Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Tentative d'intrusion

soulatp

Par soulatp
dans Analyses et éradication malwares

 Partager

Messages recommandés

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Voici la suite :

 

Va dans le Panneau de config > Programmes et fonctionnalités puis désinstalle les programmes suivants :

 

> Java 6 Update 18 (périmée et vulnérable)

> uTorrentBar_FR Toolbar (vraiment utile ??? ton choix...)

 

Quitte le Panneau de config lorsque terminé.

 

Télécharge et installe la nouvelle version de Java à partir du lien suivant :

Téléchargement gratuit du logiciel Java

 

==============================

 

Ensuite :

 

Supprime la copie de ComboFix qui se trouve sur ton Bureau (périmée).

Télécharge (mais ne lance pas) la version à jour du lien suivant et sauvegarde-là sur ton Bureau :

Bleeping Computer Downloads: ComboFix Download

(choisis le premier lien > Bleeping Computer Mirror)

 

Désactive Nod32 temporairement : ceci est très important.

 

**Le script prescrit ci-bas a été préparé pour la machine de soulatp seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" tout le texte qui se trouve ci-dessous (en pâle) dans ce fichier :

 

 

KillAll::

File::
c:\windows\system32\alk553F.tmp
c:\windows\temp\nxiq\setup.exe

Folder::
c:\program files\ConduitEngine

Driver::
AMService

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"Glgqlpiklo"=-

Netsvc::
vkjtjduq

DDS::
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com

DirLook::
c:\users\leden\AppData\Roaming\94B6A705FFFE108827692408EB1A9299

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

====

====

 

Et dis-moi comment se comporte la machine...

 

@+

 

Mark

soulatp Junior Member

soulatp

Posté(e)
  • Auteur
Posté(e)

alors pour utorrent bar qui est arrivé dans mon pc je ne sais pas trop comment, j'ai souhaité vivement le desinstaller mais j'ai ce message

 

C:\program files\utorrentBar_FR\UNWISE.Exe

tentative d'opération non autorisée sur une clé de Registre marquée pour Suppression

 

sinon voici le rapport ComboFix

 

ComboFix 11-02-17.02 - leden 18/02/2011 19:47:17.2.2 - x86

Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.2814.1894 [GMT 1:00]

Lancé depuis: c:\users\leden\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\leden\Desktop\CFscript.txt

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

 

FILE ::

"c:\windows\system32\alk553F.tmp"

"c:\windows\temp\nxiq\setup.exe"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\ConduitEngine

c:\program files\ConduitEngine\appContextMenu.xml

c:\program files\ConduitEngine\ConduitEngin0.dll

c:\program files\ConduitEngine\ConduitEngine.dll

c:\program files\ConduitEngine\ConduitEngineHelper.exe

c:\program files\ConduitEngine\ConduitEngineUninstall.exe

c:\program files\ConduitEngine\engineContextMenu.xml

c:\program files\ConduitEngine\EngineSettings.json

c:\program files\ConduitEngine\INSTALL.LOG

c:\program files\ConduitEngine\toolbar.cfg

c:\programdata\Desktop

c:\windows\system32\alk553F.tmp

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_AMService

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-18 au 2011-02-18 ))))))))))))))))))))))))))))))))))))

.

 

2011-02-18 18:50 . 2011-02-18 18:52 -------- d-----w- c:\users\leden\AppData\Local\temp

2011-02-18 18:50 . 2011-02-18 18:50 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-02-18 18:42 . 2011-02-18 18:42 -------- d-----w- c:\program files\Common Files\Java

2011-02-18 18:41 . 2011-02-18 18:41 472808 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

2011-02-18 18:41 . 2011-02-18 18:41 472808 ----a-w- c:\windows\system32\deployJava1.dll

2011-02-18 18:41 . 2011-02-18 18:41 -------- d-----w- c:\program files\Java

2011-02-17 23:46 . 2011-02-17 23:46 406528 ----a-w- c:\windows\system32\ReWire.dll

2011-02-17 23:46 . 2011-02-17 23:46 338432 ----a-w- c:\windows\system32\REX Shared Library.dll

2011-02-17 23:42 . 2011-02-17 23:46 -------- d-----w- c:\programdata\Propellerhead Software

2011-02-17 23:42 . 2011-02-17 23:47 -------- d-----w- c:\users\leden\AppData\Roaming\Propellerhead Software

