> Tous les forums > Forum Sécurité
 Virus Live Security Platinium
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Samgave-13
  Posté le 26/07/2012 @ 14:37 
Aller en bas de la page 
Petit astucien

Bonjour,

Mon PC hier soir est tombé en rade malgré l'antivirus SFR à 5 € / mois. Pour résumer, un scan de mes fichiers est intervenu et m'a informé de la présence de 38 infections (trojan / worm ...). La solution proposée est alors la mise à jour payante de Live Security Platinimum. N'étant pas un spécialiste, une bonne âme peu-il me donner un coup de main en échange d'une grande reconnaissance.

Pour info : message envoyé du boulot car mon PC semble être en rade. Quelle que soit l'opération lancée, elle est bloquée. Première étape : dois-je démarrer en mode sans échec.

Un grand merci d'avance

Samuel

Publicité
Fill
 Posté le 26/07/2012 à 15:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour, et bienvenue sur pca.

Si tu as ouvert un sujet ailleurs, merci de m'en informer afin que je ne fasse pas de recherches inutiles si c'est en cours sur un autre forum. Si tu désires continuer ici, préviens les autres forums et ferme les autres sujets.

  • Je te propose de créer un CD bootable qui permettra de faire démarrer le PC dans un environnement spécial et d'effectuer une analyse du PC. Ensuite il sera possible, à partir de cet environnement spécial, de nettoyer et réparer le PC.
  • Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD spécial.
  • Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
  • Si un élément te paraît obscur, demande des explications avant de commencer la procédure.



Étape 1: OTLPE (de OldTimer), préparation

  • Sur un autre PC, "bien portant", télécharger OTLPE.
  • Le fichier est assez lourd donc le téléchargement peut prendre un peu de temps.
  • Insérer un CD vierge dans le graveur.
  • Double-cliquer sur le fichier téléchargé. Cela va procéder de façon automatique au brûlement du fichier téléchargé sur le CD.
  • Cela nous permettra d'intervenir sur le pc même s'il est inaccessible.
  • Branche le pc en mode filaire et non en WiFi.

Étape 2:

  • Modifier le BIOS du PC "malade" afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici (en anglais) ou ici (en français).
  • Faire redémarrer le PC "malade", qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE.

Étape 3:

  • A partir de l'environnement OTLPE :
  • Télécharge Roguekiller de Tigzy sur ton Bureau,
  • Exécute le programme (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification) :

  • Clique sur le bouton "Scan" pour lancer l'analyse,
  • Un rapport nommé RKreport[1] doit être créé sur ton Bureau. Copie son contenu dans ta prochaine réponse.

Fill



Modifié par Fill le 26/07/2012 15:07
Samgave-13
 Posté le 26/07/2012 à 16:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut Fill,

Merci pour le coup de main.

A ta question : c'est ma seule unique de demande d'aide donc si c'est ok pour toi je continue avec toi.

S'agissant de la création d'un CD Bootable, c'est en cours. Programme téléchargé mais je ne pourrai le graver que demain.

Un grand merci pour le coup de main, la procédure est déjà imprimée, en mode compréhension comment démarrer le BIOS du PC. Pour info j'ai un portable HP de mémoire.

Je te tiens au courant de mes avancées

A très bientôt



Modifié par Samgave-13 le 26/07/2012 17:23
Fill
 Posté le 26/07/2012 à 20:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Samgave-13 a écrit :

Salut Fill,

Merci pour le coup de main.

A ta question : c'est ma seule unique de demande d'aide donc si c'est ok pour toi je continue avec toi.

S'agissant de la création d'un CD Bootable, c'est en cours. Programme téléchargé mais je ne pourrai le graver que demain.

Un grand merci pour le coup de main, la procédure est déjà imprimée, en mode compréhension comment démarrer le BIOS du PC. Pour info j'ai un portable HP de mémoire.

Je te tiens au courant de mes avancées

A très bientôt

Re,

Pas de problème et à demain

Samgave-13
 Posté le 27/07/2012 à 11:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut,

J'ai double cliqué sur le fichier après avoir mis le CD vers 8H30 et il à 11H30 l'écran affiche 0% extracting : esct-ce normal ? Je te précisé qu'étant donné que je suis au boulot, je bosse sur mon PC

Bonne journée

Fill
 Posté le 27/07/2012 à 11:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Non, c'est pas normal. C'est le pc sain que tu as pour faire la gravure ?

