Forums Zebulon.fr: Infection News Daily 7 - Forums Zebulon.fr

Aller au contenu

  • (6 Pages)
  • +
  • 1
  • 2
  • 3
  • Dernière »
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Infection News Daily 7 Noter : -----

#1 L'utilisateur est hors-ligne   flolem 

  • Member
  • Groupe : Membres
  • Messages : 85
  • Inscrit(e) : 11-février 07

Posté 04 février 2012 - 03:17

Bonjour,

récemment, j'ai été infecté par le rootkit "Fake HDD" que j'ai pu exterminer depuis...

sauf que j'ai toujours des problèmes avec le spyware "newsdaily7" et que j'arrive pas à enlever ce problème.

En gros, depuis Google (ou n'importe quel moteur de recherche je pense), quand je clique sur un lien, j'ai occasionnellement des redirections vers newsdaily7.tv
ce qui fout pas mal la merde...

Apparemment, ça change les options du navigateur (firefox pour ma part) pour utiliser le proxy du système...

Bref... j'ai déjà plusieurs fois lancer RogueKiller puis Malwares Bytes Antispyware, le tout en mode sans échec
sans résultat
Et j'ai toujours cette satanée redirection qui finit par arriver un moment ou un autre.

J'ai essayer de chercher des solutions sur internet... mais j'arrive toujours sur des sites proposant de télécharger Doctor Spyware...no comment >_<

Si quelq'un peut m'aiguiller car là je perds patience :(
0

PUBLICITÉ

  • Annonces Google
Inscrivez-vous au forum gratuitement et profitez de nombreux avantages !

#2 L'utilisateur est hors-ligne   lance_yien 

  • Full Patch Member
  • Groupe : Equipe Sécurité
  • Messages : 1938
  • Inscrit(e) : 23-août 10

Posté 04 février 2012 - 09:15

Bonjour flolem,

Merci de prendre connaissance de ces recommandations et appliquer ce qu'il y a faire avant de commencer un premier nettoyage avec ZHP.

Très Important!:

Image IPB >>> A faire immédiatement:
- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.
Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.
- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.
- TeaTimer de Spybot-S&D peut interférer avec nos utilitaires et causer certains problèmes. Le désactiver dès maintenant s'il est installé sur la machine à traiter: Lancer Spybot-S&D => "Mode Avancé". Outils (à gauche) => "Résident" et Décocher "Résident TeaTimer (...)" => OK.
Image IPB >>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.
Image IPB >>> Que faire à la réception de nouvelles instructions:
  • Lire la totalité du message.
  • Certains outils utilisés peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller" (PAS de raccourcis).
  • Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  • NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
Image IPB >>> Comment répondre:
- Cliquer sur le bouton Image IPB (et non sur Image IPB car je n'ai pas besoin de relire mes messages précédents).
- Héberger les rapports sur cjoint.comImage IPB. Cliquer sur Parcourir, chercher le fichier et cliquer dessus puis cliquer sur Créer le lien CJoint.
Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.
- Merci de coller les rapports (quand c'est demandé) directement sans rien y ajouter ni balises de citation, ni de code ni de formatage de texte (gras, italique) c'est déjà assez difficile avec ce que les pirates essaient de camoufler.
Image IPB >>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.
Image IPB >>> Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!


>>> C'est parti!

>>> ZHPDiag/ Analyse: Télécharger, sur le Bureau ZHPDiag (par Nicolas Coolman) depuis ici.
Pour installer le programme, double-cliquer sur "ZHPDiag.exe" pour lancer l'installation du programme (Vista/ W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur"). Suivre les instructions jusqu'à la fin.
Fermer toutes les applications et fenêtres ouvertes et lancer le programme via l'icône "ZHPDiag" ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPDiag". Cliquer sur la flèche verte pour les mises à jour éventuelles du programme.
Cliquer sur Lancer le diagnostic (loupe) et patienter jusqu'à la fin (en cas de blocage sur O80, cliquer sur le tournevis pour le décocher).
Un rapport "ZHPDiag.txt" sera généré et sauvegardé automatiquement sur le Bureau.
Héberger le rapport et poster son adresse.
Image IPB | Image IPB | Projet Antimalwares

Les demandes d'aide par MP sont ignorées!
Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!
0