2011-02-17 23:36 . 2011-02-17 23:36 -------- d-----w- c:\program files\Propellerhead

2011-02-17 13:21 . 2011-02-17 13:21 -------- d-----w- c:\program files\ZHPFix

2011-02-15 17:56 . 2011-02-11 20:00 797441 ----a-w- c:\program files\Mozilla Firefox\PiroxFishBot.exe

2011-02-11 11:35 . 2011-02-11 11:35 -------- d-----w- c:\program files\Defraggler

2011-02-10 21:44 . 2011-02-10 21:44 -------- d-----w- c:\program files\Recuva

2011-02-10 10:43 . 2011-02-10 10:43 -------- d-----w- c:\users\leden\AppData\Local\TouchStoneSoftware

2011-02-10 10:43 . 2011-02-10 10:43 -------- d-----w- c:\program files\TouchStoneSoftware

2011-02-06 13:32 . 2009-10-10 02:57 12800 ----a-w- c:\windows\system32\drivers\sffp_sd.sys

2011-02-03 23:23 . 2011-02-03 23:23 -------- d-----w- c:\program files\Acunetix

2011-02-03 20:20 . 2011-02-04 18:42 -------- d-----w- c:\users\leden\AppData\Roaming\RIFT

2011-01-31 00:16 . 2011-01-31 00:16 -------- d-----w- c:\users\leden\AppData\Roaming\SUPERAntiSpyware.com

2011-01-31 00:16 . 2011-01-31 00:16 -------- d-----w- c:\programdata\SUPERAntiSpyware.com

2011-01-31 00:16 . 2011-01-31 00:16 -------- d-----w- c:\program files\SUPERAntiSpyware

2011-01-26 17:27 . 2011-01-31 00:20 -------- d-----w- c:\program files\IDoser v4

2011-01-26 17:15 . 2011-01-26 17:15 -------- d-----w- c:\program files\Osmos

2011-01-21 11:45 . 2011-01-21 11:45 -------- d-----w- c:\program files\Digital Photo Software

2011-01-21 11:45 . 2010-07-01 02:32 67312 ----a-w- c:\windows\UnDeployV.exe

2011-01-19 23:25 . 2011-01-19 23:25 -------- d-----w- c:\windows\system32\Wat

2011-01-19 23:19 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe

2011-01-19 23:19 . 2010-03-04 03:57 190976 ----a-w- c:\windows\system32\drivers\ks.sys

2011-01-19 23:17 . 2010-08-27 03:31 310784 ----a-w- c:\windows\system32\drivers\srv.sys

2011-01-19 23:17 . 2010-08-27 05:46 168448 ----a-w- c:\windows\system32\srvsvc.dll

2011-01-19 23:17 . 2010-08-27 03:30 308736 ----a-w- c:\windows\system32\drivers\srv2.sys

2011-01-19 23:17 . 2010-08-27 03:30 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys

2011-01-19 23:17 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll

2011-01-19 23:17 . 2010-10-16 04:41 101760 ----a-w- c:\windows\system32\consent.exe

2011-01-19 23:15 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll

2011-01-19 22:32 . 2011-01-19 22:32 388096 ----a-r- c:\users\leden\AppData\Roaming\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe

2011-01-19 22:32 . 2011-01-19 22:32 -------- d-----w- c:\program files\TrendMicro

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-26 17:15 . 2010-10-11 13:27 444952 ----a-w- c:\windows\system32\wrap_oal.dll

2011-01-26 17:15 . 2010-10-11 13:27 109080 ----a-w- c:\windows\system32\OpenAL32.dll

2011-01-17 21:43 . 2011-01-17 21:43 34064 ----a-w- c:\windows\system32\lhacm.acm

2011-01-08 03:27 . 2011-02-04 01:07 10920 ----a-w- c:\windows\system32\drivers\nvBridge.kmd

2011-01-08 03:27 . 2010-12-10 18:35 5653096 ----a-w- c:\windows\system32\nvwgf2um.dll

2011-01-08 03:27 . 2010-12-10 18:35 1965672 ----a-w- c:\windows\system32\nvapi.dll

2011-01-08 03:27 . 2010-12-10 18:35 10078312 ----a-w- c:\windows\system32\nvd3dum.dll

2011-01-07 20:06 . 2011-01-07 20:06 580200 ----a-w- c:\windows\system32\easyUpdatusAPIU.dll