Fill

Samgave-13
 Posté le 27/07/2012 à 13:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Oui c'est un cd vierge que j'ai inséré dans mon PC du boulot qui, en principe, est clean



Modifié par Samgave-13 le 27/07/2012 13:42
Fill
 Posté le 27/07/2012 à 13:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Samgave-13 a écrit :

Oui c'est un cd vierge que j'ai inséré dans mon PC du boulot qui, en principe, est clean

Bon, ben c'est curieux que ça bloque.

1/ Peux-tu faire une copie d'OTLPE sur C ?

2/

  • Télécharge OTS de Old_Timer sur ton Bureau,
  • Désactive temporairement ton antivirus (pas le pare-feu).
  • !! Tu dois avoir ouvert un compte disposant de droits administrateurs pour exécuter le programme !!
  • Ferme tous les autres programmes à l'exception du navigateur,
  • Fais un double-clic sur le fichier OTS.exe (si tu es sous Vista, fais un clic droit sur OTS.exe et choisis d'exécuter en tant qu'administrateur),
  • Clique sur None dans la barre d'outils et coche "Include md5"
  • Fais un copier/coller de ce texte dans la zone "Custom Scans" :

C:\OTLPENet.exe

  • Ne modifie aucun autre paramètre,
  • Ensuite, clique sur le bouton "Run Scan" dans la barre d'outils et laisse tourner le programme,
  • Lorsque l'analyse est terminée, le bloc-note va s'ouvrir avec le rapport d'analyse.
  • Cliquer sur le menu Format et vérifier que Retour automatique à la ligne n'est pas coché.
  • Edite le rapport, en plusieurs si nécessaire si un message d'erreur apparait dans ta prochaine réponse quand tu veux le coller sur le forum.
  • Vérifie que la 1ère ligne et la dernière ligne du rapport édité est [code]
  • Réactive l'antivirus.
  • Edite le rapport, en plusieurs si nécessaire si un message d'erreur apparait dans ta prochaine réponse quand tu veux le coller sur le forum.

Fill

Samgave-13
 Posté le 27/07/2012 à 14:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Comme démandé dans ton 1er message j'ai téléchargé le logiciel, j'ai ce matin insérer le CD et 2x cliquer mais pas de "transfert" par la suite sur le CD. L'icône est sur mon bureau, il doit donc être sur mon C ?

Je ne pense pas pouvoir désactiver mon antivirus, je travaille dans une grande administration et en faisant cela je risque de me faire taper sur les doigts. Donc si il n'y a pas d'autre solution, je vais passer chez un collègue demain pour faire le CD. Ce dernier est sous Apple et mon portable vérolé sur window, ca va poser un problème pour le CD ?

Publicité
Fill
 Posté le 27/07/2012 à 15:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Oui, ça ne marchera pas à mon avis.

Tu essaieras de brancher le pc infecté en filaire et de démarrer en mode sans échec avec prise en charge réseau. Pour cela, tu tapotes sur f5 ou F8 au démarrage.

Ensuite, tu passes Rogue killer en mode recherche et tu édites le rapport.

Fill



Modifié par Fill le 27/07/2012 15:03
Samgave-13
 Posté le 27/07/2012 à 15:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok ça marche. Je tiens au courant ce soir ou demain dans la journée.

Bonne fin de journée

Samgave-13
 Posté le 28/07/2012 à 13:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut

Je commence la procédure : j'ai démarré mon portable en mode sans échec avec prise en charge du réseau. Par la suite j'ai tenté de passer par le compte administrateur mais le PC rame, il ne semble pas vouloir lancer la procédure. Je suis donc passé par le compte utilisateur pour télécharger OTLPE pour pouvoir par la suite lancer Roguekiller. Je tiens au courant.

Bonne journée

Samgave-13
 Posté le 28/07/2012 à 13:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je pense que ce n'est pas la peine de télécharger OTLPE {#} C'est fait, je passe directement à Roguekiller

Samgave-13
 Posté le 28/07/2012 à 13:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport :

RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: UTLS1 [Droits d'admin]
Mode: Recherche -- Date: 28/07/2012 13:51:58

