Bližnjica do Brezžièna omrežna povezava 2.lnk - Orphean Key
O4 - Global Startup: C:\Documents And Settings\PCServis\Desktop\Bližnjica do Brezžièna omrežna povezava 2.lnk - Orphean Key
[HKCU\Software\Conduit]
O43 - CFD: 4/1/2012 - 11:57:26 AM - [0] ----D C:\Program Files\SecurityXploded
O47 - AAKE:Key Export SP - "D:\setup\HPZnui01.exe" [Enabled] .(...) -- D:\setup\HPZnui01.exe (.not file.)
O47 - AAKE:Key Export SP - "D:\FSETUP.EXE" [Enabled] .(...) -- D:\FSETUP.exe (.not file.)
O47 - AAKE:Key Export DP - "D:\setup\HPZnui01.exe" [Enabled] .(...) -- D:\setup\HPZnui01.exe (.not file.)
[MD5.E0579A7B4215A026BED046F9BF374BAC] [SPRF][5/21/2012] (...) -- C:\Documents and Settings\PCServis\Local Settings\Application Data\urjsulc.exe [355840]

Fill

Fabien57
 Posté le 22/05/2012 à 23:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'ai exécuté ZHP fix

en revanche je ne trouve pas le fichier dont tu parles

  • Copie-colle le contenu du rapport situé dans le dossier ZHPDiag et qui se nomme ZHPFixreport.txt

par contra j'ai trouvé un fichier ZHPFix(R1) sous C:\ZHP

voici le contenu :

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre :
Run by PCServis at 5/22/2012 11:16:34 PM
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Registry Key ==========
NOT FOUND Key: HKCU\Software\Conduit

========== Registry Value ==========
DELETED RunValue: KernelFaultCheck
DELETED RunValue: KTPWare
NOT FOUND RunValue: urjsulc
DELETED AAKE KeyValue: D:\setup\HPZnui01.exe
DELETED AAKE KeyValue: D:\FSETUP.EXE

========== Repertory ==========
DELETED Window Temporary:
DELETED Flash Cookies:
DELETED Folder: C:\Program Files\SecurityXploded

========== File ==========
DELETED Window Temporary:
DELETED Flash Cookies:
DELETED File: c:\program files\elantech\ktp.exe
DELETED File: c:\documents and settings\pcservis\local settings\application data\urjsulc.exe
NOT FOUND File: c:\documents and settings\pcservis\local settings\application data\urjsulc.exe
NOT FOUND File: c:\documents and settings\pcservis\desktop\bližnjica do brezži?na omrežna povezava 2.lnk
NOT FOUND File: d:\setup\hpznui01.exe
NOT FOUND File: d:\fsetup.exe
NOT FOUND Folder/File: c:\documents and settings\pcservis\local settings\application data\urjsulc.exe


========== Summary ==========
1 : Registry Key
5 : Registry Value
3 : Repertory
9 : File


End of clean in 00mn AMs

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 5/22/2012 11:16:34 PM [1502]

Fabien57
 Posté le 22/05/2012 à 23:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport de MalwareByte's apres avoir lancé l'examen rapide comme préconisé :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.22.03

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
PCServis
PCS [administrateur]

5/22/2012 11:29:06 PM
mbam-log-2012-05-22 (23-29-06).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 198281
Temps écoulé: 4 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Fabien57
 Posté le 23/05/2012 à 00:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

est-ce que je dois comprendre que mon PC n'est plus infecté ?

Fill
 Posté le 23/05/2012 à 07:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

C'était le bon rapport. Un dernier outil à passer avant d'envisager la suppression des outils et les dernières consignes de remise enforme du pc.

1/ Suis ces consignes en faisant une analyse en ligne et édite le rapport. Cela peut prendre du temps.

2/

  • Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici).
  • Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
  • Clique sur l'onglet "rootkit", puis vérifie que toutes les cases sont bien cochées,
  • Clique sur scan.
  • A la fin du scan, clique sur le bouton copy.
  • Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
  • Edite ce rapport dans ta prochaine réponse.

