Fiffe

Je fais quoi maintenant pour le scan avec ZHPFix ? Je colle les lignes vertes en omettant ce qui concerne Foxmail ? Merci de votre aide.

SHA256: 69b38b56bbd517e1380e600a0f8e77b6a40a1a8debee0c5bcb17f163619bb422 SHA1: 2d5a4cff42c7ad00707db2110fc8e1672ef0db47 MD5: 197c93ba7b3bc1b6a0fdf3e4c4c77239 Taille du fichier : 7.1 MB ( 7403336 bytes ) Nom du fichier : Foxmail.exe Type du fichier : Win32 EXE Ratio de détection : 0 / 48 Date d'analyse : 2013-09-20 11:52:19 UTC (il y a 0 minute) Apparemment il n'y a rien de malicieux.

J'ai refait un scan RK et il m'a encore trouvé des choses dans le registre et proxy ! RogueKiller V8.6.12 [sep 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : Suppression -- Date : 09/19/2013 18:36:38 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ [HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[84] : NtCreateSection @ 0x82C2B12D -> HOOKED (Unknown @ 0x8DD30CE6) [Address] SSDT[299] : NtRequestWaitReplyPort @ 0x82C45B12 -> HOOKED (Unknown @ 0x8DD30CF0) [Address] SSDT[316] : NtSetContextThread @ 0x82CE589F -> HOOKED (Unknown @ 0x8DD30CEB) [Address] SSDT[347] : NtSetSecurityObject @ 0x82C097F3 -> HOOKED (Unknown @ 0x8DD30CF5) [Address] SSDT[368] : NtSystemDebugControl @ 0x82C8D7DA -> HOOKED (Unknown @ 0x8DD30CFA) [Address] SSDT[370] : NtTerminateProcess @ 0x82C62D76 -> HOOKED (Unknown @ 0x8DD30C87) [Address] Shadow SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8DD30D0E) [Address] Shadow SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8DD30D13) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST3250318AS ATA Device +++++ --- User --- [MBR] 2332de089f89447b9db50d9506b5d0aa [bSP] f275409e2227709b102426ea161f775d : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 238373 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_09192013_183638.txt >> RKreport[0]_S_09192013_182914.txt RogueKiller V8.6.12 [sep 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : Proxy RAZ -- Date : 09/19/2013 18:37:53 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (:0) -> [0x2] Le fichier spécifié est introuvable. ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ Termine : << RKreport[0]_PR_09192013_183753.txt >> RKreport[0]_D_09192013_183638.txt;RKreport[0]_S_09192013_182914.txt

Je viens de m'apercevoir qu'il m'avait supprimé foxmail, mon logiciel de mail. J'ai fait une restauration du système. Il faut que je copie ce qui est en vert en omettant ce qui concerne Foxmail pour recommencer l'opération ?

Rapport ZHPfix : http://cjoint.com/?CItr2B1bGWP

Lien rapport ZHPDiag : http://cjoint.com/?CItqNqg3aVf

Lors du scan avec JRT il m'a indiqué qu'un mauvais module avait été détecté et que je devais redémarrer mon pc pour l'éliminer. Lien rapport JRT : http://cjoint.com/?CItqSAtu7f5

Rapports Adwcleaner : http://cjoint.com/?CItqPwKmVxN http://cjoint.com/?CItqRi9ZLgP

Sinon j'ai supprimer par inadvertance les fichiers index SSDT, faut il que je fasse une restauration du système pour les restaurer ? RogueKiller V8.6.11 [sep 11 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : Suppression -- Date : 09/19/2013 00:09:37 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[84] : NtCreateSection @ 0x82C5B12D -> HOOKED (Unknown @ 0x8AA538E6) [Address] SSDT[299] : NtRequestWaitReplyPort @ 0x82C75B12 -> HOOKED (Unknown @ 0x8AA538F0) [Address] SSDT[316] : NtSetContextThread @ 0x82D1589F -> HOOKED (Unknown @ 0x8AA538EB) [Address] SSDT[347] : NtSetSecurityObject @ 0x82C397F3 -> HOOKED (Unknown @ 0x8AA538F5) [Address] SSDT[368] : NtSystemDebugControl @ 0x82CBD7DA -> HOOKED (Unknown @ 0x8AA538FA) [Address] SSDT[370] : NtTerminateProcess @ 0x82C92D76 -> HOOKED (Unknown @ 0x8AA53887) [Address] Shadow SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8AA5390E) [Address] Shadow SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8AA53913) [Address] IRP[iRP_MJ_CREATE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F638CE) [Address] IRP[iRP_MJ_CLOSE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F638CE) [Address] IRP[iRP_MJ_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F4F47C) [Address] IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F4F44E) [Address] IRP[iRP_MJ_POWER] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F4F4AA) [Address] IRP[iRP_MJ_SYSTEM_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F5EDB2) [Address] IRP[iRP_MJ_PNP] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F5ED7E) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3250318AS ATA Device +++++ --- User --- [MBR] 2332de089f89447b9db50d9506b5d0aa [bSP] f275409e2227709b102426ea161f775d : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 238373 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST3250318AS ATA Device +++++ --- User --- [MBR] bc677d79056b94e4fbacf23efdac2d54 [bSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code Partition table: 0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1919 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[0]_D_09192013_000937.txt >> RKreport[0]_D_09182013_214539.txt;RKreport[0]_H_09192013_000346.txt;RKreport[0]_S_09182013_214422.txt RKreport[0]_S_09182013_215002.txt;RKreport[0]_S_09182013_235954.txt