¤¤¤ Processus malicieux: 2 ¤¤¤
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED
[SVCHOST] svchost.exe -- C:\windows\system32\svchost.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 10 ¤¤¤
[HJ NAME] HKCU\[...]\Run : HKCU (C:\windows\system32\WinDir\Svchost.exe) -> FOUND
[HJ NAME] HKUS\S-1-5-21-1482476501-1770027372-839522115-1003[...]\Run : HKCU (C:\windows\system32\WinDir\Svchost.exe) -> FOUND
[SUSP PATH] HKCU\[...]\RunOnce : 036DFF980055F359000619947B07D287 (C:\Documents and Settings\All Users\Application Data\036DFF980055F359000619947B07D287\036DFF980055F359000619947B07D287.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1482476501-1770027372-839522115-1003[...]\RunOnce : 036DFF980055F359000619947B07D287 (C:\Documents and Settings\All Users\Application Data\036DFF980055F359000619947B07D287\036DFF980055F359000619947B07D287.exe) -> FOUND
[HJ NAME] HKCU\[...]\Policies\Explorer\Run : Policies (C:\windows\system32\WinDir\Svchost.exe) -> FOUND
[HJ NAME] HKUS\S-1-5-21-1482476501-1770027372-839522115-1003[...]\Policies\Explorer\Run : Policies (C:\windows\system32\WinDir\Svchost.exe) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\n.) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Documents and Settings\UTLS1\Local Settings\Application Data\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\n.) -> FOUND
[ZeroAccess] HKLM\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\n.) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\n --> FOUND
[ZeroAccess][FILE] @ : c:\windows\installer\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\L --> FOUND
[ZeroAccess][FILE] n : c:\documents and settings\utls1\local settings\application data\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\n --> FOUND
[ZeroAccess][FILE] @ : c:\documents and settings\utls1\local settings\application data\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\documents and settings\utls1\local settings\application data\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\documents and settings\utls1\local settings\application data\{eb02a135-f37f-046e-6e6f-78dfe00d819f}\L --> FOUND

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543232L9A300 +++++
--- User ---
[MBR] 7fae4d593cdcd91c1da7369d5bcc5803
[BSP] 0a4c6d6b5cab4f4ba27e7d4a246ae340 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 82835 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 169646400 | Size: 222407 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt



Samgave-13
 Posté le 28/07/2012 à 13:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je pense que tu pourras le constater à la lecture du rapport mais j'ai déjà eu un problème avec le PC que j'ai réussi à contourner. Je ne pense cependant pas avoir tout remis à jour

Samgave-13
 Posté le 28/07/2012 à 14:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : RKreport[1].txt

Fill
 Posté le 28/07/2012 à 17:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

1/

  • Exécute le programme Roguekiller de Tigzy (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification).
  • Clique sur le bouton "Suppression" comme indiqué ici pour que le programme corrige les éléments trouvés :


Un rapport RKreport[2] créé sur ton Bureau. Copie/colle son contenu dans ta prochaine réponse.

2/

  • Téléchargez Combofix depuis l'un des liens ci-dessous:

    Lien 1
    Lien 2

    * IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

  • Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

  • Faites un double clic sur combofix.exe & suivez les invites.

  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

  • Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


Réduction à 95% de la taille originale [ 536 x 154 ]




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

Fill



Modifié par Fill le 28/07/2012 17:01
Publicité
Samgave-13
 Posté le 28/07/2012 à 18:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai suivi tes instructions : j'ai relancé Roguekiller puis n'ayant pas de données à l'écran j'ai rescanné avant de supprimer. J'ai ensuite télécharger sur le bureau Combofix puis activer ce dernier. Il a procédé à des extractions avant de me demander de fermer les fenêtres internet. Après plus rien pas de fenêtre qui s'ouvre

Samgave-13
 Posté le 28/07/2012 à 18:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : RKreport[2].txt

Samgave-13
 Posté le 28/07/2012 à 18:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai été imatient voci le CR :