3/ Comment se comporte le pc ?

Fabien57
 Posté le 24/05/2012 à 01:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Fill,

désolé pour la réponse tardive

pour info, avant meme ton dernier message, il y avait du mieux puisque je peux a nouveau accéder a internet apres avoir rebooté le laptop en mode normal. Je n'ai plus d'ouverture intempestive de fenetres Security shield.

J'ai néanmoins continué a suivre tes instructions

Voici le rapport de l'étape 1 (exécution de EST online) et voici le rapport (1 menace détectée) :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b6907b14ebd5ed4f8559d4a37b5f0bbb
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-23 11:07:41
# local_time=2012-05-24 01:07:41 (+0100, Romance Daylight Time)
# country="United States"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=768 16777215 100 0 48989068 48989068 0 0
# compatibility_mode=1797 16775141 100 93 455564 71967214 0 0
# compatibility_mode=8192 67108863 100 0 444 444 0 0
# scanned=79970
# found=1
# cleaned=0
# scan_time=3095
C:\Documents and Settings\PCServis\Desktop\RK_Quarantine\urjsulc.exe.vir a variant of Win32/Kryptik.AFXC trojan (unable to clean) 00000000000000000000000000000000 I

Fabien



Modifié par Fabien57 le 24/05/2012 01:29
Fabien57
 Posté le 24/05/2012 à 07:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rebonjour,

voici le résultat du scan de gmer :

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-05-24 07:33:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e FUJITSU_MHY2120BH rev.0000000B
Running: gmer.exe; Driver: C:\Temp\pxtdapob.sys


---- System - GMER 1.0.15 ----

SSDT F7D4E384 ZwClose
SSDT F7D4E33E ZwCreateKey
SSDT F7D4E38E ZwCreateSection
SSDT F7D4E334 ZwCreateThread
SSDT F7D4E343 ZwDeleteKey
SSDT F7D4E34D ZwDeleteValueKey
SSDT F7D4E37F ZwDuplicateObject
SSDT F7D4E352 ZwLoadKey
SSDT F7D4E320 ZwOpenProcess
SSDT F7D4E325 ZwOpenThread
SSDT F7D4E35C ZwReplaceKey
SSDT F7D4E357 ZwRestoreKey
SSDT F7D4E393 ZwSetContextThread
SSDT F7D4E348 ZwSetValueKey
SSDT F7D4E32F ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

