Sujet Précédent Sujet Suivant

Security Protection et Pre-scan

Fermé
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012 - 19 déc. 2011 à 11:47
 Utilisateur anonyme - 4 janv. 2012 à 21:05
Bonjour,
Je suis infecté par le virus Security Protection et j'ai essayé de l'enlever avec Pre-scan mais l'ordinateur s'est coupé lors de l'utilisation de ce logiciel et maintenant lorsque je tente de l'allumer en mode sans échec une indication bleue me demande " S'il vous plait votre mot de passe " et lorsque je mets le mot de passe de mon compte il me le redemande et après la troisième demande l'ordinateur s'éteint.
Pourriez vous m'aider ?
Merci et bonne journée.


A voir également:

68 réponses

Précédent
Réponse 41 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
26 déc. 2011 à 21:16
Voici le rapport hébergé sur https://pjjoint.malekal.com/files.php?read=20111226_f10w14i9o13d14
0
Réponse 42 / 68
Utilisateur anonyme
26 déc. 2011 à 21:37
je peux savoir pourquoi combofix n'a pas ete renommé comme demandé ?
0
Réponse 43 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
27 déc. 2011 à 09:11
Désolé ... je le refais.
0
Réponse 44 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
27 déc. 2011 à 10:55
Voilà : https://pjjoint.malekal.com/files.php?read=20111227_p11f6e14h15r5
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 68
Utilisateur anonyme
27 déc. 2011 à 12:27
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\JRSKD24.SYS

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

==========================


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

---------------------------------------------------------- 
KillAll::

ClearJavaCache::

File::
c:\windows\system32\qnbwvoto.dll 

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]  
"AntiVirusOverride"=dword:00000000
"AntiSpywareOverride"=dword:00000000   

RenV::
c:\program files\Intel\Intel Rapid Storage Technology\IAStorIcon .exe  
c:\program files\RocketDock\RocketDock .exe    
c:\program files\Skype\Phone\Skype .exe  
c:\program files\Synaptics\SynTP\SynTPEnh .exe  
c:\program files\TOSHIBA\FlashCards\TCrdMain .exe   
c:\program files\Windows Live\Messenger\msnmsgr .exe

Driver::
SBSDWSCService

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 46 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
Modifié par krapan le 27/12/2011 à 19:07
Voici le rapport de Virus totalhttp://www.virustotal.com/file-scan/report.html?id=7eed94416ec066a0fb68ec077c90a9356207e40e3eeba08ac6757e3afda065e5-1325008634
0
Réponse 47 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
27 déc. 2011 à 19:08
Et voilà celui de ComboFix