ComboFix 12-07-27.03 - UTLS1 28/07/2012 18:09:46.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2042.1711 [GMT 2:00]
Lancé depuis: c:\documents and settings\UTLS1\Bureau\ComboFix.exe
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\036DFF980055F359000619947B07D287
c:\documents and settings\All Users\Application Data\036DFF980055F359000619947B07D287\036DFF980055F359000619947B07D287
c:\documents and settings\All Users\Application Data\036DFF980055F359000619947B07D287\036DFF980055F359000619947B07D287.exe
c:\documents and settings\All Users\Application Data\036DFF980055F359000619947B07D287\036DFF980055F359000619947B07D287.ico
c:\documents and settings\UTLS1\Application Data\Desktopicon
c:\documents and settings\UTLS1\Application Data\UTLS13SQLite3.dll
c:\documents and settings\UTLS1\Application Data\UTLS1log.dat
c:\documents and settings\UTLS1\Bureau\Live Security Platinum.lnk
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\SETEF.tmp
c:\windows\system32\SETF3.tmp
c:\windows\system32\SETFB.tmp
c:\windows\system32\windir
c:\windows\system32\winlogon.bak
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-28 au 2012-07-28 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-28 12:50 . 2012-07-28 12:50 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2012-07-28 11:30 . 2012-07-28 11:30 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2012-07-04 06:27 . 2012-07-04 06:27 -------- d-----w- c:\program files\iPod
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-11 19:01 . 2012-04-29 06:51 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-11 19:01 . 2011-05-17 17:48 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2006-03-02 12:00 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-06-05 15:50 . 2009-05-28 00:14 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:50 . 2006-03-02 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2006-03-02 12:00 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2009-05-28 12:12 16408 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-05-27 22:48 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-05-27 22:48 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-05-27 22:48 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-05-28 12:12 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-05-27 22:48 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-05-27 22:48 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2006-03-02 12:00 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-05-28 12:12 19480 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-05-28 12:12 16408 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-05-27 22:48 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-05-28 12:12 25112 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-05-27 22:48 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2009-08-04 07:13 214256 ----a-w- c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2009-08-04 07:13 18672 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2009-08-04 07:13 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-05-31 13:22 . 2006-03-02 12:00 606208 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:06 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-11 14:40 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2012-05-09 16:17 . 2010-09-16 18:35 44184 ----a-w- c:\windows\system32\drivers\fsbts.sys
2012-05-05 03:15 . 2006-03-02 12:00 2150400 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-19 16:04 2028544 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:47 . 2009-05-27 22:46 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-18 05:08 . 2011-05-08 09:37 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-05-28 . 8D71F28DEB37CC9C2E344095D8BFE1EE . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2008-04-13 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[7] 2006-03-02 . 123EEA158F74D0F67A51DCDF065D1091 . 506368 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-02-04 15:50 1197448 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2009-05-18 2363392]
"SMSystemAnalyzer"="c:\program files\iolo\System Mechanic Professional 6\SMSystemAnalyzer.exe" [2005-12-16 578048]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
"Facebook Update"="c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-05-03 17355912]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1310720]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"DiskeeperSystray"="c:\program files\Executive Software\Diskeeper\DkIcon.exe" [2004-12-21 180312]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 177456]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-05-28 1945600]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SystemGuardAlerter"="c:\program files\iolo\System Mechanic Professional 6\SystemGuardAlerter.exe" [2005-12-16 241152]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"F-Secure Manager"="c:\program files\SFR\Pack Sécurité\Common\FSM32.EXE" [2009-11-18 201128]
"F-Secure TNB"="c:\program files\SFR\Pack Sécurité\FSGUI\TNBUtil.exe" [2011-08-24 1655464]
"EEventManager"="c:\program files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-04-08 254696]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2008-04-13 138240]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2009-05-18 2363392]
.
c:\documents and settings\UTLS1\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0smrgdf c:\program files\iolo\System Mechanic Professional 6\
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [16/09/2010 20:35 44184]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [16/09/2010 20:35 81864]
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
R3 McAfeePF;McAfee Firewall Network Filter Miniport;c:\windows\system32\drivers\fw220.sys [15/11/2002 04:01 33280]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\SFR\Pack Sécurité\HIPS\drivers\fshs.sys [16/09/2010 20:34 69928]
S2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14/05/2009 17:07 759048]
S2 BBSvc;BingBar Service;c:\program files\Microsoft\BingBar\7.1.362.0\BBSvc.EXE [13/02/2012 21:19 193816]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [17/12/2010 15:18 136176]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [03/05/2012 08:31 158856]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [22/04/2011 14:21 92592]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [29/04/2012 08:51 250056]
S3 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\7.1.362.0\SeaPort.EXE [13/02/2012 21:19 240408]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [28/05/2009 03:10 222512]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\SFR\Pack Sécurité\Anti-Virus\minifilter\fsgk.sys [16/09/2010 20:34 149672]
S3 FSORSPClient;F-Secure ORSP Client;c:\program files\SFR\Pack Sécurité\ORSP Client\fsorsp.exe [16/09/2010 20:34 61088]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [17/12/2010 15:18 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [29/04/2012 19:55 113120]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [16/10/2011 14:29 18432]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-05-18 15:54 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-29 19:01]
.
2012-07-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-07-25 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1482476501-1770027372-839522115-1003Core.job
- c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-05-16 19:13]
.
2012-07-25 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1482476501-1770027372-839522115-1003UA.job
- c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-05-16 19:13]
.
2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 13:18]
.
2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 13:18]
.
2012-07-24 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\SFR\PACKSC~1\ANTI-V~1\fsav.exe [2010-09-16 16:06]
.
2012-07-26 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-02-04 15:50]
.
2012-07-26 c:\windows\Tasks\User_Feed_Synchronization-{B7FE4C7A-81D2-4F4D-BE15-8B911F23836D}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\program files\SFR\Pack Se9,curite9,\FSPS\program\FSLSP.DLL
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\UTLS1\Application Data\Mozilla\Firefox\Profiles\814xs5oa.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
.
.
------- Associations de fichier -------
.
JSEFile=NOTEPAD.EXE %1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKLM-Run-UnlockerAssistant - c:\program files\Unlocker\UnlockerAssistant.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-28 18:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1116)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
.
Heure de fin: 2012-07-28 18:18:10
ComboFix-quarantined-files.txt 2012-07-28 16:18
.
Avant-CF: 43 703 644 160 octets libres
Après-CF: 44 713 881 600 octets libres
.
- - End Of File - - 8B7FFE6C127E4223CCD1C7F042D1CDF5