C:\Program Files\CyberLink\PowerDVD8\000.fcl entry point in "" section [0xA938E41C]
.clc C:\Program Files\CyberLink\PowerDVD8\000.fcl unknown last code section [0xA938F000, 0x1000, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!DialogBoxParamW 7E4247AB 5 Bytes JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!SetWindowsHookExW 7E42820F 5 Bytes JMP 3E2E9AA5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!CallNextHookEx 7E42B3C6 5 Bytes JMP 3E2DD119 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!CreateWindowExW 7E42D0A3 5 Bytes JMP 3E2EDB14 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!UnhookWindowsHookEx 7E42D5F3 5 Bytes JMP 3E254686 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!DialogBoxIndirectParamW 7E432072 5 Bytes JMP 3E3E53AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!MessageBoxIndirectA 7E43A082 5 Bytes JMP 3E3E52E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!DialogBoxParamA 7E43B144 5 Bytes JMP 3E3E534C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!MessageBoxExW 7E450838 5 Bytes JMP 3E3E51B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!MessageBoxExA 7E45085C 5 Bytes JMP 3E3E5214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!DialogBoxIndirectParamA 7E456D7D 5 Bytes JMP 3E3E5412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] USER32.dll!MessageBoxIndirectW 7E4664D5 5 Bytes JMP 3E3E5276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] ole32.dll!CoCreateInstance 774FF1BC 5 Bytes JMP 3E2EDB70 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] ole32.dll!OleLoadFromStream 7752983B 5 Bytes JMP 3E3E5717 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] WININET.dll!HttpOpenRequestA 3D94D518 5 Bytes JMP 10033EFA C:\Program Files\Microsoft\BingBar\7.1.382.0\BingExt.dll (Bing Client Extensions/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] WININET.dll!HttpOpenRequestW 3D94FC0B 5 Bytes JMP 1003405E C:\Program Files\Microsoft\BingBar\7.1.382.0\BingExt.dll (Bing Client Extensions/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] ws2_32.dll!getaddrinfo 71AB2A6F 5 Bytes JMP 46C8860E C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] ws2_32.dll!closesocket 71AB3E2B 5 Bytes JMP 46C891D9 C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] ws2_32.dll!socket 71AB4211 5 Bytes JMP 46C8844E C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] ws2_32.dll!connect 71AB4A07 5 Bytes JMP 46C884DE C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] ws2_32.dll!send 71AB4C27 5 Bytes JMP 46C88AB2 C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[212] ws2_32.dll!recv 71AB676F 5 Bytes JMP 46C894DA C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!DialogBoxParamW 7E4247AB 5 Bytes JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!SetWindowsHookExW 7E42820F 5 Bytes JMP 3E2E9AA5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!CallNextHookEx 7E42B3C6 5 Bytes JMP 3E2DD119 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!CreateWindowExW 7E42D0A3 5 Bytes JMP 3E2EDB14 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!UnhookWindowsHookEx 7E42D5F3 5 Bytes JMP 3E254686 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!DialogBoxIndirectParamW 7E432072 5 Bytes JMP 3E3E53AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!MessageBoxIndirectA 7E43A082 5 Bytes JMP 3E3E52E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!DialogBoxParamA 7E43B144 5 Bytes JMP 3E3E534C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!MessageBoxExW 7E450838 5 Bytes JMP 3E3E51B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!MessageBoxExA 7E45085C 5 Bytes JMP 3E3E5214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!DialogBoxIndirectParamA 7E456D7D 5 Bytes JMP 3E3E5412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] USER32.dll!MessageBoxIndirectW 7E4664D5 5 Bytes JMP 3E3E5276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] ole32.dll!CoCreateInstance 774FF1BC 5 Bytes JMP 3E2EDB70 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] ole32.dll!OleLoadFromStream 7752983B 5 Bytes JMP 3E3E5717 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] WININET.dll!HttpOpenRequestA 3D94D518 5 Bytes JMP 10033EFA C:\Program Files\Microsoft\BingBar\7.1.382.0\BingExt.dll (Bing Client Extensions/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] WININET.dll!HttpOpenRequestW 3D94FC0B 5 Bytes JMP 1003405E C:\Program Files\Microsoft\BingBar\7.1.382.0\BingExt.dll (Bing Client Extensions/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] ws2_32.dll!getaddrinfo 71AB2A6F 5 Bytes JMP 46C8860E C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] ws2_32.dll!closesocket 71AB3E2B 5 Bytes JMP 46C891D9 C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] ws2_32.dll!socket 71AB4211 5 Bytes JMP 46C8844E C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] ws2_32.dll!connect 71AB4A07 5 Bytes JMP 46C884DE C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] ws2_32.dll!send 71AB4C27 5 Bytes JMP 46C88AB2 C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2008] ws2_32.dll!recv 71AB676F 5 Bytes JMP 46C894DA C:\Program Files\Microsoft\BingBar\7.1.382.0\SeaNote.dll (Microsoft Search Note/Microsoft Corporation.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!DialogBoxParamW 7E4247AB 5 Bytes JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!CreateWindowExW 7E42D0A3 5 Bytes JMP 3E2EDB14 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!DialogBoxIndirectParamW 7E432072 5 Bytes JMP 3E3E53AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!MessageBoxIndirectA 7E43A082 5 Bytes JMP 3E3E52E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!DialogBoxParamA 7E43B144 5 Bytes JMP 3E3E534C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!MessageBoxExW 7E450838 5 Bytes JMP 3E3E51B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!MessageBoxExA 7E45085C 5 Bytes JMP 3E3E5214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!DialogBoxIndirectParamA 7E456D7D 5 Bytes JMP 3E3E5412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2748] USER32.dll!MessageBoxIndirectW 7E4664D5 5 Bytes JMP 3E3E5276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Program Files\Internet Explorer\iexplore.exe[212] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
IAT C:\Program Files\Internet Explorer\iexplore.exe[2008] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
119,99 €SSD externe portable USB 3.1 SanDisk Extreme 1 To à 119,99 €
Valable jusqu'au 04 Décembre