ComboFix 11-12-27.01 - Collégien 27/12/2011 18:13:49.9.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1915.1218 [GMT 1:00]
Lancé depuis: C:\krapan-ccm.exe
Commutateurs utilisés :: c:\utilisateurs\CollÚgien\Desktop\CFScript.txt
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\regedit.exe . . . est infecté!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-11-27 au 2011-12-27 ))))))))))))))))))))))))))))))))))))
.
.
2011-12-27 17:31 . 2011-12-27 17:31 -------- d-----w- c:\utilisateurs\Utilisateur\AppData\Local\temp
2011-12-27 17:31 . 2011-12-27 17:31 -------- d-----w- c:\utilisateurs\Default\AppData\Local\temp
2011-12-27 17:31 . 2011-12-27 17:31 -------- d-----w- c:\utilisateurs\COLLGI~2\AppData\Local\temp
2011-12-27 17:31 . 2011-12-27 17:31 -------- d-----w- c:\utilisateurs\Collegien\AppData\Local\temp
2011-12-27 17:31 . 2011-12-27 17:31 -------- d-----w- c:\utilisateurs\Collégien\AppData\Local\temp
2011-12-27 17:31 . 2011-12-27 17:31 -------- d-----w- c:\utilisateurs\Administrateur\AppData\Local\temp
2011-12-27 17:31 . 2011-12-27 17:31 -------- d-----w- c:\utilisateurs\Admin Parents\AppData\Local\temp
2011-12-27 08:47 . 2011-12-27 17:31 -------- d-----w- c:\utilisateurs\Collégien\AppData\Local\temp
2011-12-27 08:17 . 2011-12-27 08:47 -------- d-----w- C:\krapan-ccm
2011-12-25 19:34 . 2011-12-25 19:34 -------- d-----w- c:\utilisateurs\Collégien\AppData\Roaming\AnkamaCertificates
2011-12-25 19:18 . 2011-12-25 19:37 -------- d-----w- c:\utilisateurs\Collégien\AppData\Roaming\Dofus2
2011-12-25 15:45 . 2011-12-27 09:52 -------- d-----w- c:\program files\Steam
2011-12-24 15:40 . 2011-12-24 15:57 -------- d-----w- c:\utilisateurs\Collégien\DoctorWeb
2011-12-24 11:18 . 2011-12-24 11:20 15418664 ----a-w- C:\mozilla-firefox_mozilla_firefox_9.0.1_francais_11003.exe
2011-12-21 18:14 . 2011-12-21 07:49 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
2011-12-21 18:14 . 2011-12-21 04:29 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2011-12-21 18:14 . 2011-12-21 04:29 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2011-12-21 18:14 . 2011-12-21 04:29 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2011-12-21 17:52 . 2011-12-21 17:52 4194304 ----a-w- c:\windows\system32\qnbwvoto.dll
2011-12-20 19:01 . 2011-12-20 19:01 -------- d-----w- c:\program files\7-Zip
2011-12-20 09:43 . 2011-12-20 09:43 -------- d-----w- c:\windows\system32\xlive
2011-12-19 19:25 . 2011-10-27 08:01 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-12-19 19:25 . 2011-10-27 08:01 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-12-19 19:25 . 2011-10-14 16:02 429056 ----a-w- c:\windows\system32\EncDec.dll
2011-12-19 19:25 . 2011-09-20 21:02 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-12-19 19:25 . 2011-11-23 13:37 2043904 ----a-w- c:\windows\system32\win32k.sys
2011-12-19 19:25 . 2011-11-08 12:10 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2011-12-19 19:25 . 2011-10-25 15:56 49152 ----a-w- c:\windows\system32\csrsrv.dll
2011-12-19 11:35 . 2011-12-19 11:39 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-12-19 10:57 . 2011-12-19 13:10 -------- d-----w- c:\utilisateurs\Collégien\AppData\Local\Akamai
2011-12-19 09:50 . 2011-12-20 16:57 -------- d-----w- C:\Kill'em
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-19 11:59 . 2011-08-14 07:26 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2003-03-21 11:45 . 2008-12-10 13:59 250544 ----a-w- c:\program files\Common Files\keyhelp.ocx
2011-12-21 07:49 . 2011-05-06 16:51 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2011-01-27 17:04 . 2010-10-30 16:41 65536 ----a-w- c:\program files\mozilla firefox\components\FFComm.dll
.
[code]<pre>
c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon .exe
c:\program files\RocketDock\RocketDock .exe
c:\program files\Skype\Phone\Skype .exe
c:\program files\Synaptics\SynTP\SynTPEnh .exe
c:\program files\TOSHIBA\FlashCards\TCrdMain .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
</pre>/code
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [N/A]
"Hyperappel de l'Encyclopédie Universelle Larousse"="c:\program files\Larousse\Encyclopédie Universelle Larousse 2009\bin\Hyperappel.exe" [2008-06-30 229376]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [N/A]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-08-26 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2006-03-20 213936]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"Steam"="c:\program files\Steam\Steam.exe" [2011-12-25 1242448]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2006-03-20 213936]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [N/A]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [N/A]
"BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2011-12-24 782336]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2011-12-24 69632]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-11-10 500208]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [N/A]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2011-05-25 1951112]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10c.exe" [2009-07-18 257440]