Samgave-13
 Posté le 28/07/2012 à 18:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Fill
 Posté le 28/07/2012 à 18:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

OK. Combofix passe donc c'est une bonne chose. Par contre, la console de récupération n'a pas été installée donc ça limite l'efficacité de l'outil.

1/

  • Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas où le pc ne redémarrerait plus suite à la désinfection.
  • Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation et enregistre ce fichier sur le bureau. Ne modifie pas le nom du fichier surtout!

    Microsoft Windows XP Professionnel SP2
  • Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

  • Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
  • Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.
  • Note > à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

2/

  • Exécute le programme Roguekiller de Tigzy (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification).
  • Clique sur le bouton "Suppression" comme indiqué ici pour que le programme corrige les éléments trouvés :


Un rapport RKreport[3] créé sur ton Bureau. Copie/colle son contenu dans ta prochaine réponse.

Fill

Samgave-13
 Posté le 28/07/2012 à 18:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le CR :

ComboFix 12-07-27.03 - UTLS1 28/07/2012 18:43:13.2.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2042.1502 [GMT 2:00]
Lancé depuis: c:\documents and settings\UTLS1\Bureau\ComboFix.exe
Commutateurs utilisés
c:\documents and settings\UTLS1\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-28 au 2012-07-28 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-28 15:55 . 2012-07-28 15:55 -------- d-----w- c:\documents and settings\All Users\Favoris
2012-07-28 12:50 . 2012-07-28 12:50 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2012-07-28 11:30 . 2012-07-28 11:30 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2012-07-04 06:27 . 2012-07-04 06:27 -------- d-----w- c:\program files\iPod
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-11 19:01 . 2012-04-29 06:51 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-11 19:01 . 2011-05-17 17:48 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2006-03-02 12:00 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-06-05 15:50 . 2009-05-28 00:14 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:50 . 2006-03-02 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2006-03-02 12:00 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2009-05-28 12:12 16408 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-05-27 22:48 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-05-27 22:48 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-05-27 22:48 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-05-28 12:12 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-05-27 22:48 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-05-27 22:48 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2006-03-02 12:00 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-05-28 12:12 19480 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-05-28 12:12 16408 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-05-27 22:48 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-05-28 12:12 25112 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-05-27 22:48 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2009-08-04 07:13 214256 ----a-w- c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2009-08-04 07:13 18672 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2009-08-04 07:13 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-05-31 13:22 . 2006-03-02 12:00 606208 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:06 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-11 14:40 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:15 . 2006-03-02 12:00 2150400 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-19 16:04 2028544 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:47 . 2009-05-27 22:46 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-18 05:08 . 2011-05-08 09:37 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-05-28 . 8D71F28DEB37CC9C2E344095D8BFE1EE . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2008-04-13 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[7] 2006-03-02 . 123EEA158F74D0F67A51DCDF065D1091 . 506368 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-02-04 15:50 1197448 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2009-05-18 2363392]
"SMSystemAnalyzer"="c:\program files\iolo\System Mechanic Professional 6\SMSystemAnalyzer.exe" [2005-12-16 578048]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
