Rootkit ultra résistant

[SasoriMatsu]

Rien à faire, même en mode sans échec il m'est impossible d'ouvrir le logiciel : les erreurs sont les mêmes

[pear]

Avant d'aller plus loin ,j'aimerais un rapport nouveau de votre antirootkit.

[SasoriMatsu]

Path: C:\WINDOWS\System32\Drivers\a9898475.SYS

Description: Hidden driver file

[pear]

Le nom a changé!

 

Ce que je voulais , c'est le rapport complet d'un scan d'aujourdhui.

 

Vous allez télécharger Combofix.

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

 

Pour renommer:

Clic droit sur Télécharger combofix.exe de sUBs

Choisir "Enregistrer la cible du lien..sous....saso.com

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir ->saso.com

Cliquez enfin sur -> Enregistrer

Lancez saso.com et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

 

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée[/color=#FF0000]

 

C'est pourquoi il vous est vivement conseillé d'installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire->Sur PCA,En Français

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Vous avez téléchargé Combofix.

*Double cliquer sur bitruc.com pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:

Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié le 3 août 2010 par pear

[SasoriMatsu]

Bonjour Pear,

 

Le rapport que j'ai obtenu de AVG antirootkit est en fait un bilan de tous les scans effectués depuis que je l'utilise. A savoir qu'il ne mentionne à chaque fois qu'un chemin et qu'un driver.

 

En ce qui concerne la console de récupération, comme je n'ai pas le CD Windows, je dois donc passer par ce site, je crois : How to obtain Windows XP Setup disks for a floppy boot installation

 

Petite question : je suis sous Windows XP Pro SP3

Donc, comment faire puisque seuls SP1 et SP2 sont proposés ?

 

Enfin, vous me dites :

" Vous avez téléchargé Combofix.

*Double cliquer sur bitruc.com pour le lancer."

 

Vous voulez dire "Saso.com" ? puisque bitruc, à savoir MBAM, a été désinstallé.

 

Merci encore pour votre aide.

[SasoriMatsu]

Bien, j'ai pu trouver quel lien était approprié (Windows XP SP2 dans mon cas).

Quand j'ai fait glisser l'icône de la console de récupération sur saso.com (sur le bureau), cela a induit l'option d'ouverture de combofix.

 

J'ai accepté et là j'ai eu le message que le fichier "NCI.." quelque chose était introuvable (pas le temps de lire) et toutes les fenêtres se sont fermées puis le PC s'est éteint pour redémarrer.

 

Donc pour l'étape :

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher: pas de rapport puisque redémarrage immédiat

 

 

J'ai alors vu la fenêtre où combofix cherchait la console de récupération et l'ayant trouvé, il s'est lancé dans la recherche de fichiers infectés. Ce qui ne m'a pas permis de fermer mon antivirus et le pare feux windows.

J'ai alors eu l'antivirus qui m'a indiqué qu'un virus a été trouvé (Eica ..) et il me demandait l'action à effectuer.

J'ai fait ctrl+alt+suppr pour fermer manuellement l'anti virus sans choisir d'action pour ce virus (peut être était ce combofix qui était perçu comme tel ??).

 

J'attends toujours les résultats de combofix, mais ai je bien fait de fermer l'anti virus sans choisir l'action à effectuer ? (j'aurais pu choisir "ignorer" !)

 

Dès que j'ai les résultats de combofix, je poste tout cela.

Modifié le 4 août 2010 par SasoriMatsu

[SasoriMatsu]

Rapport ComboFix :

 

ComboFix 10-08-03.04 - Fred 04/08/2010 12:18:16.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.503.233 [GMT 2:00]

Lancé depuis: c:\documents and settings\Fred\Bureau\saso.com.exe

Commutateurs utilisés :: c:\documents and settings\Fred\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

* Un antivirus résident est actif

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Fred\Application Data\avdrn.dat

c:\windows\patch.exe

c:\windows\system32\fonts

c:\windows\system32\fonts\ACADEMY_.PFB

c:\windows\system32\fonts\ACADEMY_.PFM

c:\windows\system32\fonts\ACADEMY_.TTF

c:\windows\system32\tmp.reg

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-04 au 2010-08-04 ))))))))))))))))))))))))))))))))))))

.

 

2010-08-01 14:21 . 2010-08-01 14:21 -------- d--h--w- c:\windows\system32\GroupPolicy

2010-07-29 10:14 . 2010-07-29 10:14 -------- d-----w- c:\windows\system32\wbem\Repository

2010-07-24 02:16 . 2005-09-20 08:36 147456 ----a-w- c:\windows\system32\igfxres.dll

2010-07-24 01:28 . 2010-07-24 01:29 -------- d-----w- c:\program files\ma-config.com

2010-07-23 19:43 . 2010-07-23 19:43 -------- d-----w- c:\documents and settings\Fred\Application Data\VERITAS

2010-07-23 19:09 . 2003-02-05 08:39 5589 ----a-w- c:\windows\system32\drivers\sscdbhk5.sys