.
c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2009-12-9 3587354]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
GamersFirst LIVE!.lnk - c:\program files\GamersFirst\LIVE!\Live.exe [2010-10-8 2845552]
Redémarrer les cartes Flash.lnk - c:\program files\TOSHIBA\FlashCards\TfcRst.exe [2007-5-18 108664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-21 23:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2008-04-29 09:33 417792 ----a-w- c:\program files\Camera Assistant Software for Toshiba\traybar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hyperappel de l'Encyclopédie Universelle Larousse]
2008-06-30 17:29 229376 ----a-w- c:\program files\Larousse\Encyclopédie Universelle Larousse 2009\bin\Hyperappel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
2008-06-24 09:06 509816 ----a-w- c:\program files\TOSHIBA\SmoothView\SmoothView.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPwrMain]
2008-01-17 15:27 431456 ----a-w- c:\program files\TOSHIBA\Power Saver\TPwrMain.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiSpywareOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-860592141-1205101532-1381250902-1003]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-860592141-1205101532-1381250902-1005]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-860592141-1205101532-1381250902-500]
"EnableNotificationsRef"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2009-03-30 66368]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [x]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [x]
R2 msav;Moon Secure Antivirus Core;c:\program files\Moon Secure Antivirus\msavcore.exe [x]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [x]
R2 ServiceSFRABCD;Service SFR Gestionnaire Connexion;c:\program files\SFR\Gestionnaire de Connexion 3G SFR\SFRABCDService.exe [x]
R2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [x]
R2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [x]
R3 Arrakis3;BitDefender Arrakis Server;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [2009-01-20 172032]
R3 bdfm;bdfm;c:\windows\system32\drivers\bdfm.sys [2008-09-18 111112]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 JRSKD24;JRSKD24;c:\windows\system32\JRSKD24.SYS [2010-08-26 21176]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2011-07-03 311416]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-06-07 3549224]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-10-09 105088]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\system32\DRIVERS\rtlprot.sys [2007-04-23 25896]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-21 21504]
S2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [2008-10-06 82696]
S2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2008-01-21 21504]
S3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\bdfndisf.sys [2010-10-30 104456]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-19 7168]
S3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\system32\DRIVERS\RTL8187B.sys [2007-12-26 290304]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HsfXAudioService REG_MULTI_SZ HsfXAudioService
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
bdx REG_MULTI_SZ scan
Akamai REG_MULTI_SZ Akamai
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} -
FF - ProfilePath - c:\utilisateurs\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\
FF - prefs.js: browser.startup.homepage - file:///C:/Program%20Files/Oise/Graphique/Ordi60/bienvenue.html
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-City Life - e:\citylife\City Life\uninst.exe
AddRemove-Imperium Romanum - e:\imperivm romanvm\Imperium Romanum\uninst.exe
AddRemove-{3F0D0ABE-CDAF-431A-00BC-CBBE018EA74E} - e:\sim city 4\EAUninstall.exe
AddRemove-OOo.HG - c:\program files\OpenOffice.org 3\Basis\share\gallery\Uninstal.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-27 18:31
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_b427739.dll"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-860592141-1205101532-1381250902-1047\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:28,46,54,92,68,43,30,0d,28,3a,6b,da,ac,0f,2c,5e,3e,63,00,a2,d5,f0,80,
d9,38,58,58,59,3a,ad,50,b0,85,4f,7a,77,51,8a,f3,aa,19,c8,96,69,52,cd,ba,76,\
"??"=hex:4e,5b,94,3c,fd,7c,e9,4e,cd,39,69,eb,e3,76,76,ba
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2011-12-27 18:35:22
ComboFix-quarantined-files.txt 2011-12-27 17:35
ComboFix2.txt 2011-12-27 08:47
ComboFix3.txt 2011-12-26 18:42
ComboFix4.txt 2011-12-22 09:02
ComboFix5.txt 2011-12-27 17:07
.
Avant-CF: 8 973 500 416 octets libres
Après-CF: 7 770 963 968 octets libres
.
- - End Of File - - 7B8A037609765F08412A24E765E9B6AB
0
Réponse 48 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
27 déc. 2011 à 19:09
Voici le rapport de ComboFix hébergé sur pjoint malekal ( impossible de le mettre ici )