"Facebook Update"="c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-05-03 17355912]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1310720]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"DiskeeperSystray"="c:\program files\Executive Software\Diskeeper\DkIcon.exe" [2004-12-21 180312]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 177456]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-05-28 1945600]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SystemGuardAlerter"="c:\program files\iolo\System Mechanic Professional 6\SystemGuardAlerter.exe" [2005-12-16 241152]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"EEventManager"="c:\program files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-04-08 254696]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2008-04-13 138240]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2009-05-18 2363392]
.
c:\documents and settings\UTLS1\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0smrgdf c:\program files\iolo\System Mechanic Professional 6\
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
R3 McAfeePF;McAfee Firewall Network Filter Miniport;c:\windows\system32\drivers\fw220.sys [15/11/2002 04:01 33280]
R4 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys --> c:\windows\system32\Drivers\fsbts.sys [?]
R4 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys --> c:\windows\system32\drivers\fsdfw.sys [?]
S2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14/05/2009 17:07 759048]
S2 BBSvc;BingBar Service;c:\program files\Microsoft\BingBar\7.1.362.0\BBSvc.EXE [13/02/2012 21:19 193816]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [17/12/2010 15:18 136176]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [03/05/2012 08:31 158856]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [22/04/2011 14:21 92592]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [29/04/2012 08:51 250056]
S3 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\7.1.362.0\SeaPort.EXE [13/02/2012 21:19 240408]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [28/05/2009 03:10 222512]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [17/12/2010 15:18 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [29/04/2012 19:55 113120]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [16/10/2011 14:29 18432]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-05-18 15:54 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-29 19:01]
.
2012-07-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-07-25 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1482476501-1770027372-839522115-1003Core.job
- c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-05-16 19:13]
.
2012-07-25 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1482476501-1770027372-839522115-1003UA.job
- c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-05-16 19:13]
.
2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 13:18]
.
2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 13:18]
.
2012-07-26 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-02-04 15:50]
.
2012-07-26 c:\windows\Tasks\User_Feed_Synchronization-{B7FE4C7A-81D2-4F4D-BE15-8B911F23836D}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\UTLS1\Application Data\Mozilla\Firefox\Profiles\814xs5oa.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
.
.
------- Associations de fichier -------
.
JSEFile=NOTEPAD.EXE %1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-28 18:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1116)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
.
Heure de fin: 2012-07-28 18:48:05
ComboFix-quarantined-files.txt 2012-07-28 16:48
ComboFix2.txt 2012-07-28 16:18
.
Avant-CF: 45 395 456 000 octets libres
Après-CF: 45 380 296 704 octets libres
.
- - End Of File - - CD5547EEBBDCC2C1454938A4ECF0F27B

Fill
 Posté le 28/07/2012 à 19:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Il manque le rapport roguekiller.

1/ La manip avec Combofix n'a pas marché. Que s'est-il passé précisément ? Il faut reprendre la manip de glisser-déposer du fichier sur Combofix et accepter les conditions d'utilisation. Edite le rapport CF_RC.txt quand c'est fait.

2/ Peux-tu supprimer dans ajout/suppression des programmes le pare-feu de Mc Afee ? Tu en as déjà un avec F-secure.

Fill

Samgave-13
 Posté le 29/07/2012 à 09:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut,

S'agissant de Mc Affee, j'ai beau le chercher dans l'outil ajout/suppression, je ne trouve pas de ce programme. Sa seule trace est dans la barre démarrer et renvoi vers un site mettant le programme à jour.

Comme demandé, j'ai de nouveau déposé le dossier window sur Combofix qui a lancé une opération. A un moment une fenêtre s'est ouverte avec le message suivant : "Impossible de lister correctement la partition d'amorçage" J'a cliqué ok et j'ai obtenu le rapport suivant :