2010-07-23 19:09 . 2003-02-05 00:56 40416 ----a-w- c:\windows\system32\drivers\drvnddm.sys

2010-07-23 19:09 . 2003-02-06 23:03 98352 ----a-w- c:\windows\dla.exe

2010-07-23 19:09 . 2003-02-06 23:03 61492 ----a-w- c:\windows\system32\tfswapi.dll

2010-07-23 19:09 . 2003-02-05 08:39 23059 ----a-w- c:\windows\system32\drivers\ssrtln.sys

2010-07-23 18:58 . 2002-09-04 12:22 1581056 ----a-w- c:\windows\system32\mplvw7.dll

2010-07-23 18:58 . 2002-09-04 12:17 1122304 ----a-w- c:\windows\system32\mplvpx.dll

2010-07-23 18:58 . 2002-09-04 12:20 77824 ----a-w- c:\windows\system32\mplaw7.dll

2010-07-23 18:58 . 2002-09-04 12:18 1552384 ----a-w- c:\windows\system32\mplvm6.dll

2010-07-23 18:58 . 2002-09-04 12:14 1650688 ----a-w- c:\windows\system32\mplva6.dll

2010-07-23 18:58 . 2002-09-04 12:12 65536 ----a-w- c:\windows\system32\mplapx.dll

2010-07-23 18:58 . 2002-09-04 12:12 65536 ----a-w- c:\windows\system32\mplam6.dll

2010-07-23 18:58 . 2002-09-04 12:12 77824 ----a-w- c:\windows\system32\mplaa6.dll

2010-07-23 18:58 . 2002-09-04 11:54 19968 ----a-w- c:\windows\system32\cpuinf32.dll

2010-07-23 18:58 . 1995-07-31 11:44 212480 ----a-w- c:\windows\PCDLIB32.DLL

2010-07-23 18:56 . 2010-07-23 18:56 -------- d-----w- c:\documents and settings\Administrator

2010-07-23 18:55 . 2003-03-21 10:34 9856 ----a-w- c:\windows\system32\drivers\pfc.sys

2010-07-22 19:27 . 2010-07-22 19:27 -------- d-----w- c:\program files\FrenchOtto

2010-07-22 19:27 . 2010-07-22 19:27 -------- d-----w- c:\program files\GIMP-2.0

2010-07-22 19:27 . 2010-07-22 19:27 -------- d-----w- c:\program files\GemMasterFrench

2010-07-22 19:27 . 2010-07-22 19:27 -------- d-----w- c:\program files\Panda Security

2010-07-22 19:27 . 2010-07-22 19:27 -------- d-----w- c:\program files\TPlayer

2010-07-22 19:27 . 2010-07-22 19:27 -------- d-----w- c:\program files\Lavasoft

2010-07-22 19:27 . 2010-07-22 19:27 -------- d-----w- c:\program files\ATI Technologies

2010-07-22 19:27 . 2010-07-22 19:27 -------- d-----w- C:\ATI

2010-07-19 21:27 . 2010-07-19 21:27 -------- d-----w- c:\documents and settings\Fred\Application Data\Uniblue

2010-07-19 20:29 . 2010-07-22 19:27 -------- d-----w- c:\program files\Microsoft IntelliPoint

2010-07-19 20:00 . 2010-07-19 20:00 -------- d-----w- C:\Intel

2010-07-19 19:56 . 2010-07-24 01:28 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\ma-config.com

2010-07-14 20:12 . 2010-07-22 19:28 -------- d-----w- c:\documents and settings\Fred\Application Data\FinalMediaPlayer

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-03 21:14 . 2008-05-26 18:37 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2010-08-01 14:26 . 2007-01-20 21:36 84632 ----a-w- c:\documents and settings\Fred\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-07-29 10:21 . 2006-12-10 19:48 -------- d-----w- c:\program files\Java

2010-07-29 10:13 . 2006-12-07 22:49 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2010-07-29 09:39 . 2009-02-16 13:12 -------- d-----w- c:\program files\CCleaner

2010-07-24 01:22 . 2006-12-07 22:49 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-07-22 19:28 . 2009-02-15 22:58 -------- d---a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP

2010-07-19 21:46 . 2007-01-23 23:36 -------- d-----w- c:\documents and settings\Fred\Application Data\Sonic

2010-07-19 21:39 . 2006-12-08 01:33 -------- d-----w- c:\program files\Sonic

2010-07-18 12:03 . 2004-08-10 12:00 96150 ----a-w- c:\windows\system32\perfc00C.dat

2010-07-18 12:03 . 2004-08-10 12:00 538610 ----a-w- c:\windows\system32\perfh00C.dat

2010-07-18 11:58 . 2007-09-02 20:02 664 ----a-w- c:\windows\system32\d3d9caps.dat

2007-06-06 09:42 . 2007-06-06 09:42 1953480 ----a-w- c:\program files\PPVIEWER.EXE

2007-03-02 16:14 . 2007-03-02 16:13 13446648 ----a-w- c:\program files\setupfre.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="d:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UnlockerAssistant"="e:\program files\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]