RogueKiller V8.6.11 [sep 11 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : HOSTS RAZ -- Date : 09/19/2013 00:03:46 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[0]_H_09192013_000346.txt >> RKreport[0]_D_09182013_214539.txt;RKreport[0]_S_09182013_214422.txt;RKreport[0]_S_09182013_215002.txt RKreport[0]_S_09182013_235954.txt RogueKiller V8.6.11 [sep 11 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : Proxy RAZ -- Date : 09/19/2013 00:05:59 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ Termine : << RKreport[0]_PR_09192013_000559.txt >> RKreport[0]_D_09182013_214539.txt;RKreport[0]_H_09192013_000346.txt;RKreport[0]_S_09182013_214422.txt RKreport[0]_S_09182013_215002.txt;RKreport[0]_S_09182013_235954.txt RogueKiller V8.6.11 [sep 11 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : DNS RAZ -- Date : 09/19/2013 00:06:53 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ Termine : << RKreport[0]_DN_09192013_000653.txt >> RKreport[0]_D_09182013_214539.txt;RKreport[0]_H_09192013_000346.txt;RKreport[0]_S_09182013_214422.txt RKreport[0]_S_09182013_215002.txt;RKreport[0]_S_09182013_235954.txt RogueKiller V8.6.11 [sep 11 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : Raccourcis RAZ -- Date : 09/19/2013 00:07:44 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 0 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 11 / Fail 0 Mes documents: Success 0 / Fail 0 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 3 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored [D:] \Device\CdRom0 -- 0x5 --> Skipped [E:] \Device\HarddiskVolume3 -- 0x2 --> Restored ¤¤¤ Infection : ¤¤¤ Termine : << RKreport[0]_SC_09192013_000744.txt >> RKreport[0]_D_09182013_214539.txt;RKreport[0]_H_09192013_000346.txt;RKreport[0]_S_09182013_214422.txt RKreport[0]_S_09182013_215002.txt;RKreport[0]_S_09182013_235954.txt

Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Version de la base de données: v2013.09.17.06 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16686 Moulis :: FIFFE [administrateur] 17/09/2013 16:50:04 mbam-log-2013-09-17 (16-50-04).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 193301 Temps écoulé: 10 minute(s), 5 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 1 C:\Users\Moulis\AppData\Roaming\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès. Fichier(s) détecté(s): 1 C:\Users\Moulis\AppData\Roaming\dclogs\2013-09-16-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès. (fin) Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Version de la base de données: v2013.09.18.07 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16686 Moulis :: FIFFE [administrateur] 18/09/2013 14:27:52 mbam-log-2013-09-18 (14-27-52).txt Type d'examen: Examen complet (C:\|D:\|E:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 336657 Temps écoulé: 1 heure(s), 49 minute(s), 50 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 2 C:\Program Files\AskPartnerNetwork\Toolbar\APNSetup.exe (PUP.Optional.ASKToolbar.A) -> Mis en quarantaine et supprimé avec succès. C:\Users\Moulis\Documents\APNSetup.exe (PUP.Optional.ASKToolbar.A) -> Mis en quarantaine et supprimé avec succès. (fin) RogueKiller V8.6.11 [sep 11 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : Recherche -- Date : 09/17/2013 18:25:03 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:21320) -> TROUVÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[84] : NtCreateSection @ 0x82C3D12D -> HOOKED (Unknown @ 0x8F053136) [Address] SSDT[299] : NtRequestWaitReplyPort @ 0x82C57B12 -> HOOKED (Unknown @ 0x8F053140) [Address] SSDT[316] : NtSetContextThread @ 0x82CF789F -> HOOKED (Unknown @ 0x8F05313B) [Address] SSDT[347] : NtSetSecurityObject @ 0x82C1B7F3 -> HOOKED (Unknown @ 0x8F053145) [Address] SSDT[368] : NtSystemDebugControl @ 0x82C9F7DA -> HOOKED (Unknown @ 0x8F05314A) [Address] SSDT[370] : NtTerminateProcess @ 0x82C74D76 -> HOOKED (Unknown @ 0x8F0530D7) [Address] Shadow SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8F05315E) [Address] Shadow SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8F053163) [Address] IRP[iRP_MJ_CREATE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F5A8CC) [Address] IRP[iRP_MJ_CLOSE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F5A8CC) [Address] IRP[iRP_MJ_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F4647C) [Address] IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F4644E) [Address] IRP[iRP_MJ_POWER] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F464AA) [Address] IRP[iRP_MJ_SYSTEM_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F55DB2) [Address] IRP[iRP_MJ_PNP] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F55D7E) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3250318AS ATA Device +++++ --- User --- [MBR] 2332de089f89447b9db50d9506b5d0aa [bSP] f275409e2227709b102426ea161f775d : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 238373 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_09172013_182503.txt >> RogueKiller V8.6.11 [sep 11 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Moulis [Droits d'admin] Mode : Recherche -- Date : 09/18/2013 18:47:56 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:21320) -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[84] : NtCreateSection @ 0x82C4212D -> HOOKED (Unknown @ 0x8D908C9E) [Address] SSDT[299] : NtRequestWaitReplyPort @ 0x82C5CB12 -> HOOKED (Unknown @ 0x8D908CA8) [Address] SSDT[316] : NtSetContextThread @ 0x82CFC89F -> HOOKED (Unknown @ 0x8D908CA3) [Address] SSDT[347] : NtSetSecurityObject @ 0x82C207F3 -> HOOKED (Unknown @ 0x8D908CAD) [Address] SSDT[368] : NtSystemDebugControl @ 0x82CA47DA -> HOOKED (Unknown @ 0x8D908CB2) [Address] SSDT[370] : NtTerminateProcess @ 0x82C79D76 -> HOOKED (Unknown @ 0x8D908C3F) [Address] Shadow SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D908CC6) [Address] Shadow SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D908CCB) [Address] IRP[iRP_MJ_CREATE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F2E8CE) [Address] IRP[iRP_MJ_CLOSE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F2E8CE) [Address] IRP[iRP_MJ_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F1A47C) [Address] IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F1A44E) [Address] IRP[iRP_MJ_POWER] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F1A4AA) [Address] IRP[iRP_MJ_SYSTEM_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F29DB2) [Address] IRP[iRP_MJ_PNP] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F29D7E) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3250318AS ATA Device +++++ --- User --- [MBR] 2332de089f89447b9db50d9506b5d0aa [bSP] f275409e2227709b102426ea161f775d : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 238373 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_09182013_184756.txt >>

