> Tous les forums > Forum Sécurité
 Rogue Live Security Platinum...Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Damiwan
  Posté le 19/07/2012 @ 19:58 
Aller en bas de la page 
Petit astucien

Bonsoir,

Je suis aussi infecté par cette saloperie.

J'ai lançé RogueKiller (rapport ci après) en suivant les instructions de ce sujet : https://forum.pcastuces.com/sujet.asp?f=25&s=64182. Dois-je continuer avec les outils mentionnés ?

Merci de votre aide.

Edit : J'ai continué avec Malwarebytes qui m'a trouvé un paquet de Trojans... Comme indiqué, j'ai supprimé, je poste le rapport également avant de redémarrer.

RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: Damiwan [Droits d'admin] Mode: Suppression -- Date: 19/07/2012 19:34:06

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 6 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : Iximgoh (C:\Users\Damiwan\AppData\Roaming\Keavke\ecsoc.exe) -> DELETED [SUSP PATH] HKCU\[...]\Run : cmmoPlay (rundll32 "C:\Users\Damiwan\AppData\Local\Temp\findgman.dll",CreateProcessNotify) -> DELETED [SUSP PATH] HKCU\[...]\Run : cmsttend (rundll32 "C:\Users\Damiwan\AppData\Local\Temp\findgman64.dll",CreateProcessNotify) -> DELETED [ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Damiwan\AppData\Local\{debeda5d-530b-5666-7988-92bb31e33afc}\n.) -> REPLACED (c:\windows\system32\shell32.dll) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\n --> REMOVED [ZeroAccess][FILE] @ : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\@ --> REMOVED AT REBOOT [Del.Parent][FILE] 00000001.@ : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\U\00000001.@ --> REMOVED [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\U\80000000.@ --> REMOVED [Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\U\800000cb.@ --> REMOVED [ZeroAccess][FOLDER] U : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\L --> REMOVED [ZeroAccess][FILE] n : c:\users\damiwan\appdata\local\{debeda5d-530b-5666-7988-92bb31e33afc}\n --> REMOVED AT REBOOT [ZeroAccess][FILE] @ : c:\users\damiwan\appdata\local\{debeda5d-530b-5666-7988-92bb31e33afc}\@ --> REMOVED [ZeroAccess][FOLDER] U : c:\users\damiwan\appdata\local\{debeda5d-530b-5666-7988-92bb31e33afc}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\users\damiwan\appdata\local\{debeda5d-530b-5666-7988-92bb31e33afc}\L --> REMOVED

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEKT-60A25T1 +++++ --- User --- [MBR] 92653e1479b9a7031d5dd28112382e48 [BSP] a504996d1aab57a96348349e1ca5cc44 : Windows Vista/7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 222082 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 455233536 | Size: 16089 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 488183808 | Size: 103 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Malwarebytes Anti-Malware (Essai) 1.62.0.1300 www.malwarebytes.org

Version de la base de données: v2012.07.19.11

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau) Internet Explorer 9.0.8112.16421 Damiwan
DAMIWAN-HP [administrateur]

Protection: Désactivé

19/07/2012 20:05:05 mbam-log-2012-07-19 (20-05-05).txt

Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 191263 Temps écoulé: 3 minute(s), 2 seconde(s)

Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.Lameshield) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1 C:\Users\Damiwan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 6 C:\ProgramData\0C1CFAF416E390E1E1A2AE86F875F002\0C1CFAF416E390E1E1A2AE86F875F002.exe (Trojan.Lameshield) -> Mis en quarantaine et supprimé avec succès. C:\Users\Damiwan\AppData\Roaming\Keavke\ecsoc.exe (Trojan.Phex.THAGen4) -> Mis en quarantaine et supprimé avec succès. C:\Users\Damiwan\AppData\Local\Temp\msimg32.dll (RootKit.0Access) -> Mis en quarantaine et supprimé avec succès. C:\Users\Damiwan\AppData\Local\Temp\~!#F122.tmp (Trojan.Phex.THAGen4) -> Mis en quarantaine et supprimé avec succès. C:\Users\Damiwan\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès. C:\Users\Damiwan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

(fin)



Modifié par Damiwan le 19/07/2012 20:19
Publicité
Fill
 Posté le 19/07/2012 à 20:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

  • Télécharger TDSSkiller de Kaspersky,
  • Extraire de l'archive téléchargée le fichier TDSSKiller.exe et le placer sur le Bureau,
  • Faire un double clic sur TDSSKiller.exe pour le lancer.

  • Cliquer sur Start scan pour lancer l'analyse,
  • Lorsque l'outil a terminé son travail d'inspection, si des nuisibles Image IPB ("Malicious objects") ont été trouvés, vérifier que l'option Image IPB (Cure) est sélectionnée,
  • Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
  • Puis cliquer sur le bouton Image IPB (Continue),
  • Attendre l'affichage du fichier rapport.
  • Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Image IPB (Reboot computer).
  • Envoyer en réponse : le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
    [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Fill

Damiwan
 Posté le 19/07/2012 à 21:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci de votre aide. Je m'y colle dès que possible, plus tard dans la soirée ou demain soir.

Damiwan
 Posté le 20/07/2012 à 20:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir. TDSSKiller n'a rien trouvé. Je poste quand même le rapport ?

Fill
 Posté le 20/07/2012 à 22:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Oui, s'il te plait.

  • Télécharge Roguekiller de Tigzy sur ton Bureau,
  • Exécute le programme (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification) :


  • Clique sur le bouton "Scan" pour lancer l'analyse,
  • Un rapport nommé RKreport[1] doit être créé sur ton Bureau. Copie son contenu dans ta prochaine réponse.

Fill

Damiwan
 Posté le 21/07/2012 à 02:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir. Voici donc le rapport TDSSKiller : http://cjoint.com/?BGvcv4chCKS

Damiwan
 Posté le 21/07/2012 à 02:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Et celui de RogueKiller:

RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Damiwan [Droits d'admin]
Mode: Recherche -- Date: 21/07/2012 02:28:15

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\U --> FOUND

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEKT-60A25T1 +++++
--- User ---
[MBR] 92653e1479b9a7031d5dd28112382e48
[BSP] a504996d1aab57a96348349e1ca5cc44 : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 222082 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 455233536 | Size: 16089 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 488183808 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Fill
 Posté le 21/07/2012 à 10:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

1/ Tu pas passé roguekiller trois fois. Peux-tu éditer RKreport[1].txt ?