"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 75520]

"StorageGuard"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-02-12 155648]

"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2002-11-08 98304]

"PRONoMgr.exe"="c:\program files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-08-31 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-08-31 455168]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-02-06 114741]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-12-10 110592]

Lancement rapide d'Adobe Reader.lnk - d:\program files\Adobe\Reader\reader_sl.exe [2005-9-23 29696]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

@=""

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

@=""

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [18/02/2010 14:17 108289]

S0 nielprt;Nielsen Patch Service;c:\windows\system32\DRIVERS\nielprt.sys --> c:\windows\system32\DRIVERS\nielprt.sys [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [19/07/2010 14:59 259440]

S3 NielGfx;Nielsen USB GFX;c:\windows\system32\drivers\nielgfx.sys --> c:\windows\system32\drivers\nielgfx.sys [?]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/04/2009 21:25 717296]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Tâches planifiées'

.

.

------- Examen supplémentaire -------

.

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyServer = proxy.free.fr:3128

uInternet Settings,ProxyOverride = <local>

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: laposte.net\compte

DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan8/oscan8.cab

DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} - hxxp://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab

DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp02.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab

FF - ProfilePath - c:\documents and settings\Fred\Application Data\Mozilla\Firefox\Profiles\crbj43n7.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - plugin: c:\documents and settings\Fred\Application Data\Mozilla\Firefox\Profiles\crbj43n7.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

FF - plugin: c:\program files\Fichiers communs\mpDRM\NPMPDRM.dll

FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJPI150_11.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: d:\program files\Adobe\Reader\browser\nppdf32.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-08-04 12:33

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\mpDRM\LicenseStore*]

@DACL=

.

Heure de fin: 2010-08-04 12:38:20

ComboFix-quarantined-files.txt 2010-08-04 10:38

 

Avant-CF: 859 656 192 octets libres

Après-CF: 823 742 464 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

 

- - End Of File - - 757C87D84939FEE24DBFA0FCEF878BBB

[pear]

Bonjour,

 

Télécharger Maxlook vers le Bureau.

 

- Double-cliquer sur maxlook.exe.

Autoriser son exécution.

*Note importante : Cet outil ne doit être lancé qu'une seule fois

Après la recherche, l'outil demandera de redémarrer l'ordi en mode de réparation

Sous Xp

Démarrer la console de récupération:

 

Dans le cas où la console n'est pas installée, munissez-vous de votre CD d'installation ou du cd que vous avez fait.

Assurez-vous que les options du Boot soient bien paramétrées pour démarrer sur le lecteur de CD en premier dans votre BIOS

- Insérez le CD dans le lecteur de CD, puis redémarrez l'ordinateur

- Lorsque l'écran de bienvenue du programme d'installation s'affiche,

Appuyez sur la touche R pour démarrer la console de récupération.

Si on vous le demande, parce que vous n'avez pas installé la commande Set:

Tapez votre mot de passe Administrateur si vous en avez un, sinon, ne tapez rien et cliquez sur ENTRÉE.

 

Sous Vista

Tuto de Marie

 

Avant de redémarrer, insérer le DVD de Vista et choisir "Réparer l'ordinateur" (au bas de la fenêtre d'installation)

 

Ensuite ,choisir la partition du système, puis à la fenêtre suivante "Invite de commandes" (au bas)

 

Taper très exactement la commande suivante cd /d c:\windows

et valider.

 

Lorsque l'invite pour %SystemRoot% (généralement C:\Windows) apparaît, vous pouvez commencer à taper les commandes appropriées pour diagnostiquer et réparer votre installation.

Windows vous demande quel système démarrer.

Appuyez la touche Verr Num pour activer le clavier numérique

Généralement , vous tapez 1 pour accéder au prompt C:\Windows>

Vous arrivez là:

C:\WINDOWS>

 

Taper batch look.bat

(il y a un espace après "batch")

Valider

 

 

Quelques fichiers copiés défilent rapidement , dans la fenêtre.

Lorsque terminé, taper Exit puis valider

Redémarrer en mode Normal.

Relancer l'outil maxlook -sig

(il y a un espace après "maxlook")

 

Un rapport texte apparaîtra à l'écran, nommé looklog.txt.

En coller le contenu dans la réponse.

[SasoriMatsu]

Excusez moi mais je n'ai rien compris

 

Dans l'étape précédente vous m'avez demandé d'installer la console de récupération que j'ai fait glisser sur l'icône de saso.com.

Dois je à nouveau télécharger le lien approprié pour mon système d'exploitation bien que possédant toujours l'icône de la console de récupération sur mon bureau ?

[pear]

Bonsoir,

 

Combofix ayant installé la console de récupération, au démarrage , juste après le bios, vous avez le choix de lancer Window 'option par défaut) ou la console de récupération.

Si vous ne voyez pas cette fenêtre de choix, allongez le timeout dans les options de boot.

 

Démarrer->Exécuter->Msconfig->Boot.ini

Modifié le 4 août 2010 par pear