#3 L'utilisateur est hors-ligne   flolem 

  • Member
  • Groupe : Membres
  • Messages : 85
  • Inscrit(e) : 11-février 07

Posté 04 février 2012 - 05:18

alors voici le rapport:
Lien CJoint.com BBertnJStbK
0

#4 L'utilisateur est hors-ligne   lance_yien 

  • Full Patch Member
  • Groupe : Equipe Sécurité
  • Messages : 1938
  • Inscrit(e) : 23-août 10

Posté 04 février 2012 - 06:47

Alors voila,

>>> Utiliser ZHPFix: Sélectionner et copier le texte suivant:

Citation

M2 - MFEP: prefs.js [Florian - peoa5lbp.default\vshare@toolbar] [] vShare v1.0.0 (.vShare.)
R3 - URLSearchHook: Setuprog Toolbar [64Bits] - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files (x86)\Setuprog\tbSetu.dll
R3 - URLSearchHook: Setuprog Toolbar [64Bits] - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files (x86)\Setuprog\tbSetu.dll
O2 - BHO: Setuprog Toolbar [64Bits] - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Setuprog\tbSetu.dll
C:\Program Files\Enigma Software Group\SpyHunter => Infection FakeAlert (Crapware.SpyHunter)
R3 - URLSearchHook: (no name) [64Bits] - {472734EA-242A-422b-ADF8-83D1E48CC825} . (...) (No version) -- (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{0076BD1B-1CE3-4E8F-A3A6-34D011301176}] (...) -- C:\Users\Florian\AppData\Local\Temp\Temp1_Install_Win7_7005_Installer_0820.zip\Install_Win7_7005_Installer_0820\setup.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{99D6CA1D-957B-4A29-A8F8-1DDA61E92C7E}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exered-installed;madedefault (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{ACEB8EC0-07BC-4DE6-B504-FE6482F07770}] (...) -- H:\SpyHunter-Installer.exe (.not file.)
O43 - CFD: 13/11/2011 - 10:48:08 - [0] ----D- C:\Users\Florian\AppData\Local\{1C825B94-82AE-4F9F-B56B-17098B8359DD}
O43 - CFD: 19/11/2011 - 11:52:46 - [0] ----D- C:\Users\Florian\AppData\Local\{311F40D8-DBA5-48AD-BD15-257229CCA6B4}
O43 - CFD: 01/10/2011 - 08:45:16 - [0] ----D- C:\Users\Florian\AppData\Local\{69A1994F-7BE8-4F08-9700-A1E8A918A2E1}
O43 - CFD: 13/11/2011 - 10:48:20 - [0] ----D- C:\Users\Florian\AppData\Local\{7233D7D7-1366-46E4-BCCC-D71712535B0B}
O43 - CFD: 19/11/2011 - 11:52:56 - [0] ----D- C:\Users\Florian\AppData\Local\{FEC3B752-FD3A-4A20-9D1D-0F371594DA31}
O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (...) -- firefox.exe (.not file.)
O87 - FAEL: "TCP Query User{6299863A-0931-4A85-A3B6-1A1C75F6BED0}E:\download\utorrent.exe" |In - Private - P6 - TRUE | .(...) -- E:\download\utorrent.exe (.not file.)
O87 - FAEL: "UDP Query User{A94733A1-615E-498C-A484-DA6A7EF73509}E:\download\utorrent.exe" |In - Private - P17 - TRUE | .(...) -- E:\download\utorrent.exe (.not file.)
O87 - FAEL: "TCP Query User{9F849A01-6AD3-47A6-8A3A-A2FD4487E506}C:\temp\snowxtrem\mirc.exe" |In - Public - P6 - TRUE | .(...) -- C:\temp\snowxtrem\mirc.exe (.not file.)
O87 - FAEL: "UDP Query User{B60C1560-D707-4966-A106-04A6A0072E83}C:\temp\snowxtrem\mirc.exe" |In - Public - P17 - TRUE | .(...) -- C:\temp\snowxtrem\mirc.exe (.not file.)