Amazon fait une promotion sur le SSD externe portable USB 3.1 SanDisk Extreme 1 To qui passe à 119,99 € livré gratuitement alors qu'on le trouve à 160 € ailleurs.

Le disque SSD SanDisk Extreme portable est plus de deux fois plus petit que la taille de votre smartphone et fournit jusqu'à 5 fois la vitesse d'un disque dur portable. Apprenez à travailler en quelques secondes, transférez de grandes bibliothèques de vidéos et de photos à des vitesses pouvant atteindre 550 Mo/s.

Vous ne craindrez pas de l'emporter partout avec vous grâce à sa conception robuste et résistante avec un coeur de SSD résistant aux chocs. Le logiciel SanDisk inclu SecureAccess peut crypter vos fichiers personnels. Garantie 3 ans. Résiste à l'eau (IP55). Interface : USB 3.1 Type A et C.


> Voir l'offre
26,99 €Lot de 2 prises connectées Wi-Fi TP-Link HS110 et HS100 à 26,99 €
Valable jusqu'au 04 Décembre

Amazon fait une promotion sur le lot de 2 prises connectées Wi-Fi TP-Link HS110 et HS100 qui passe à 26,99 € au lieu d'une quarantaine d'euros habitutellement. Ces 2 prises peuvent être contrôlées à distance en utilisant l'app gratuite KASA sur votre smartphone (iOS ou Android). Vous pouvez créer des planifications horaires pour allumer ou éteindre automatiquement et quand vous le souhaitez, les appareils qui y sont branchés. La prise HS110 offre en plus l'analyse en temps réel la consommation électrique d'un équipement et accèder à l'historique de la consommation. Les deux prises sont compatibles Google Home, Amazon Alexa et IFTTT.


> Voir l'offre
97,99 €Boîtier Fractal Design Define 7 Compact à 97,99 €
Valable jusqu'au 05 Décembre

Cdiscount propose actuellement l'excellent boîter moyen tour Fractal Design Define 7 Compact à 97,99 € alors qu'on le trouve ailleurs à plus de 130 €. Avec son large volume intérieur et ses matériaux robustes et insonorisés, ce boîtier combine à merveille agencement évolué et confort d'utilisation. Ce modèle peut ainsi accueillir une carte mère ATX, une alimentation de 200 mm et une carte graphique de 315 mm. 

Installez facilement vos composants, configurez votre machine en fonction de vos besoins et retrouvez de nombreux emplacements pour disques 3.5 ou 2.5". Sur le sommet, 5 ports USB vous attendent dont un connecteur USB 3.1 Type C compatible charge rapide. 

Pour le bien-être de vos équipements, le boîtier Define 7 Compact possède un refroidissement optimisé avec pas moins de sept emplacements pour ventilateurs. Deux ventilateurs de sont pré-installés pour commencer votre expérience Fractal Design dans les meilleures conditions.


> Voir l'offre

Sujets relatifs
PC infecté par Security Shield
XP infecté par "security sphere 2012"
pc infecté par live security platinium
anti virus avg internet security 2012
Infecté par Live security premium
kaspersky internet security 2012 (mise à jour disq
infection par security shield
KIS 2012 ou Bitdefender internet security
security shield
[Astuce] Norton Internet Security 2012 à 26€
Plus de sujets relatifs à Laptop infecté par Security Shield 2012
 > Tous les forums > Forum Sécurité