2/

  • Exécute le programme Roguekiller de Tigzy (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification).
  • Clique sur le bouton "Suppression" comme indiqué ici pour que le programme corrige les éléments trouvés :


Un rapport RKreport[2] créé sur ton Bureau. Copie/colle son contenu dans ta prochaine réponse.

3/

  • Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici).
  • Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
  • Clique sur l'onglet "rootkit", puis vérifie que toutes les cases sont bien cochées,
  • Clique sur scan.
  • A la fin du scan, clique sur le bouton copy.
  • Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
  • Edite ce rapport dans ta prochaine réponse.

4/

  • Téléchargez Combofix depuis l'un des liens ci-dessous:

    Lien 1
    Lien 2

    * IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

  • Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

  • Faites un double clic sur combofix.exe & suivez les invites.

  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

  • Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


Réduction à 95% de la taille originale [ 536 x 154 ]




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

Fill



Modifié par Fill le 21/07/2012 10:09
Damiwan
 Posté le 22/07/2012 à 07:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour, me revoilà, je peux enfin m'y recoller.

1/ Effectivement j'ai exécuté RogueKiller 3 fois (en fait deux fois à la suite avant mon tout premier message puis une nouvelle fois quant tu me l'as demandé. Voici RKreport[1].txt :

RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: Damiwan [Droits d'admin] Mode: Recherche -- Date: 19/07/2012 19:29:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 9 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : Iximgoh (C:\Users\Damiwan\AppData\Roaming\Keavke\ecsoc.exe) -> FOUND [SUSP PATH] HKCU\[...]\Run : cmmoPlay (rundll32 "C:\Users\Damiwan\AppData\Local\Temp\findgman.dll",CreateProcessNotify) -> FOUND [SUSP PATH] HKCU\[...]\Run : cmsttend (rundll32 "C:\Users\Damiwan\AppData\Local\Temp\findgman64.dll",CreateProcessNotify) -> FOUND [SUSP PATH] HKUS\S-1-5-21-505698529-883811200-1810550173-1000[...]\Run : Iximgoh (C:\Users\Damiwan\AppData\Roaming\Keavke\ecsoc.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-505698529-883811200-1810550173-1000[...]\Run : cmmoPlay (rundll32 "C:\Users\Damiwan\AppData\Local\Temp\findgman.dll",CreateProcessNotify) -> FOUND [SUSP PATH] HKUS\S-1-5-21-505698529-883811200-1810550173-1000[...]\Run : cmsttend (rundll32 "C:\Users\Damiwan\AppData\Local\Temp\findgman64.dll",CreateProcessNotify) -> FOUND [ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Damiwan\AppData\Local\{debeda5d-530b-5666-7988-92bb31e33afc}\n.) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\n --> FOUND [ZeroAccess][FILE] @ : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\@ --> FOUND [ZeroAccess][FOLDER] U : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\U --> FOUND [ZeroAccess][FOLDER] L : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\L --> FOUND [ZeroAccess][FILE] n : c:\users\damiwan\appdata\local\{debeda5d-530b-5666-7988-92bb31e33afc}\n --> FOUND [ZeroAccess][FILE] @ : c:\users\damiwan\appdata\local\{debeda5d-530b-5666-7988-92bb31e33afc}\@ --> FOUND [ZeroAccess][FOLDER] U : c:\users\damiwan\appdata\local\{debeda5d-530b-5666-7988-92bb31e33afc}\U --> FOUND [ZeroAccess][FOLDER] L : c:\users\damiwan\appdata\local\{debeda5d-530b-5666-7988-92bb31e33afc}\L --> FOUND

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEKT-60A25T1 +++++ --- User --- [MBR] 92653e1479b9a7031d5dd28112382e48 [BSP] a504996d1aab57a96348349e1ca5cc44 : Windows Vista/7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 222082 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 455233536 | Size: 16089 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 488183808 | Size: 103 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[1].txt >> RKreport[1].txt

2/ Je viens donc de l'exécuter une 4ème fois mais je me suis trompé : j'ai fait "scan" au lieu de "suppression" comme tu me l'avais demandé. J'ai donc fait "suppression" ensuite. Deux nouveaux rapports ont donc été créés, que voici :

RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Damiwan [Droits d'admin] Mode: Recherche -- Date: 22/07/2012 03:50:09

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\U --> FOUND

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEKT-60A25T1 +++++ --- User --- [MBR] 92653e1479b9a7031d5dd28112382e48 [BSP] a504996d1aab57a96348349e1ca5cc44 : Windows Vista/7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 222082 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 455233536 | Size: 16089 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 488183808 | Size: 103 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Damiwan [Droits d'admin] Mode: Suppression -- Date: 22/07/2012 03:51:22

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : c:\windows\installer\{debeda5d-530b-5666-7988-92bb31e33afc}\U --> REMOVED

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEKT-60A25T1 +++++ --- User --- [MBR] 92653e1479b9a7031d5dd28112382e48 [BSP] a504996d1aab57a96348349e1ca5cc44 : Windows Vista/7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 222082 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 455233536 | Size: 16089 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 488183808 | Size: 103 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

3/ gmer : j'ai scanné, mais à la fin le rapport était vide...

Là avant que j'aille plus loin, "Malwarebytes a détecté qu'un processus malicieux essaie de démarrer et a bloqué la tentative d'exécution." :

C:\...\TEMP\GWEHO.EXE --> J'ai choisi Quarantaine.

Je poste ceci avant de faire le Combofix...



Modifié par Damiwan le 22/07/2012 07:08
Publicité
Fill
 Posté le 22/07/2012 à 18:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Peux-tu ré-éditer le rapport ? Celui-ci est illisible.

Merci.