O87 - FAEL: "TCP Query User{1F0FD1E8-261B-45B2-9298-D36961593EF3}E:\program\u992.exe" |In - Private - P6 - TRUE | .(...) -- E:\program\u992.exe (.not file.)
O87 - FAEL: "UDP Query User{ECDA5FED-4309-4E6F-9875-1F062A327776}E:\program\u992.exe" |In - Private - P17 - TRUE | .(...) -- E:\program\u992.exe (.not file.)
O87 - FAEL: "{290FDEC6-CE68-42E2-B324-C2FFA709B5B7}" |In - Public - P17 - TRUE | .(...) -- E:\program\u992.exe (.not file.)
O87 - FAEL: "{F1EF6618-32B1-49DB-8489-C326CBA6F8F8}" |In - Public - P6 - TRUE | .(...) -- E:\program\u992.exe (.not file.)
O87 - FAEL: "TCP Query User{5F4FA0A1-CE25-46F9-AC77-FE3B61E3E332}E:\jeux\flatout2\flatout2.exe" |In - Private - P6 - TRUE | .(...) -- E:\jeux\flatout2\flatout2.exe (.not file.)
O87 - FAEL: "UDP Query User{5152D331-FB3B-4A05-B297-D60F091BD58D}E:\jeux\flatout2\flatout2.exe" |In - Private - P17 - TRUE | .(...) -- E:\jeux\flatout2\flatout2.exe (.not file.)
O87 - FAEL: "{BEA9883F-B7C6-450A-9662-BCA852102DEC}" |In - Public - P17 - TRUE | .(...) -- E:\jeux\flatout2\flatout2.exe (.not file.)
O87 - FAEL: "{D1E4F456-CA97-4255-82F8-B428DC2814A9}" |In - Public - P6 - TRUE | .(...) -- E:\jeux\flatout2\flatout2.exe (.not file.)
O87 - FAEL: "TCP Query User{93381A90-0D30-48E9-B8FB-BB454CD149CE}C:\users\florian\downloads\utorrent.exe" | In - Private - P6 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Users\Florian\Downloads\utorrent.exe
O87 - FAEL: "UDP Query User{60D28D61-4BA9-4CC3-8268-573F60122057}C:\users\florian\downloads\utorrent.exe" | In - Private - P17 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Users\Florian\Downloads\utorrent.exe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => SYSTEM : Active Desktop désactivé et configuration refusée
G1 - GCS: Preference [User Data\Default] None => Google Chrome, Aucune page de recherche
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
O5 - control.ini: [HKLM\..\Control Panel] inetcpl.cpl=no
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "PromptOnSecureDesktop"=0
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1
O42 - Logiciel: Setuprog Toolbar - (.Pas de propriétaire.) [HKLM] -- Setuprog Toolbar
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Software\Setuprog]
[HKCU\Software\AppDataLow\Toolbar]
[HKLM\Software\Setuprog]
O43 - CFD: 23/01/2012 - 22:59:08 - [0,497] ----D- C:\Program Files (x86)\Conduit
O43 - CFD: 21/09/2009 - 17:27:38 - [0] ----D- C:\Program Files (x86)\DAEMON Tools Toolbar
O43 - CFD: 23/01/2012 - 23:00:32 - [2,444] ----D- C:\Program Files (x86)\Setuprog
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Setuprog Customized Web Search) - http://search.conduit.com
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}]
[HKCU\Software\AppDataLow\Toolbar]
[HKLM\Software\Classes\Toolbar.CT2552113]
C:\Program Files (x86)\Conduit
C:\Program Files (x86)\DAEMON Tools Toolbar
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe

EmptyTemp
EmptyFlash

Lancer ZHPFix (raccourci sur le Bureau Image IPB ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPFix") et cliquer sur le bouton [H].
Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].
Fermer toutes les applications et autres fenêtres en cours (y compris Internet) et désactiver les programmes de protection (antivirus, pare-feu et antispyware).
Enfin, cliquer sur le bouton [Nettoyer] et laisser faire.
Redémarrer le PC pour finir le nettoyage si demandé, héberger le rapport "ZHPFixReport.txt" et poster son adresse. Ce rapport est en outre sauvegardé sur le Bureau.




>>> Un changement quelconque?
Image IPB | Image IPB | Projet Antimalwares

Les demandes d'aide par MP sont ignorées!
Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!
0

#5 L'utilisateur est hors-ligne   flolem 

  • Member
  • Groupe : Membres
  • Messages : 85
  • Inscrit(e) : 11-février 07

Posté 04 février 2012 - 08:00

voila le nouveau rapport: Lien CJoint.com BBet5CFKan2

aucun changement... ça vient juste de me le refaire :/
Au passage, je trouve internet lent également...

ça ressemble à ça:
dailynews - HostingPics.net - Hébergement d'images gratuit
0

#6 L'utilisateur est hors-ligne   lance_yien 

  • Full Patch Member
  • Groupe : Equipe Sécurité
  • Messages : 1938
  • Inscrit(e) : 23-août 10

Posté 05 février 2012 - 09:19

Bonjour,

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.


>>> Analyse OTL: Télécharger, sur le Bureau OTL (par OldTimer) depuis ici ou ici.
Brancher et allumer tous les médias amovibles disponibles et susceptibles d'être infectés (DD externe, clés USB etc) et fermer toutes les applications et fenêtres ouvertes.
Cliquer-droit sur OTL.exe => "Exécuter en tant qu'administrateur", cocher la case "Tous les utilisateurs" (en haut) et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

Citation

netsvcs
drivers32
%SYSTEMDRIVE%\*.* /90
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /90
%systemroot%\Tasks\*.job
%systemroot%\system32\drivers\*.sys /90
CREATERESTOREPOINT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.
A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).
Les héberger et poster leurs adresses dans une nouvelle réponse.


>>> aswMBR/ Analyse:
  • Télécharger aswMBR depuis ici et l'enregistrer sur le Bureau.
  • Désactiver tous les programmes de protection (antivirus, pare-feu et antispyware) et fermer toutes les fenêtres ouvertes.
  • Cliquer-droit sur aswMBR.exe => "Exécuter en tant qu'administrateur". Cliquer sur [YES] dans le message "Would you like to download latest Avast! virus definitions?" et patienter.
  • Cliquer sur le bouton "[Scan]" et laisser faire jusqu'à la fin puis cliquer sur le bouton [Save log]. L'enregistrer sur le Bureau en laissant le nom par défault "aswmbr.txt" et poster son contenu dans une prochaine réponse. (NE rien fixer sans y être invité).
  • Un autre fichier "MBR.dat" sera généré et sauvegardé sur le Bureau: L'héberger et poster son lien.

Image IPB | Image IPB | Projet Antimalwares

Les demandes d'aide par MP sont ignorées!
Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!
0

#7 L'utilisateur est hors-ligne   flolem 

  • Member
  • Groupe : Membres
  • Messages : 85
  • Inscrit(e) : 11-février 07

Posté 05 février 2012 - 04:23

OTL.txt > Lien CJoint.com 0BfqvqSQc9c
Extras.txt > Lien CJoint.com 0BfqwasCAhi

concernant aswMDR... il ne se lance pas, je comprend pas pourquoi...

j'execute bien en tant qu'administrateur. mon antivirus est désactivé, j'ai désactivé le parefeu windows... et aucune fenêtre s'affiche.
0

#8 L'utilisateur est hors-ligne   lance_yien 

  • Full Patch Member
  • Groupe : Equipe Sécurité
  • Messages : 1938
  • Inscrit(e) : 23-août 10

Posté 05 février 2012 - 06:54

Ton fichier est peut-être corrompu, supprime-le et télécharge une nouvelle copie.

Si ça ne fonctionne toujours pas,

>>> Utiliser ComboFix (CF): Télécharger, sur le Bureau ComboFix© (par sUBs) depuis ici ou ici.
Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer/cliquer-droit sur "ComboFix.exe" => "Exécuter en tant qu'administrateur". Suivre les instructions en acceptant l'installation de la Console de Récupération (proposée pour Windows XP si pas installée).
NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer). Ne pas tenir compte du message disant que ça peut durer 10mn, au fait ça peut même dépasser une heure.
Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). Copier/coller son contenu dans la prochaine réponse.


>>> Analyse de fichier(s):
  • Copier la ligne suivante (en gras) et aller sur le site Jotti.

    C:\PhysicalMBR.bin

  • Cliquer sur Parcourir.... Image IPB
  • Dans la nouvelle fenêtre, cliquer-droit dans "Nom du fichier" => "Coller" puis cliquer sur "Ouvrir". Image IPB
  • Cliquer sur Envoyer et laisser faire l'analyse.
  • A la fin cliquer-droit sur le bouton Votre lien permanent... => "Copier l'adresse du lien".
    Cliquer-droit dans une nouvelle réponse, ici, => "Coller"
    Image IPB

Si Jotti est surchargé, aller sur Virustotal.
Image IPB | Image IPB | Projet Antimalwares

Les demandes d'aide par MP sont ignorées!
Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!
0