https://pjjoint.malekal.com/files.php?read=20111227_j15b14w9x14c12
0
Réponse 49 / 68
Utilisateur anonyme
27 déc. 2011 à 20:56
tu ne colles rien dans le cfscript....
0
Réponse 50 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
28 déc. 2011 à 10:34
Mais si pourtant.
0
Réponse 51 / 68
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 28/12/2011 à 10:40
bien...

dans ce cas deplace Combofix renommé dans un autre dossier que sur ton bureau et retente la manip en mode sans echec on a un truc qui bloque son action
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 52 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
28 déc. 2011 à 14:18
Voici donc le rapport , j'ai fais comme tu m'as dit cette fois .

-----------------------------------------------------___________________-----------------


ComboFix 11-12-28.02 - Collégien 28/12/2011 13:18:45.11.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1915.1474 [GMT 1:00]
Lancé depuis: C:\krapan-ccm.exe
Commutateurs utilisés :: c:\utilisateurs\Collégien\Desktop\CFScript.txt
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
FILE ::
"c:\windows\system32\qnbwvoto.dll"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\qnbwvoto.dll
.
c:\windows\regedit.exe . . . est infecté!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-11-28 au 2011-12-28 ))))))))))))))))))))))))))))))))))))
.
.
2011-12-28 12:32 . 2011-12-28 12:38 -------- d-----w- c:\utilisateurs\Collégien\AppData\Local\temp
2011-12-28 12:32 . 2011-12-28 12:32 -------- d-----w- c:\utilisateurs\Utilisateur\AppData\Local\temp
2011-12-28 12:32 . 2011-12-28 12:32 -------- d-----w- c:\utilisateurs\Default\AppData\Local\temp
2011-12-28 12:32 . 2011-12-28 12:32 -------- d-----w- c:\utilisateurs\COLLGI~2\AppData\Local\temp
2011-12-28 12:32 . 2011-12-28 12:32 -------- d-----w- c:\utilisateurs\Collegien\AppData\Local\temp
2011-12-28 12:32 . 2011-12-28 12:32 -------- d-----w- c:\utilisateurs\Collégien\AppData\Local\temp
2011-12-28 12:32 . 2011-12-28 12:32 -------- d-----w- c:\utilisateurs\Administrateur\AppData\Local\temp
2011-12-28 12:32 . 2011-12-28 12:32 -------- d-----w- c:\utilisateurs\Admin Parents\AppData\Local\temp
2011-12-27 08:17 . 2011-12-27 08:47 -------- d-----w- C:\krapan-ccm
2011-12-25 19:34 . 2011-12-25 19:34 -------- d-----w- c:\utilisateurs\Collégien\AppData\Roaming\AnkamaCertificates
2011-12-25 19:18 . 2011-12-25 19:37 -------- d-----w- c:\utilisateurs\Collégien\AppData\Roaming\Dofus2
2011-12-25 15:45 . 2011-12-28 12:36 -------- d-----w- c:\program files\Steam
2011-12-24 15:40 . 2011-12-24 15:57 -------- d-----w- c:\utilisateurs\Collégien\DoctorWeb
2011-12-24 11:18 . 2011-12-24 11:20 15418664 ----a-w- C:\mozilla-firefox_mozilla_firefox_9.0.1_francais_11003.exe
2011-12-21 18:14 . 2011-12-21 07:49 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
2011-12-21 18:14 . 2011-12-21 04:29 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2011-12-21 18:14 . 2011-12-21 04:29 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2011-12-21 18:14 . 2011-12-21 04:29 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2011-12-20 19:01 . 2011-12-20 19:01 -------- d-----w- c:\program files\7-Zip
2011-12-20 09:43 . 2011-12-20 09:43 -------- d-----w- c:\windows\system32\xlive
2011-12-19 19:25 . 2011-10-27 08:01 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-12-19 19:25 . 2011-10-27 08:01 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-12-19 19:25 . 2011-10-14 16:02 429056 ----a-w- c:\windows\system32\EncDec.dll
2011-12-19 19:25 . 2011-09-20 21:02 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-12-19 19:25 . 2011-11-23 13:37 2043904 ----a-w- c:\windows\system32\win32k.sys
2011-12-19 19:25 . 2011-11-08 12:10 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2011-12-19 19:25 . 2011-10-25 15:56 49152 ----a-w- c:\windows\system32\csrsrv.dll
2011-12-19 11:35 . 2011-12-19 11:39 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-12-19 10:57 . 2011-12-19 13:10 -------- d-----w- c:\utilisateurs\Collégien\AppData\Local\Akamai
2011-12-19 09:50 . 2011-12-20 16:57 -------- d-----w- C:\Kill'em
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-19 11:59 . 2011-08-14 07:26 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2003-03-21 11:45 . 2008-12-10 13:59 250544 ----a-w- c:\program files\Common Files\keyhelp.ocx
2011-12-21 07:49 . 2011-05-06 16:51 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2011-01-27 17:04 . 2010-10-30 16:41 65536 ----a-w- c:\program files\mozilla firefox\components\FFComm.dll
.
[code]<pre>
c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon .exe
</pre>/code
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [N/A]
"Hyperappel de l'Encyclopédie Universelle Larousse"="c:\program files\Larousse\Encyclopédie Universelle Larousse 2009\bin\Hyperappel.exe" [2008-06-30 229376]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-08-26 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2006-03-20 213936]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"Steam"="c:\program files\Steam\Steam.exe" [2011-12-25 1242448]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2006-03-20 213936]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1348904]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-05-09 716800]
"BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2011-12-24 782336]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2011-12-24 69632]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-11-10 500208]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [N/A]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2011-05-25 1951112]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10c.exe" [2009-07-18 257440]
.
c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2009-12-9 3587354]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
GamersFirst LIVE!.lnk - c:\program files\GamersFirst\LIVE!\Live.exe [2010-10-8 2845552]
Redémarrer les cartes Flash.lnk - c:\program files\TOSHIBA\FlashCards\TfcRst.exe [2007-5-18 108664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-21 23:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2008-04-29 09:33 417792 ----a-w- c:\program files\Camera Assistant Software for Toshiba\traybar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hyperappel de l'Encyclopédie Universelle Larousse]
2008-06-30 17:29 229376 ----a-w- c:\program files\Larousse\Encyclopédie Universelle Larousse 2009\bin\Hyperappel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
2008-06-24 09:06 509816 ----a-w- c:\program files\TOSHIBA\SmoothView\SmoothView.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPwrMain]
2008-01-17 15:27 431456 ----a-w- c:\program files\TOSHIBA\Power Saver\TPwrMain.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiSpywareOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-860592141-1205101532-1381250902-1003]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-860592141-1205101532-1381250902-1005]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-860592141-1205101532-1381250902-500]
"EnableNotificationsRef"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2009-03-30 66368]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [x]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [x]
R2 msav;Moon Secure Antivirus Core;c:\program files\Moon Secure Antivirus\msavcore.exe [x]
R2 ServiceSFRABCD;Service SFR Gestionnaire Connexion;c:\program files\SFR\Gestionnaire de Connexion 3G SFR\SFRABCDService.exe [x]
R2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [x]
R2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [x]
R3 Arrakis3;BitDefender Arrakis Server;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [2009-01-20 172032]
R3 bdfm;bdfm;c:\windows\system32\drivers\bdfm.sys [2008-09-18 111112]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 JRSKD24;JRSKD24;c:\windows\system32\JRSKD24.SYS [2010-08-26 21176]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2011-07-03 311416]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-06-07 3549224]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-10-09 105088]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\system32\DRIVERS\rtlprot.sys [2007-04-23 25896]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-21 21504]
S2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [2008-10-06 82696]
S2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2008-01-21 21504]
S3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\bdfndisf.sys [2010-10-30 104456]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-19 7168]
S3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\system32\DRIVERS\RTL8187B.sys [2007-12-26 290304]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HsfXAudioService REG_MULTI_SZ HsfXAudioService
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
bdx REG_MULTI_SZ scan
Akamai REG_MULTI_SZ Akamai
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} -
FF - ProfilePath - c:\utilisateurs\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\p9fjv3as.default\
FF - prefs.js: browser.startup.homepage - file:///C:/Program%20Files/Oise/Graphique/Ordi60/bienvenue.html
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-OOo.HG - c:\program files\OpenOffice.org 3\Basis\share\gallery\Uninstal.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-28 13:36
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_b427739.dll"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-860592141-1205101532-1381250902-1047\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:28,46,54,92,68,43,30,0d,28,3a,6b,da,ac,0f,2c,5e,3e,63,00,a2,d5,f0,80,
d9,38,58,58,59,3a,ad,50,b0,85,4f,7a,77,51,8a,f3,aa,19,c8,96,69,52,cd,ba,76,\
"??"=hex:4e,5b,94,3c,fd,7c,e9,4e,cd,39,69,eb,e3,76,76,ba
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Pando Networks\Media Booster\PMB.exe
c:\windows\system32\igfxext.exe
c:\program files\Common Files\Java\Java Update\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2011-12-28 13:52:52 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-12-28 12:52
ComboFix2.txt 2011-12-28 10:31
ComboFix3.txt 2011-12-27 17:35
ComboFix4.txt 2011-12-27 08:47
ComboFix5.txt 2011-12-28 12:16
.
Avant-CF: 7 964 790 784 octets libres
Après-CF: 5 789 196 288 octets libres
.
- - End Of File - - 9E8628C0D7A0F4F7B71637C572DF838A
0
Réponse 53 / 68
Utilisateur anonyme
28 déc. 2011 à 17:20
ok il en reste