ComboFix 12-07-27.03 - UTLS1 29/07/2012 8:57.3.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2042.1739 [GMT 2:00]
Lancé depuis: c:\documents and settings\UTLS1\Bureau\ComboFix.exe
Commutateurs utilisés
c:\documents and settings\UTLS1\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-28 au 2012-07-29 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-28 15:55 . 2012-07-28 15:55 -------- d-----w- c:\documents and settings\All Users\Favoris
2012-07-28 12:50 . 2012-07-28 12:50 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2012-07-28 11:30 . 2012-07-28 11:30 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2012-07-04 06:27 . 2012-07-04 06:27 -------- d-----w- c:\program files\iPod
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-11 19:01 . 2012-04-29 06:51 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-11 19:01 . 2011-05-17 17:48 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2006-03-02 12:00 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-06-05 15:50 . 2009-05-28 00:14 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:50 . 2006-03-02 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2006-03-02 12:00 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2009-05-28 12:12 16408 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-05-27 22:48 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-05-27 22:48 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-05-27 22:48 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-05-28 12:12 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-05-27 22:48 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-05-27 22:48 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2006-03-02 12:00 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-05-28 12:12 19480 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-05-28 12:12 16408 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-05-27 22:48 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-05-28 12:12 25112 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-05-27 22:48 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2009-08-04 07:13 214256 ----a-w- c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2009-08-04 07:13 18672 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2009-08-04 07:13 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-05-31 13:22 . 2006-03-02 12:00 606208 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:06 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-11 14:40 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:15 . 2006-03-02 12:00 2150400 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-19 16:04 2028544 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:47 . 2009-05-27 22:46 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-18 05:08 . 2011-05-08 09:37 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-05-28 . 8D71F28DEB37CC9C2E344095D8BFE1EE . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2008-04-13 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[7] 2006-03-02 . 123EEA158F74D0F67A51DCDF065D1091 . 506368 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2012-07-28_16.16.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-03-02 12:00 . 2012-07-29 06:47 80936 c:\windows\system32\perfc00C.dat
+ 2006-03-02 12:00 . 2012-07-29 06:47 67740 c:\windows\system32\perfc009.dat
+ 2006-03-02 12:00 . 2012-07-29 06:47 500910 c:\windows\system32\perfh00C.dat
+ 2006-03-02 12:00 . 2012-07-29 06:47 432784 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-02-04 15:50 1197448 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2009-05-18 2363392]
"SMSystemAnalyzer"="c:\program files\iolo\System Mechanic Professional 6\SMSystemAnalyzer.exe" [2005-12-16 578048]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
"Facebook Update"="c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-05-03 17355912]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1310720]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"DiskeeperSystray"="c:\program files\Executive Software\Diskeeper\DkIcon.exe" [2004-12-21 180312]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 177456]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-05-28 1945600]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SystemGuardAlerter"="c:\program files\iolo\System Mechanic Professional 6\SystemGuardAlerter.exe" [2005-12-16 241152]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"EEventManager"="c:\program files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-04-08 254696]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2008-04-13 138240]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2009-05-18 2363392]
.
c:\documents and settings\UTLS1\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0smrgdf c:\program files\iolo\System Mechanic Professional 6\
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
R3 McAfeePF;McAfee Firewall Network Filter Miniport;c:\windows\system32\drivers\fw220.sys [15/11/2002 04:01 33280]
S2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14/05/2009 17:07 759048]
S2 BBSvc;BingBar Service;c:\program files\Microsoft\BingBar\7.1.362.0\BBSvc.EXE [13/02/2012 21:19 193816]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [17/12/2010 15:18 136176]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [03/05/2012 08:31 158856]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [22/04/2011 14:21 92592]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [29/04/2012 08:51 250056]
S3 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\7.1.362.0\SeaPort.EXE [13/02/2012 21:19 240408]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [28/05/2009 03:10 222512]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [17/12/2010 15:18 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [29/04/2012 19:55 113120]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [16/10/2011 14:29 18432]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WUAUSERV
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-05-18 15:54 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-29 19:01]
.
2012-07-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-07-25 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1482476501-1770027372-839522115-1003Core.job
- c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-05-16 19:13]
.
2012-07-25 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1482476501-1770027372-839522115-1003UA.job
- c:\documents and settings\UTLS1\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-05-16 19:13]
.
2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 13:18]
.
2012-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 13:18]
.
2012-07-26 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-02-04 15:50]
.
2012-07-26 c:\windows\Tasks\User_Feed_Synchronization-{B7FE4C7A-81D2-4F4D-BE15-8B911F23836D}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\UTLS1\Application Data\Mozilla\Firefox\Profiles\814xs5oa.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
.
.
------- Associations de fichier -------
.
JSEFile=NOTEPAD.EXE %1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-29 09:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1232)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
.
Heure de fin: 2012-07-29 09:04:38
ComboFix-quarantined-files.txt 2012-07-29 07:04
ComboFix2.txt 2012-07-28 16:48
ComboFix3.txt 2012-07-28 16:18
.
Avant-CF: 45 397 012 480 octets libres
Après-CF: 45 380 136 960 octets libres
.
- - End Of File - - F2814D770FF4022CE8ECCF908699875F

Fill
 Posté le 29/07/2012 à 10:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

1/ Peux-tu éditer le rapport Rogue killer option "Suppression" ?