Voici le lien du rapport ZHPDiag : http://cjoint.com/?CIstvPjgF82

MBAM Hier : Dossier(s) détecté(s): 1 C:\Users\AppData\Roaming\dclogs (Stolen.Data) -> Aucune action effectuée. Fichier(s) détecté(s): 1 C:\Users\AppData\Roaming\dclogs\2013-09-16-2.dc (Stolen.Data) -> Aucune action effectuée. Ce jour : Fichier(s) détecté(s): 2 C:\Program Files\AskPartnerNetwork\Toolbar\APNSetup.exe (PUP.Optional.ASKToolbar.A) -> Mis en quarantaine et supprimé avec succès. C:\Users\Moulis\Documents\APNSetup.exe (PUP.Optional.ASKToolbar.A) -> Mis en quarantaine et supprimé avec succès. ROGUEKILLER Hier : ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:21320) -> TROUVÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[84] : NtCreateSection @ 0x82C3D12D -> HOOKED (Unknown @ 0x8F053136) [Address] SSDT[299] : NtRequestWaitReplyPort @ 0x82C57B12 -> HOOKED (Unknown @ 0x8F053140) [Address] SSDT[316] : NtSetContextThread @ 0x82CF789F -> HOOKED (Unknown @ 0x8F05313B) [Address] SSDT[347] : NtSetSecurityObject @ 0x82C1B7F3 -> HOOKED (Unknown @ 0x8F053145) [Address] SSDT[368] : NtSystemDebugControl @ 0x82C9F7DA -> HOOKED (Unknown @ 0x8F05314A) [Address] SSDT[370] : NtTerminateProcess @ 0x82C74D76 -> HOOKED (Unknown @ 0x8F0530D7) [Address] Shadow SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8F05315E) [Address] Shadow SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8F053163) [Address] IRP[iRP_MJ_CREATE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F5A8CC) [Address] IRP[iRP_MJ_CLOSE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F5A8CC) [Address] IRP[iRP_MJ_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F4647C) [Address] IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F4644E) [Address] IRP[iRP_MJ_POWER] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F464AA) [Address] IRP[iRP_MJ_SYSTEM_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F55DB2) [Address] IRP[iRP_MJ_PNP] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F55D7E) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ Ce jour : ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:21320) -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[84] : NtCreateSection @ 0x82C4212D -> HOOKED (Unknown @ 0x8D908C9E) [Address] SSDT[299] : NtRequestWaitReplyPort @ 0x82C5CB12 -> HOOKED (Unknown @ 0x8D908CA8) [Address] SSDT[316] : NtSetContextThread @ 0x82CFC89F -> HOOKED (Unknown @ 0x8D908CA3) [Address] SSDT[347] : NtSetSecurityObject @ 0x82C207F3 -> HOOKED (Unknown @ 0x8D908CAD) [Address] SSDT[368] : NtSystemDebugControl @ 0x82CA47DA -> HOOKED (Unknown @ 0x8D908CB2) [Address] SSDT[370] : NtTerminateProcess @ 0x82C79D76 -> HOOKED (Unknown @ 0x8D908C3F) [Address] Shadow SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D908CC6) [Address] Shadow SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D908CCB) [Address] IRP[iRP_MJ_CREATE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F2E8CE) [Address] IRP[iRP_MJ_CLOSE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F2E8CE) [Address] IRP[iRP_MJ_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F1A47C) [Address] IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F1A44E) [Address] IRP[iRP_MJ_POWER] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F1A4AA) [Address] IRP[iRP_MJ_SYSTEM_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F29DB2) [Address] IRP[iRP_MJ_PNP] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F29D7E) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3250318AS ATA Device +++++ --- User --- [MBR] 2332de089f89447b9db50d9506b5d0aa [bSP] f275409e2227709b102426ea161f775d : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 238373 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_09182013_184756.txt >>

Bonjour, Je viens vers vous car avant hier j'ai eu une alerte d'Antivir qui disait qu'il y avait une tentative d'accès au registre "L'administrateur a bloqué l'accès au registre comme le prévoit la directive de sécurité" par 2 fois. Puis c'est la souris et le pc ont subit un gros ralentissement jusqu'à que je déconnecte ma connexion. J'ai lancé un scan de mon antivirus qui n'a rien détecté. Ensuite j'ai fait un scan par roguekiller et malwarebyte et j'ai éradiqué les problèmes trouvés. Mais sans être rassuré pour autant par cette alerte antivir. Puis un scan par Kaspersky en ligne qui m'a trouvé vlc et ce fichier C:\Windows\system32\msxml4.dll comme apparemment vulnérable. Et depuis hier je n'arrive plus à me connecter sur internet avec aucun navigateur. J'ai un message sur firefox "connexion refusée par le serveur proxy" notamment. Sur mon logiciel de mail je peux recevoir les courriers entrants mais impossible de surfer sur le net. J'ai essayé de faire une restauration mais plusieurs ont échoué (sur des points de la semaine passée). J'ai réussi une restauration à partir d'une sauvegarde d'hier sans résultat probant. J'ai désactivé les options de proxy sur mes navigateurs mais toujours impossible de surfer sur le net. On m'a parlé d'un RAT qui aurait installé un proxy, mais je n'ai toujours pas trouvé la solution et l'éradication de mon problème. Tout ça m'inquiètes car j'ai l'impression qu'avec tous les scans effectué que mon pc ne semble pas infecté plus que ça, et pourtant je dois avoir d'anormal et malsain dans mon pc. Je me suis connecté depuis 1 vieux pc portable pour avoir accès au net. Voilà, j'ai quand même des sérieuses suspicions sur le fait que mon pc ait un souci mais je ne sais pas comment le déceler précisément. Merci de votre aide