Fill

Damiwan
 Posté le 22/07/2012 à 23:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir, oui le copier-coller a mal fonctionné.. Là, c'est mieux :

ComboFix 12-07-21.01 - Damiwan 22/07/2012 7:17.1.2 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3894.2251 [GMT 2:00]
Lancé depuis: c:\users\Damiwan\Desktop\ComboFix.exe
AV: Norton Internet Security *Disabled/Outdated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton Internet Security *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton Internet Security *Disabled/Outdated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Damiwan\AppData\Local\Temp\{F67FFA4F-3980-4B0B-8B18-662072A69F7B}\fpb.tmp
.
Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-22 au 2012-07-22 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-22 05:24 . 2012-07-22 05:24 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-19 18:04 . 2012-07-19 18:04 -------- d-----w- c:\users\Damiwan\AppData\Roaming\Malwarebytes
2012-07-19 18:03 . 2012-07-19 18:03 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-07-19 18:03 . 2012-07-19 18:03 -------- d-----w- c:\programdata\Malwarebytes
2012-07-19 18:03 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-14 20:09 . 2012-07-14 20:09 -------- d-----w- c:\users\Damiwan\AppData\Roaming\Tific
2012-07-14 20:09 . 2012-07-14 20:09 -------- d-----w- c:\users\Damiwan\AppData\Local\Symantec
2012-07-14 20:06 . 2012-07-14 20:06 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-07-14 20:02 . 2012-07-14 20:03 -------- d-----w- c:\programdata\0C1CFAF416E390E1E1A2AE86F875F002
2012-07-14 20:01 . 2012-07-19 18:13 -------- d-----w- c:\users\Damiwan\AppData\Roaming\Keavke
2012-07-14 20:01 . 2012-07-14 20:09 -------- d-----w- c:\users\Damiwan\AppData\Roaming\Butypa
2012-07-14 20:01 . 2012-07-14 20:01 -------- d-----w- c:\users\Damiwan\AppData\Roaming\Sutoe
2012-07-14 14:06 . 2012-05-31 04:04 9013136 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{8F093E8A-1398-4708-9D38-28AA7C43EF8E}\mpengine.dll
2012-07-05 13:17 . 2012-07-05 13:17 770384 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr100.dll
2012-07-05 13:17 . 2012-07-05 13:17 421200 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp100.dll
2012-07-01 09:55 . 2012-01-05 00:31 597832 ----a-w- c:\program files (x86)\Mozilla Firefox\extensions\afurladvisor@anchorfree.com\components\afurladvisor90.dll
2012-06-26 06:13 . 2012-06-26 06:19 -------- d-----w- c:\users\Damiwan\.LOGOComfort7.0
2012-06-26 06:13 . 2012-06-26 06:13 -------- d--h--w- c:\program files\Zero G Registry
2012-06-26 06:13 . 2012-06-26 06:13 -------- d-----w- c:\program files\Siemens
2012-06-26 06:12 . 2012-06-26 06:12 -------- d--h--w- c:\users\Damiwan\InstallAnywhere
2012-06-26 06:12 . 2012-06-26 06:12 -------- d-----w- C:\tmp
2012-06-25 17:52 . 2012-06-02 22:19 2428952 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-25 17:52 . 2012-06-02 22:19 57880 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-25 17:52 . 2012-06-02 22:19 44056 ----a-w- c:\windows\system32\wups2.dll
2012-06-25 17:52 . 2012-06-02 22:15 2622464 ----a-w- c:\windows\system32\wucltux.dll
2012-06-25 17:52 . 2012-06-02 22:19 38424 ----a-w- c:\windows\system32\wups.dll
2012-06-25 17:52 . 2012-06-02 22:19 701976 ----a-w- c:\windows\system32\wuapi.dll
2012-06-25 17:52 . 2012-06-02 22:15 99840 ----a-w- c:\windows\system32\wudriver.dll
2012-06-25 17:52 . 2012-06-02 13:19 186752 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-25 17:52 . 2012-06-02 13:15 36864 ----a-w- c:\windows\system32\wuapp.exe
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-14 19:42 . 2012-04-08 15:51 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-14 19:42 . 2011-11-14 20:12 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-06-13 22:51 . 2011-11-06 18:34 58957832 ----a-w- c:\windows\system32\MRT.exe
2012-05-18 02:47 . 2012-06-13 22:46 17807360 ----a-w- c:\windows\system32\mshtml.dll
2012-05-18 02:16 . 2012-06-13 22:46 10924032 ----a-w- c:\windows\system32\ieframe.dll
2012-05-18 02:06 . 2012-06-13 22:46 2311680 ----a-w- c:\windows\system32\jscript9.dll
2012-05-18 01:59 . 2012-06-13 22:46 1346048 ----a-w- c:\windows\system32\urlmon.dll
2012-05-18 01:59 . 2012-06-13 22:46 1392128 ----a-w- c:\windows\system32\wininet.dll
2012-05-18 01:58 . 2012-06-13 22:46 1494528 ----a-w- c:\windows\system32\inetcpl.cpl
2012-05-18 01:58 . 2012-06-13 22:46 237056 ----a-w- c:\windows\system32\url.dll
2012-05-18 01:56 . 2012-06-13 22:46 85504 ----a-w- c:\windows\system32\jsproxy.dll
2012-05-18 01:55 . 2012-06-13 22:46 173056 ----a-w- c:\windows\system32\ieUnatt.exe
2012-05-18 01:55 . 2012-06-13 22:46 818688 ----a-w- c:\windows\system32\jscript.dll
2012-05-18 01:54 . 2012-06-13 22:46 2144768 ----a-w- c:\windows\system32\iertutil.dll
2012-05-18 01:51 . 2012-06-13 22:46 96768 ----a-w- c:\windows\system32\mshtmled.dll
2012-05-18 01:51 . 2012-06-13 22:46 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-05-18 01:47 . 2012-06-13 22:46 248320 ----a-w- c:\windows\system32\ieui.dll
2012-05-17 22:45 . 2012-06-13 22:46 1800192 ----a-w- c:\windows\SysWow64\jscript9.dll
2012-05-17 22:35 . 2012-06-13 22:46 1129472 ----a-w- c:\windows\SysWow64\wininet.dll
2012-05-17 22:35 . 2012-06-13 22:46 1427968 ----a-w- c:\windows\SysWow64\inetcpl.cpl
2012-05-17 22:29 . 2012-06-13 22:46 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
2012-05-17 22:24 . 2012-06-13 22:46 2382848 ----a-w- c:\windows\SysWow64\mshtml.tlb
2012-05-15 01:32 . 2012-06-13 14:44 3146752 ----a-w- c:\windows\system32\win32k.sys
2012-05-04 11:06 . 2012-06-13 14:44 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-04 10:03 . 2012-06-13 14:44 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
2012-05-04 10:03 . 2012-06-13 14:44 3913072 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2012-05-01 05:40 . 2012-06-13 14:44 209920 ----a-w- c:\windows\system32\profsvc.dll
2012-04-28 03:55 . 2012-06-13 14:44 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-04-26 05:41 . 2012-06-13 14:44 77312 ----a-w- c:\windows\system32\rdpwsx.dll
2012-04-26 05:41 . 2012-06-13 14:44 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-04-26 05:34 . 2012-06-13 14:44 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-04-24 05:37 . 2012-06-13 14:44 184320 ----a-w- c:\windows\system32\cryptsvc.dll
2012-04-24 05:37 . 2012-06-13 14:44 140288 ----a-w- c:\windows\system32\cryptnet.dll
2012-04-24 05:37 . 2012-06-13 14:44 1462272 ----a-w- c:\windows\system32\crypt32.dll
2012-04-24 04:36 . 2012-06-13 14:44 1158656 ----a-w- c:\windows\SysWow64\crypt32.dll
2012-04-24 04:36 . 2012-06-13 14:44 140288 ----a-w- c:\windows\SysWow64\cryptsvc.dll
2012-04-24 04:36 . 2012-06-13 14:44 103936 ----a-w- c:\windows\SysWow64\cryptnet.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{082AE893-DCF4-4dcf-9A01-5EA5D680B832}]
2010-11-05 01:58 297808 ----a-w- c:\windows\System32\mscoree.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-04-13 284696]