desinstalle pando media booster si tu t'en sers pas

=======================


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

---------------------------------------------------------- 
KillAll::

ClearJavaCache::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]  
"AntiVirusOverride"=dword:00000000
"AntiSpywareOverride"=dword:00000000     


RenV::
c:\program files\Intel\Intel Rapid Storage Technology\IAStorIcon .exe

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 54 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
28 déc. 2011 à 19:48
salut j'ai désinstallé pando media booster et voici le rapport :https://pjjoint.malekal.com/files.php?read=20111228_k9q8c7q6f12

sur pjjoint malekal parce que je n'arrive pas à poster le rapport ici
0
Réponse 55 / 68
Utilisateur anonyme
28 déc. 2011 à 21:08
Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape regedit.exe

dans cette fenêtre

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.
0
Réponse 56 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
29 déc. 2011 à 10:01
salut voici le rapport

------------------------------------------------------------------------------------------

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 09:40:05 le 29/12/2011
4.
5. Valeur(s) recherchée(s):
6. regedit.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14.
15. "C:\Qoobox\Quarantine\C\Windows\regedit.exe.vir" [ ARCHIVE | 135 Ko ]
16. TC: 21/01/2008,03:24:53 | TM: 21/01/2008,03:24:54 | DA: 21/01/2008,03:24:53
17.
18.
19. =========================
20.
21.
22. "C:\Windows\ERDNT\cache\regedit.exe" [ ARCHIVE | 135 Ko ]
23. TC: 21/12/2011,18:23:53 | TM: 21/01/2008,03:24:54 | DA: 21/12/2011,18:23:53
24.
25.
26. =========================
27.
28.
29. "C:\Windows\fr-FR\regedit.exe.mui" [ ARCHIVE | 61 Ko ]
30. TC: 21/01/2008,09:30:39 | TM: 21/01/2008,09:30:39 | DA: 21/01/2008,09:30:39
31.
32.
33. =========================
34.
35.
36. "C:\Windows\Prefetch\REGEDIT.EXE-90FEEA06.pf" [ NOT_CONTENT_INDEXED|ARCHIVE | 21 Ko ]
37. TC: 27/12/2011,18:35:25 | TM: 28/12/2011,19:13:13 | DA: 27/12/2011,18:35:25
38.
39.
40. =========================
41.
42.
43. "C:\Windows\regedit.exe" [ NORMAL | 135 Ko ]
44. TC: 21/01/2008,03:24:53 | TM: 21/01/2008,03:24:54 | DA: 22/12/2011,15:38:47
45.
46.
47. =========================
48.
49.
50. "C:\Windows\winsxs\x86_microsoft-windows-r..ry-editor.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_9b1d4de2f8cd37db\regedit.exe.mui" [ ARCHIVE | 61 Ko ]
51. TC: 21/01/2008,09:30:39 | TM: 21/01/2008,09:30:39 | DA: 21/01/2008,09:30:39
52.
53.
54. =========================
55.
56.
57. "C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_f42eb564dbd8a697\regedit.exe" [ ARCHIVE | 135 Ko ]
58. TC: 21/01/2008,03:24:53 | TM: 21/01/2008,03:24:54 | DA: 21/01/2008,03:24:53
59.
60.
61. =========================
62.
63.
64.
65. ====== Entrée(s) du registre ======
66.
67.
68. [HKLM\Software\Classes\Applications\regedit.exe]
69. DA: 15/08/2011 17:15:44
70.
71. [HKLM\Software\Classes\regedit\shell\open\command]
72. ""="regedit.exe %1" (REG_SZ)
73.
74. [HKLM\Software\Classes\regfile]
75. "FriendlyTypeName"="@%SystemRoot%\regedit.exe,-309" (REG_EXPAND_SZ)
76.
77. [HKLM\Software\Classes\regfile\DefaultIcon]
78. ""="%SystemRoot%\regedit.exe,1" (REG_EXPAND_SZ)
79.
80. [HKLM\Software\Classes\regfile\shell\open]
81. "MUIVerb"="@%SystemRoot%\regedit.exe,-310" (REG_EXPAND_SZ)
82.
83. [HKLM\Software\Classes\regfile\shell\open\command]
84. ""="regedit.exe "%1"" (REG_SZ)
85.
86. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_microsoft-windows-r..ry-editor.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_9b1d4de2f8cd37db]
87. "f!regedit.exe.mui"="regedit.exe.mui" (REG_BINARY)
88.
89. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_f42eb564dbd8a697]
90. "f!regedit.exe"="regedit.exe" (REG_BINARY)
91.
92. [HKU\S-1-5-21-860592141-1205101532-1381250902-1047\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
93. "@C:\Windows\regedit.exe,-309"="Inscription dans le Registre" (REG_SZ)
94.
95. [HKU\S-1-5-21-860592141-1205101532-1381250902-1047_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
96. "@C:\Windows\regedit.exe,-309"="Inscription dans le Registre" (REG_SZ)
97.
98. =========================
99.
100. Fin à: 09:56:56 le 29/12/2011
101. 636993 Éléments analysés
102.
103. =========================
104. E.O.F
0
Réponse 57 / 68
Utilisateur anonyme
29 déc. 2011 à 10:10
hello