#9 L'utilisateur est hors-ligne   flolem 

  • Member
  • Groupe : Membres
  • Messages : 85
  • Inscrit(e) : 11-février 07

Posté 06 février 2012 - 04:31

alors, voila pour Combo fix:

Lien CJoint.com 0BgeEMhm8Qc


et Jetti à rien trouvé, voila le log: PhysicalMBR.bin - Le scanner antivirus de Jotti
0

#10 L'utilisateur est hors-ligne   lance_yien 

  • Full Patch Member
  • Groupe : Equipe Sécurité
  • Messages : 1938
  • Inscrit(e) : 23-août 10

Posté 06 février 2012 - 09:27

Bonjour,

Tant mieux si Jotti n'a rien trouvé de méchant!

>>> ComboFix/ Correction: Cliquer sur "Démarrer" => "Exécuter". Saisir Notepad et cliquer sur "OK".
Copier et coller ces lignes:

Citation

RegLock::
[HKEY_USERS\S-1-5-21-504959893-2065910491-3227652132-1001\Software\SecuROM\License information*]
"datasecu"=hex:66,7e,35,06,3e,0f,16,54,71,89,99,11,7d,6e,eb,00,0d,3c,9c,f1,b9,
b3,10,01,42,ad,7e,28,55,4c,10,90,e6,9b,71,51,00,0a,04,45,84,c8,80,1a,c5,6b,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B9A09F18-45AB-4F09-A117-A4ADDA8FA8C8}]
@Denied: (A) (Everyone)
"Solution"="{36eb6792-3a29-43b3-8cd0-f67d266fb426}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane\0]
"Key"="ActionsPane"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\8.0\\ActionsPane.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)


Cliquer sur "Fichier" => "Enregistrer". Dans "Nom du fichier", saisir ou coller CFScript.txt, cliquer sur Bureau à gauche puis sur "Enregistrer" en bas à droite.
Fermer toutes les fenêtres et applications ouvertes et désactiver antivirus, pare-feu et antispyware pour éviter qu'ils interfèrent avec ComboFix.
Glisser le fichier CFScript.txt et le déposer sur ComboFix.exe Image IPB
Ceci a pour effet de lancer ComboFix. Patienter!
A la fin, redémarrer le PC (s'il ne redémarre pas automatiquement) et Copier/coller le contenu du rapport généré dans la prochaine réponse. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\).


>>> Encore des soucis avec ta machine?
Image IPB | Image IPB | Projet Antimalwares

Les demandes d'aide par MP sont ignorées!
Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!
0
  • (6 Pages)
  • +
  • 1
  • 2
  • 3
  • Dernière »
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Similar Topics
  Sujet Commencé par Statistiques Infos sur le dernier message
Sujet chaud (nouvelles réponses) [Résolu] Infection détectée sous Windows Vista
Problème d'installation d'office 2010 		mc guill 
  • 37 réponses
  • 1259 vues
Sujet ouvert (nouvelles réponses) Aide pour contrôle si infection + problème Avira jp9905 
  • 12 réponses
  • 618 vues
Sujet ouvert (nouvelles réponses) Infection Smart Fortress 2012 mattam 
  • 0 réponses
  • 210 vues
Sujet ouvert (nouvelles réponses) Possible infection ?
Problème de lenteur et démarrage 		gaby62 
  • 10 réponses
  • 210 vues
Sujet ouvert (nouvelles réponses) Infection virus
Virus « Office central de lutte » etc. 		martinmartin 
  • 0 réponses
  • 149 vues
Sujet ouvert (nouvelles réponses) Infection non identifiée sur PC portable
Rapport ZHPDiag 		DadooNum 
  • 11 réponses
  • 327 vues
Sujet ouvert (nouvelles réponses) Infection multiexplorer.com Sam654 
  • 10 réponses
  • 305 vues
Sujet chaud (nouvelles réponses) [Résolu] Rapport HijackThis et infection probable [2] cha24o8 
  • 19 réponses
  • 657 vues
Sujet ouvert (nouvelles réponses) Clavier et souris bloqués suite infection police nationale Carole  
  • 0 réponses
  • 174 vues
Sujet ouvert (nouvelles réponses) Infection rootkit
Onglet pub Firefox, crash système BSOD 		josss 
  • 11 réponses
  • 488 vues

1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)



    Page officielle Zebulon.fr