"Norton Online Backup"="c:\program files (x86)\Symantec\Norton Online Backup\NOBuClient.exe" [2010-06-01 1155928]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-06-02 61112]
"hpqSRMon"="c:\program files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-12-08 421736]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2011-10-20 163992]
"HP Quick Launch"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe" [2012-02-15 577408]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files (x86)\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-06-18 103992]
R2 RtVOsdService;RtVOsdService Installer;c:\program files\Realtek\RtVOsd\RtVOsdService.exe [2010-06-17 315392]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-14 250056]
R3 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\7.1.361.0\SeaPort.exe [2012-02-10 240408]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2012-02-15 99384]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-19 113120]
R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-09-23 225280]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-06-10 539240]
R3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;c:\windows\system32\DRIVERS\silabenm.sys [2011-02-08 27336]
R3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;c:\windows\system32\DRIVERS\silabser.sys [2011-02-08 69120]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [2009-06-10 292864]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [2009-06-10 1485312]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [2009-06-10 740864]
R3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2012-02-15 203320]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-08-02 51712]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-11-07 1255736]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-06-10 389120]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NISx64\1207020.003\SYMDS64.SYS [2011-01-27 450680]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NISx64\1207020.003\SYMEFA64.SYS [2011-03-15 912504]
S1 BHDrvx64;BHDrvx64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.0.0.128\Definitions\BASHDefs\20111221.003\BHDrvx64.sys [2011-11-14 1156216]
S1 IDSVia64;IDSVia64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.0.0.128\Definitions\IPSDefs\20120104.002\IDSvia64.sys [2011-11-04 488568]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NISx64\1207020.003\Ironx64.SYS [2011-01-27 171128]
S1 SymNetS;Symantec Network Security WFP Driver;c:\windows\System32\Drivers\NISx64\1207020.003\SYMNETS.SYS [2011-04-21 386168]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AERTFilters;Andrea RT Filters Service;c:\program files\Realtek\Audio\HDA\AERTSr64.exe [2009-11-18 98208]
S2 BBSvc;BingBar Service;c:\program files (x86)\Microsoft\BingBar\7.1.361.0\BBSvc.exe [2012-02-10 193816]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [2010-07-06 188416]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 ezSharedSvc;Easybits Services for Windows;c:\windows\System32\ezSharedSvcHost.exe [x]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-09-01 227896]
S2 HPWMISVC;HPWMISVC;c:\program files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe [2012-02-15 34872]
S2 hshld;Hotspot Shield Service;c:\program files (x86)\Hotspot Shield\bin\openvpnas.exe [2012-01-06 331608]
S2 HssWd;Hotspot Shield Monitoring Service;c:\program files (x86)\Hotspot Shield\bin\hsswd.exe [2012-01-04 329544]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-04-13 13336]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-07-03 655944]
S2 NIS;Norton Internet Security;c:\program files (x86)\Norton Internet Security\Engine\18.7.2.3\ccSvcHst.exe [2011-04-17 130008]
S2 NOBU;Norton Online Backup;c:\program files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe SERVICE [x]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-18 2320920]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2011-11-09 138360]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-02-03 271872]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-07-03 24904]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2011-10-01 764264]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2011-10-01 268648]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2011-10-01 25960]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2011-10-01 22376]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-05-19 08:36 451872 ----a-w- c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-22 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-08 19:42]
.
2012-07-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-505698529-883811200-1810550173-1000Core.job
- c:\users\Damiwan\AppData\Local\Google\Update\GoogleUpdate.exe [2011-12-10 19:31]
.
2012-07-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-505698529-883811200-1810550173-1000UA.job
- c:\users\Damiwan\AppData\Local\Google\Update\GoogleUpdate.exe [2011-12-10 19:31]
.
2012-07-20 c:\windows\Tasks\HPCeeScheduleForDamiwan.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 01:53]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
2012-01-04 23:02 287048 ----a-w- c:\program files (x86)\Hotspot Shield\HssIE\HssIE_64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RtkNGUI64.exe" [2010-03-13 6234144]
"HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-06-18 8192]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-28 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-28 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-28 415256]
"Logitech Download Assistant"="c:\windows\System32\LogiLDA.dll" [2010-11-03 1580368]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 660360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uStart Page = about:Tabs
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.254
FF - ProfilePath - c:\users\Damiwan\AppData\Roaming\Mozilla\Firefox\Profiles\j2v2purr.default\
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-EasyBits Magic Desktop - c:\windows\system32\ezMDUninstall.exe
AddRemove-SLABCOMM&10C4&EA60 - c:\program files (x86)\Silabs\MCU\CP210x\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60
AddRemove-{6F44AF95-3CDE-4513-AD3F-6D45F17BF324} - c:\program files (x86)\InstallShield Installation Information\{6F44AF95-3CDE-4513-AD3F-6D45F17BF324}\setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NIS]
"ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\18.7.2.3\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files (x86)\Norton Internet Security\Engine\18.7.2.3\diMaster.dll\" /prefetch:1"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows CE Services]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\SysWOW64\ezSharedSvcHost.exe
c:\program files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
.
**************************************************************************
.
Heure de fin: 2012-07-22 07:31:31 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-22 05:31
.
Avant-CF: 81 699 790 848 octets libres
Après-CF: 83 440 406 528 octets libres
.
- - End Of File - - 4DA9936D156035B68C147982FE01EFBA