2/ On se passera donc de la console de récupération.

  • Télécharge sur ton Bureau le fichier présent dans mon prochain message,
  • Dézippe-le (Clic droit > Extraire ici),
  • Renomme-le en CFScript,
  • Fais un glisser/déposer de ce fichier texte CFScript.txt sur le fichier ComboFix.exe comme sur la capture

  • Patiente le temps du scan, le Bureau va disparaître à plusieurs reprises: c'est normal !
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ces instructions ne concernent que cette machine. Elles ne doivent pas être appliquées sur une autre machine.

3/

  • Télécharge Adwcleaner de Xplode sur ton Bureau (Pour Vista ou windows 7, il faut faire un clic droit et exécuter en tant qu'administrateur),
  • Clique sur Recherche,
  • Edite le rapport généré qui se trouve là : C:\AdwCleaner[R1].txt

4/

  • Télécharge OTL (de Old_Timer) sur ton bureau,
  • Double-clique sur son icône pour le démarrer. Si tu es sous Vista ou 7, démarre par clic droit, exécuter en tant qu'administrateur. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit.
  • Coche la case "Tous les utilisateurs",
  • Dans la fenêtre "Personnalisation", colle ces lignes :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
SAVEMBR:0
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
services.exe
winlogon.exe
wininit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

  • Clique ensuite sur le bouton "Analyse" puis patiente pour que l'outil analyse le pc. Cela peut durer quelques minutes, selon l'état du système.
  • A la fin de l'analyse, la fenêtre du bloc-note s'ouvre. Elle s'appelle OTL.txt
  • Copie-colle ce texte dans ta prochaine réponse. Si un message d'erreur apparait, c'est parce que le rapport est trop long. Il faut alors l'éditer en plusieurs messages sans rien oublier.
  • Pour sélectionner le texte : CTRL+A
  • Pour copier le texte sélectionné : CTRL+C,
  • Pour coller le texte dans ta prochaine réponse : CRTL+V. S'il est trop long, tu peux l'héberger directement sur le forum par la fonction "Insérer un rapport".
  • Edite également le rapport Extra.txt.
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
GratuitJeu PC Wargame: Red Dragon gratuit
Valable jusqu'au 11 Mars

Epic Game Store offre actuellement le jeu PC Wargame: Red Dragon. Plus grande, plus riche et plus spectaculaire que jamais, la série Wargame fait son grand retour. Dans Wargame: Red Dragon, vous prenez part à un conflit d'envergure opposant les puissances occidentales au bloc communiste.


> Voir l'offre
79,99 €Souris sans fil avec trackball Logitech MX Ergo à 79,99 €
Valable jusqu'au 09 Mars

Amazon fait une belle promotion sur la souris sans fil avec trackball Logitech MX Ergo qui passe à 79,99 € livrée gratuitement. On la trouve ailleurs autour de 100 €. Réduisant de 20% la contrainte musculaire par rapport à une souris standard,  le Logitech MX Ergo vous facilitera le travail en maintenant dans une position très stable votre main.


> Voir l'offre
12,12 €Micro clé USB 3.1 Sandisk Ultra Fit 64 Go à 12,12 €
Valable jusqu'au 07 Mars

Amazon fait une promotion sur la micro clé USB Sandisk Ultra Fit d'une capacité de 64 Go qui passe à 12,12 €. La minuscule taille de cette clé USB va vous permettre de la laisser brancher en permanence sur votre portable, votre TV ou votre autoradio sans qu'elle dépasse de manière disgracieuse. Sa compatibilité USB 3.1 lui permet d'atteindre des débits jusqu'à 130 Mo/s. 


> Voir l'offre

Sujets relatifs
pc infecté par live security platinium
Virus Live Security Platinum & pc démarre plus
Live Security Platinium
Live security platinium? encore une victime?
virus live security platinum non supprimable
Live Security Platinium
Rogue Live Security Platinium
Roguekiller, Avast et Live Security Platinium
Virus Live Security Platinum
Anti Virus Windows Security Essentials
Plus de sujets relatifs à Virus Live Security Platinium
 > Tous les forums > Forum Sécurité