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

FCOPY::
C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.0.6001.18000_none_f42eb564dbd8a697\regedit.exe | C:\Windows\Regedit.exe

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 58 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
29 déc. 2011 à 17:51
Voici le rapport sur pjjoint malekal

https://pjjoint.malekal.com/files.php?read=20111229_w14y9g11b1311
0
Réponse 59 / 68
Utilisateur anonyme
29 déc. 2011 à 20:35
merd$$ !!

je sias plus trop comment te sortir de cette merd$$

============

▶ Télécharge DelFix sur ton bureau.

▶ Lance le, tape suppression puis valide

Patiente pendant le scan jusqu'à l'ouverture du rapport.

▶ Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

===================

retelecharge combofix , renomme-le , puis refais l'operation
0
Réponse 60 / 68
krapan Messages postés 41 Date d'inscription lundi 19 décembre 2011 Statut Membre Dernière intervention 17 juin 2012
29 déc. 2011 à 21:19
Voici le rapport de DelFix et je mettrai le rapport de ComboFix demain.

# DelFix v8.7 - Rapport créé le 29/12/2011 à 21:18:50
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Collégien - WIN-TS8JUT5YFT1 (Administrateur)
# Exécuté depuis : C:\Utilisateurs\Collégien\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Kill'em
Supprimé : C:\ZHP
Supprimé : C:\Utilisateurs\Collégien\DoctorWeb
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Utilisateurs\Collégien\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\SEAF

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\krapan-ccm.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\SeafLog.txt
Supprimé : C:\Utilisateurs\Collégien\Desktop\catchme.log
Supprimé : C:\Utilisateurs\Collégien\Desktop\CFScript.txt
Supprimé : C:\Utilisateurs\Collégien\Desktop\drweb-cureit.exe
Supprimé : C:\Utilisateurs\Collégien\Desktop\Pre_Scan_20_12_2011_17_34_38.txt
Supprimé : C:\Utilisateurs\Collégien\Desktop\Pre_Scan_20_12_2011_17_50_02.txt
Supprimé : C:\Utilisateurs\Collégien\Desktop\Pre_script.txt
Supprimé : C:\Utilisateurs\Collégien\Desktop\RKreport[1].txt
Supprimé : C:\Utilisateurs\Collégien\Desktop\RogueKiller-5.3.2.exe
Supprimé : C:\Utilisateurs\Collégien\Desktop\SEAF.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2347 octets] - [29/12/2011 21:18:50]

########## EOF - C:\DelFix[S1].txt - [2471 octets] ##########
0

Discussions similaires

Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
scan comics
daraen -
dsyren -

1 réponse
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses
comment lire des bd gratuitement en ligne sur internet ?
theodu13480 -
Ereka -

2 réponses