Modifié par Damiwan le 22/07/2012 23:56
Fill
 Posté le 23/07/2012 à 09:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Télécharge SystemLook de jpshortstuff sur ton Bureau à partir d'un des liens ci-dessous.


Donwload Mirror #3 64 bits version

  • Double-clique sur SystemLook.exe pour le lancer.
  • Clic droit|Copier le contenu du cadre ci-dessous et clic droit|Coller dans la zone texte de SystemLook :
    Code
    SCRIPT

Instructions:
:dir
c:\windows\system32\%APPDATA% /s
c:\programdata\0C1CFAF416E390E1E1A2AE86F875F002 /s
c:\users\Damiwan\AppData\Roaming\Keavke /s
c:\users\Damiwan\AppData\Roaming\Butypa /s
c:\users\Damiwan\AppData\Roaming\Sutoe /s
c:\program files\Zero G Registry /s

  • Clique sur le bouton Look pour démarrer l'examen.
  • A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

Nota Bene : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

Fill

Damiwan
 Posté le 23/07/2012 à 10:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok, je fais ça en rentrant ce soir. Merci.

Damiwan
 Posté le 24/07/2012 à 00:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir, me revoilà enfin devant l'ordi. Voici le rapport SystemLook.txt :

SystemLook 30.07.11 by jpshortstuff
Log created at 00:34 on 24/07/2012 by Damiwan
Administrator - Elevation successful

No Context: Instructions:

========== dir ==========

c:\windows\system32\C:\Users\Damiwan\AppData\Roaming - Unable to find folder.

c:\programdata\0C1CFAF416E390E1E1A2AE86F875F002 - Parameters: "/s"

---Files---
0C1CFAF416E390E1E1A2AE86F875F002 --a---- 1872 bytes [20:03 14/07/2012] [20:09 14/07/2012]
0C1CFAF416E390E1E1A2AE86F875F002.ico --a---- 4286 bytes [20:02 14/07/2012] [20:02 14/07/2012]

No folders found.

c:\users\Damiwan\AppData\Roaming\Keavke - Parameters: "/s"

---Files---
None found.

No folders found.

c:\users\Damiwan\AppData\Roaming\Butypa - Parameters: "/s"

---Files---
cuep.tmp --a---- 100959 bytes [20:01 14/07/2012] [20:01 14/07/2012]

No folders found.

c:\users\Damiwan\AppData\Roaming\Sutoe - Parameters: "/s"

---Files---
ihsui.olb --a---- 415853 bytes [00:13 24/04/2012] [20:01 14/07/2012]

No folders found.

c:\program files\Zero G Registry - Parameters: "/s"

---Files---
.com.zerog.registry.xml --a---- 2503 bytes [06:13 26/06/2012] [06:13 26/06/2012]

No folders found.

-= EOF =-

Fill
 Posté le 24/07/2012 à 10:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

1/

  • Télécharge OTM (de Old_Timer) sur ton bureau,
  • Double-clique sur OTM.exe pour lancer le programme,
  • Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

Begin copying here:

:Files
c:\programdata\0C1CFAF416E390E1E1A2AE86F875F002
c:\users\Damiwan\AppData\Roaming\Keavke
c:\users\Damiwan\AppData\Roaming\Butypa
c:\users\Damiwan\AppData\Roaming\Sutoe
c:\program files\Zero G Registry


:Commands
[EmptyFlash]
[EmptyTemp]
[Start Explorer]

  • Clique sur MoveIt! pour lancer la suppression,
  • Le résultat appraraîtra dans le cadre Results.
  • Clique sur Exit pour fermer le programme.
  • Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
  • Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

2/

  • Exécute le programme roguekiller (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification) :

  • Clique sur le bouton "Scan" pour lancer l'analyse,
  • Un rapport nommé RKreport[6] doit être créé sur ton Bureau. Copie son contenu dans ta prochaine réponse.

3/

  • Télécharge Ccleaner Slim sur le Bureau,
  • Installe-le,
  • Ouvre ccleaner et clique sur "Lancer le nettoyage".

4/ Relance malwarebyte's, mets-le à jour et lance une analyse rapide. Edite le rapport.

5/ Fais un san en ligne avec Eset comme indiqué ici et édite le rapport.

6/

Télécharger ZHPDiag de Nicolas Coolman


Double-cliquer sur le fichier ZHPDiag2.exe pour installer l'outil.

Sous Windows Vista et Windows 7, accepter l'exécution du fichier et ne pas modifier les options par défaut.

(Il n'est pas nécessaire de redémarrer.) Sur le bureau seront créées trois icônes

Sous XP, double clic sur celle de droite sur l'image

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tounevis (1) et choisissez Tous (2)
En cas de blocage, sur O80 par exemple ou 043,045, cliquez sur le tournevis pour les décocher

Cliquer sur la loupe pour lancer un scan (3)

Affichage du rapport à enregistrer

Le rapport sera enregistré sur le bureau

Vu la taille assez importante de ce dernier et pour éviter de le saucissonner et de gêner la lisibilité sur le forum, il sera hébergé comme indiqué ci-dessous. Au bas de la page de création du sujet ou d'une réponse cliquer sur "Insérer un rapport"

Dans la page suivante, cliquer sur "Parcourir" pour pointer vers le rapport ZHPDiag.txt qui devrait être sur votre bureau ou en C:

Cliquer maintenant sur "Envoyer"

Les explications en détails

Remarque : Si le rapport est trop volumineux pour l'héberger de cette façon, passer par un hébergeur comme Cjoint par exemple en cochant 4 jours pour la durée d'hébergement. Communiquer le lien obtenu.

Fill



Modifié par Fill le 24/07/2012 10:13
Damiwan
 Posté le 24/07/2012 à 11:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour, voici pour OTM (le rapport s'est affiché après redémarrage) :

All processes killed
Error: Unable to interpret <Begin copying here:> in the current context!
========== FILES ==========
c:\programdata\0C1CFAF416E390E1E1A2AE86F875F002 folder moved successfully.
c:\users\Damiwan\AppData\Roaming\Keavke folder moved successfully.
c:\users\Damiwan\AppData\Roaming\Butypa folder moved successfully.
c:\users\Damiwan\AppData\Roaming\Sutoe folder moved successfully.
c:\program files\Zero G Registry folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Damiwan
->Flash cache emptied: 59490 bytes

User: Default
->Flash cache emptied: 56478 bytes

User: Default User

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Damiwan
->Temp folder emptied: 8612178 bytes
->Temporary Internet Files folder emptied: 179229704 bytes
->Java cache emptied: 75867 bytes
->FireFox cache emptied: 105713068 bytes
->Flash cache emptied: 0 bytes

Damiwan
 Posté le 24/07/2012 à 11:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Damiwan [Droits d'admin]
Mode: Recherche -- Date: 24/07/2012 11:50:52

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEKT-60A25T1 +++++
--- User ---
[MBR] 92653e1479b9a7031d5dd28112382e48
[BSP] a504996d1aab57a96348349e1ca5cc44 : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 222082 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 455233536 | Size: 16089 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 488183808 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt



Publicité
Damiwan
 Posté le 24/07/2012 à 12:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.24.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Damiwan
DAMIWAN-HP [administrateur]

Protection: Activé

24/07/2012 12:10:03
mbam-log-2012-07-24 (12-10-03).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 193347
Temps écoulé: 2 minute(s), 3 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Damiwan
 Posté le 24/07/2012 à 14:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

5 / ESET -> Voici ce qu'il y a dans log.txt :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK

Je mets aussi le résultat de l'analyse :

C:\Qoobox\Quarantine\C\Windows\System32\Services.exe.vir Win64/Patched.B.Gen cheval de troie
C:\Users\Damiwan\Desktop\RK_Quarantine\80000000.@.vir Win64/Sirefef.AL cheval de troie
C:\Users\Damiwan\Desktop\RK_Quarantine\ecsoc.exe.vir Win32/Spy.Zbot.AAO cheval de troie
C:\Users\Damiwan\Desktop\RK_Quarantine\findgman.dll.vir Win32/PSW.Papras.CE cheval de troie
C:\Users\Damiwan\Desktop\RK_Quarantine\findgman64.dll.vir une variante probable de Win32/Agent.BFLZSSL cheval de troie
C:\Users\Damiwan\Desktop\RK_Quarantine\n.vir Win64/Sirefef.W cheval de troie

Damiwan
 Posté le 24/07/2012 à 14:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

6/ Et enfin :

Fichier joint : ZHPDiag.txt



Modifié par Damiwan le 24/07/2012 15:54
Fill
 Posté le 24/07/2012 à 15:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/ Renomme Combofix en Uninstall et double-clique dessus.

2/

  • Ce forum aide gratuitement à la désinfection des machines en échange d'une prise de conscience des dangers liés à l'usage d'Internet. On n'est que rarement infecté accidentellement. C'est d'ailleurs rassurant pour tous ceux qui sont prudents. La plupart des sources d'infections sont véhiculées par les logiciels de partage de fichiers (torrent, p2p), par l'utilisation de cracks ou keygens et par des sites à contenus pornographiques. Je t'invite donc à changer en profondeur tes habitudes de surf, pas pour des raisons morales ou juridiques, mais simplement parce que si tu recommences, ta machine sera irrémédiablement ré-infectée, quelles que soient d'ailleurs les protections que tu pourrais envisager.
  • Tu te demandes sans doute quel est l'intérêt de véhiculer des infections ? Pour les $$$, les € et les roubles.
  • Une machine compromise peut être intégrée dans un botnet. Ces réseaux de machines zombies peuvent mener des attaques contre des sites Internet légitimes, envoyer du spam (pub ou pièces jointes infectieuses). Cette machine peut également être utilisée pour stocker des fichiers illégaux (peut-être pédo-pornographique), ou espionnée pour y dénicher des mots de passe ou des identifiants bancaires, paypal etc...
  • Tape sur ce lien quelques-uns des noms d'infections décelées sur ta machine pour t'en convaincre.
  • Le jeu en vaut-il la chandelle ? Je t'invite donc à désinstaller tous les logiciels de partage de fichiers et les cracks/keygens que tu peux avoir.
  • J'aide les gens infectés accidentellement et de bonne foi. Maintenant, si tu te retrouves infecté pour les mêmes raisons, tu ne pourras plus dire que tu ne savais pas.
  • A ce titre, je t'incite fortement à désinstaller utorrent.

3/

  • Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :

EmptyTemp
EmptyFlash
EmptyCLSID
R3 - URLSearchHook: (no name) [64Bits] - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Google Inc. - Google Update.) (No version) -- (.not file.)
O2 - BHO: (no name) [64Bits] - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
O43 - CFD: 17/07/2010 - 20:40:31 - [33,718] ----D C:\ProgramData\{8D274659-3D84-4410-A197-C170D180BC76}
O43 - CFD: 29/12/2011 - 02:34:01 - [0,853] ----D C:\ProgramData\{93E26451-CD9A-43A5-A2FA-C42392EA4001}
O43 - CFD: 08/05/2012 - 17:45:01 - [45,653] ----D C:\ProgramData\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
O43 - CFD: 21/11/2011 - 22:16:42 - [45,266] ----D C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
[HKLM\SYSTEM\CurrentControlSet\Services\HssSrv] =>Toolbar.Agent
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] =>Toolbar.Agent
[HKLM\Software\WOW6432Node\HotspotShield] =>Toolbar.Conduit
C:\Program Files (x86)\Hotspot Shield =>Toolbar.Conduit
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hotspot Shield =>Toolbar.Conduit

  • Lance ZHPFix de Nicolas Coolman qui se trouve dans C:\Program Files\ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
  • Le logiciel s'ouvre,
  • Clique sur le bouton H pour importer dans l'outil lesl ignes que tu as sélectionnées.
  • Clique sur OK comme indiqué ci-dessous :

  • Les lignes du rapport apparaissent alors avec des cases à cocher.
  • Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Go" comme ceci :

  • Ceci va avoir pour effet de réaliser un correctif.
  • Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
  • Si un redémarrage est demandé, effectue-le.
  • Copie-colle le contenu du rapport situé dans le dossier C:\ZHP et qui se nomme ZHPFix[1].txt

4/ Comment se comporte le pc ? Si c'est OK, on finalise le nettoyage et je te donne les dernières consignes.

Fill

Damiwan
 Posté le 24/07/2012 à 16:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

1/ ComboFix désinstallé

2/ À ce stade je te remercie de ton aide et je suppose que tu as copié-collé ce texte et que tu mets ça à tout le monde car je ne me sens pas vraiment concerné par ces allégations. Je pense être bien mieux informé que la moyenne et peut me targuer de savoir en général éviter les pièges d'internet. Je ne clique jamais sur un lien sans vérifier le chemin dans la barre d'état, me méfie comme de la peste de tout fichier suspect, ne relaie JAMAIS de hoax et envoie au contraire un lien d'information à ceux qui m'en transfèrent, ne me sers que très peu (quasiment jamais) du P2P, évite les liens foireux sur les sites de DDL et autres, n'ai aucun cracks/keygens, etc. En somme, je fais pas n'importe quoi et je ne suis plus tout à fait un newbie (j'ai passé pas mal de temps à lire des trucs sur des sites tels secuser.com suite à mes premières erreurs) et je suis pas mal sensibilisé à la question de la sécurité informatique. Effectivement, cette fois, j'ai baissé la garde. Mon système et mon navigateur n'étaient pas à jour, j'allais y rémédier lorsque le pare-feu de Windows (!) a bloqué un programme (parachutes.exe ) soi-disant édité par Samsung et comme un bleu j'ai autorisé l'accès. Avant ça je n'avais aucun problème et je pense que tous ces trojans et autres sont arrivés à ce moment-là, me trompe-je ?

J'ai cherché les infections décelées sur ma machine sur ThreatExpert -> "No records found" à chaque fois...

3/Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre :
Run by Damiwan at 24/07/2012 16:35:50
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
SUPPRIME Key*: HKLM\SYSTEM\CurrentControlSet\Services\HssSrv
SUPPRIME Key*: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv
SUPPRIME Key*: HKLM\Software\WOW6432Node\HotspotShield

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Damiwan\AppData\Local\{debeda5d-530b-5666-7988-92bb31e33afc}
SUPPRIME Folder: C:\ProgramData\{8D274659-3D84-4410-A197-C170D180BC76}
SUPPRIME Folder: C:\ProgramData\{93E26451-CD9A-43A5-A2FA-C42392EA4001}
SUPPRIME Folder: C:\ProgramData\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
SUPPRIME Folder: C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
SUPPRIME Reboot Folder**: c:\program files (x86)\hotspot shield
SUPPRIME Folder: c:\programdata\microsoft\windows\start menu\programs\hotspot shield

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Valeur(s) du Registre
7 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/07/2012 16:35:50 [1601]

4/ Le PC se comporte apparemment normalement depuis les premiers correctifs appliqués (à part la détection d'un "processus malicieux" (GWEHO.EXE) par MalwareBytes), même si RogueKiller continuait de déceler ZeroAccess... Donc, plus de problème apparent.



Modifié par Damiwan le 24/07/2012 17:19
Damiwan
 Posté le 24/07/2012 à 16:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je voulais dire qu'effectivement, cette fois, j'ai baissé la garde. Mon système et mon navigateur n'étaient pas à jour, j'allais y rémédier lorsque le pare-feu de Windows (!) a bloqué un programme (parachutes.exe ) soi-disant édité par Samsung et comme un bleu j'ai autorisé l'accès. Avant ça je n'avais aucun problème et je pense que tous ces trojans et autres sont arrivés à ce moment-là, me trompe-je ?



Modifié par Damiwan le 24/07/2012 16:56
Fill
 Posté le 24/07/2012 à 17:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

C'est en effet un discours générique, mais j'ai vu que tu n'étais pas concerné par les cracks.

Cette infection s'installe en effet par des failles exploitées par des mises à jour non faites.

Pour le rogue : www.google.com%2Fcoop%2Fintl%2Fen%2Fimages%2Fcustom_search_sm.gif%3BLH%3A65%3BLP%3A1%3BVLC%3A%23551a8b%3BGFNT%3A%23666666%3BDIV%3A%23cccccc%3B&adkw=AELymgXPD0Kr6HPu1k3MLW2PEih55ifsKqqdZgANEneosjgx48hO4IYWtzD3mP_E3pKLfNKHOanG5JuN22EfTL-lGafbr_xbotSV7ivnvvPlNFEuCCNXWnQ&boostcse=0&q=%22Live+security+platinum%22&btnG=Search&cx=000803903574434752404%3Aznxwnaiatxq">www.google.com%2Fcoop%2Fintl%2Fen%2Fimages%2Fcustom_search_sm.gif%3BLH%3A65%3BLP%3A1%3BVLC%3A%23551a8b%3BGFNT%3A%23666666%3BDIV%3A%23cccccc%3B&adkw=AELymgXPD0Kr6HPu1k3MLW2PEih55ifsKqqdZgANEneosjgx48hO4IYWtzD3mP_E3pKLfNKHOanG5JuN22EfTL-lGafbr_xbotSV7ivnvvPlNFEuCCNXWnQ&boostcse=0&q=%22Live+security+platinum%22&btnG=Search&cx=000803903574434752404%3Aznxwnaiatxq" target="_blank">http://www.google.com/custom?hl=en&client=pub-2525978113243420&cof=FORID%3A1%3BAH%3Aleft%3BCX%3AMalware%2520Search%2520Engine%3BL%3Ahttp%3A%2F%2Fwww.google.com%2Fcoop%2Fintl%2Fen%2Fimages%2Fcustom_search_sm.gif%3BLH%3A65%3BLP%3A1%3BVLC%3A%23551a8b%3BGFNT%3A%23666666%3BDIV%3A%23cccccc%3B&adkw=AELymgXPD0Kr6HPu1k3MLW2PEih55ifsKqqdZgANEneosjgx48hO4IYWtzD3mP_E3pKLfNKHOanG5JuN22EfTL-lGafbr_xbotSV7ivnvvPlNFEuCCNXWnQ&boostcse=0&q=%22Live+security+platinum%22&btnG=Search&cx=000803903574434752404%3Aznxwnaiatxq

Il y a pas mal d'exemple

Il faudra changertous tes mots de passe, surtout si tu consultes tes comptes en ligne :

Win32/Spy.Zbot.AAO cheval de troie
Win32/PSW.Papras.CE cheval de troie

C'est leur spécialité.

1/

  • Ouvre ZHPFix dans C:\Program files\ZHPDiag
  • Clique sur ces boutons pour supprimer tous les éléments de la quarantaine et pour supprimer les outils utilisés :


.
2/

  • Télécharge et enregistre Delfix sur ton Bureau,
  • Lance le programme (double-clic ou clic droit>Exécuter en tant qu'administrateur),
  • Le programme va s'exécuter et un rapport va s'ouvrir. Cela peut prendre un peu de temps. Edite ce rapport par copier-coller.
  • Celui-ci se trouve également ici : C:\DelFixSuppr
  • Lorsque le rapport est édité, relance Delfix et choisis "Suppression".
  • Edite également ce rapport.

3/ Tu peux par contre, garderMalwarebytes'Anti-malware et CCleaner. Utilise CCleaner tous les soirs avant de couper le PC (ne prends que quelques secondes!).

N'oublie pas de vacicner tes clés USB, disques durs externes etc...

Cela permet d'éviter un certain nombre d'infections utilisant ce moyen pour se propager.

Tu peux lire cet article qui explique les risques d'infections par supports amovibles.
Tu peux télécharger USBSet de Loup Blanc. Voici un tuto pour configurer correctement l'outil préventif. Comment c'est le cas pour tout vaccin, il n'évitera pas toutes les infections par ce type de support mais permet de réduire le facteur de risques en configurant correctement la machine et la clé.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.


4/

Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.Cela englobe les mises à jour de windows, du navigateur, de Java, des lecteurs pdf, et notamment reader.

Pour Java, il est possible d'utiliser Javara. Cela permet d'installer la dernière version De Java et d'effacer les anciennes versions.

Pour le lecteur pdf, on peut utiliser des lecteurs alternatifs plus légers, comme Sumatra pdf, à la place de reader.

Pour tester les vulnérabilités et les logiciels non à jour, il est possible de se rendre sur le site de Secunia et de faire une analyse de la machine.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
5/

/!\ Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.

Ré-activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarre l'ordinateur.

Comment faire pour désactiver la Restauration du système sous XP

Vider les points de Restauration système sous Vista

Activerou désactiver la Restauration du système sous Windows 7

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

6/ Il est très important d'adopter un logiciel permettant de créer des images de son système. En cas de gros plantage, de défaillance matérielle, d'infection incurable, on peut ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet. On peut alors conserver une image disque sur sa machine et sur un support extérieur (Disque dur externe). Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.

Voici DiskWizard, qui est une version bridée gratuite du logiciel Acronis. Elle s'utilise pour les disques de marque Seagate.
Téléchargement : Diskwizard
Tuto : Diskwizard

Pour les disques Western Digital :
Téléchargement : Acronis True Image WD Edition
Tuto : Acronis True Image WD Edition

Pour les disques Maxtor :
Téléchargement : Maxblast
Tuto : Maxblast

Le programme Macrium permet lui aussi de créer des images disques. Un tuto présenté sur cette page.
Il y a aussi DriveImage, qui offre des fonctionnalités intéressantes. Voici un tuto bien sur le site libellule.
Enfin, on peut aussi citer Drive Backup 9 free edition.

Pour windows7, il y a l'outil natif intégré à cette architecture qui est décrit ici.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

Sécuriser son PC +WIFI (versions "hot" & "light") : https://forum.pcastuces.com/sujet.asp?f=25&s=25892

Prévention et protection - Comment vous prémunir : https://forum.pcastuces.com/sujet.asp?f=25&s=36131

Les risques sécuritaires du peer-to-peer en 10 points : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou

dans la barre de titre de ton sujet. Merci !

Prudence sur Internet et parle de PC Astuces autour de toi!

Bon surf et sois prudent !

Fill



Modifié par Fill le 24/07/2012 18:41
Damiwan
 Posté le 24/07/2012 à 17:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : DelFix[R1].txt

Damiwan
 Posté le 24/07/2012 à 17:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : DelFix[S1].txt

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
64,99 €Alimentation PC Corsair CV650 650W à 64,99 €
Valable jusqu'au 18 Janvier

Boulanger fait une promotion sur l'alimentation PC Corsair CV650 650W à 64,99 € au lieu de 80 € ailleurs. Cette alimentation certifiée 80+ Bronze dispose d'un ventilateur thermorégulé de 120 mm qui assure le refroidissement silencieux de votre système, tandis que son format compact s’adapte facilement à presque tous les boîtiers PC modernes avec une longueur de seulement 125mm.


> Voir l'offre
18,80 €Carte mémoire SDXC UHS-I U3 SanDisk Extreme Plus 128 Go (jusqu'à 160 Mo/s) à 18,80 €
Valable jusqu'au 19 Janvier

Un vendeur sur Cdiscount fait une belle promotion sur la carte mémoire SDXC UHS-I U3 SanDisk Extreme Plus d'une capacité de 128 Go qui passe à 18,80 € alors qu'on trouve la carte ailleurs à partir de 30 €. Cette carte mémoire offre des vitesses jusqu'à 160 Mo/s en lecture et 90 Mo/s en écriture et intègre des mécanismes afin de gérer l'usure des cellules de la carte et augmenter ainsi sa durée de vie. Une valeur sûre pour les plus exigeants. Elle résiste aux températures extrêmes, à l'eau, aux chocs et aux rayons X.


> Voir l'offre
16,54 €Webcam Elephone Ecam (FullHD, 5MP, autofocus) à 16,54 € livrée
Valable jusqu'au 19 Janvier

Gearbest fait une promotion sur la Webcam Elephone Ecam (FullHD, 5MP, autofocus) qui passe à 14,94 €. Comptez 1,60 € pour la livraison et l'assurance soit un total de 16,54 € livrée. Cette très bonne webcam à brancher sur un port USB de votre ordinateur possède un micro intégrée et un système de pose universelle qui vous permettre de la mettre sur votre écran ou sur votre bureau.

Ce marchand sérieux se trouvant en Chine, la livraison peut prendre une vingtaine de jours. Vous pouvez payer par carte bancaire ou par Paypal (conseillé pour bénéficier de la garantie Paypal).


> Voir l'offre

Sujets relatifs
Rootkit ZeroAccess, Rogue Live Security Platinum
Infection Live security Platinum
Virus Live Security Platinum & pc démarre plus
Infection par Live Security Platinum
virus live security platinum non supprimable
live sécurity platinum
Rogue Live Security Platinium
Live Security Platinum aussi
Virus Live Security Platinum
rogue internet security 2013
Plus de sujets relatifs à Rogue Live Security Platinum...
 > Tous les forums > Forum Sécurité