2011-01-07 20:06 . 2011-01-07 20:06 3597416 ----a-w- c:\windows\system32\nvcpl.dll

2011-01-07 20:06 . 2011-01-07 20:06 2620520 ----a-w- c:\windows\system32\nvsvc.dll

2011-01-07 20:06 . 2011-01-07 20:06 608872 ----a-w- c:\windows\system32\nvvsvc.exe

2011-01-07 20:06 . 2011-01-07 20:06 2558568 ----a-w- c:\windows\system32\nvsvcr.dll

2011-01-07 20:06 . 2011-01-07 20:06 111208 ----a-w- c:\windows\system32\nvmctray.dll

2010-12-20 17:09 . 2010-12-25 21:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2010-12-25 21:22 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-12-01 21:36 . 2010-12-01 21:36 35322368 ----a-w- c:\windows\system32\Snow Village 3D Screensaver.exe

2010-12-01 21:36 . 2010-12-01 21:36 921600 ----a-w- c:\windows\system32\Snow_Village_3D_Screensaver.scr

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Directory of c:\users\leden\AppData\Roaming\94B6A705FFFE108827692408EB1A9299 ----

 

2011-01-16 12:07 . 2011-01-16 12:12 1044480 ----a-w- c:\users\leden\AppData\Roaming\94B6A705FFFE108827692408EB1A9299\lpppatch70700reg.exe

 

 

------- Sigcheck -------

 

[-] 2010-03-16 . 076563AA6ABEF78A850D7C7465BD5365 . 2614272 . . [6.1.7600.16385] . . c:\windows\explorer.exe

[7] 2010-03-16 . 2626FC9755BE22F805D3CFA0CE3EE727 . 2614272 . . [6.1.7600.16450] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe

[7] 2010-03-16 . C76153C7ECA00FA852BB0C193378F917 . 2614272 . . [6.1.7600.20563] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

[7] 2010-03-16 . B95EEB0F4E5EFBF1038A35B3351CF047 . 2613248 . . [6.1.7600.16404] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe

[7] 2010-03-16 . 9FF6C4C91A3711C0A3B18F87B08B518D . 2613248 . . [6.1.7600.20500] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe

[7] 2009-07-14 . 15BC38A7492BEFE831966ADB477CF76F . 2613248 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\tbuTo1.dll" [2011-01-19 3911776]

 

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

2011-01-19 11:42 3911776 ----a-w- c:\program files\uTorrentBar_FR\tbuTo1.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\tbuTo1.dll" [2011-01-19 3911776]

 

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}"= "c:\program files\uTorrentBar_FR\tbuTo1.dll" [2011-01-19 3911776]

 

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]

"Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]

"BigDogPath"="c:\windows\VM301Snap.exe" [2007-03-27 49152]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"EnableShellExecuteHooks"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{3CF9ECE0-1A9F-11D2-8C73-00C06C2005DE}"= "c:\program files\GPSoftware\Directory Opus\dopuslib.dll" [2010-01-08 836056]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Domino]

2006-07-04 13:16 49152 ----a-w- c:\windows\Domino.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]

2009-12-16 12:12 337808 ----a-w- c:\program files\Eraser\Eraser.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileZilla Server Interface]

2010-07-18 21:27 1258496 ----a-w- c:\program files\FileZilla Server\FileZilla Server Interface.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

2010-04-16 20:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 cpuz134;cpuz134;c:\windows\TEMP\cpuz134\cpuz134_x32.sys [x]

R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2010-07-15 14216]

R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2010-07-15 8456]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [x]

R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-09-12 251248]

R3 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2010-01-27 50704]

R3 rt61x86;802.11g Wireless Driver RT61;c:\windows\system32\DRIVERS\netr61.sys [x]

R3 RTL8187B;Carte réseau USB 2.0 Realtek RTL8187B sans fil 802.11b/g 54 Mbits/s;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-01-19 1343400]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-08-07 691696]

S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-11-16 108792]

S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]

S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]

S2 AcuWVSSchedulerv7;Acunetix WVS Scheduler v7;c:\program files\Acunetix\Web Vulnerability Scanner 7\WVSScheduler7.exe [2011-01-24 675128]

S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-11-16 735960]

S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [2009-11-16 95896]

S2 FlexService;Remote Connections Service;c:\program files\RapidBIT\cisvc.exe [2009-05-17 41984]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-01-07 378984]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-11-11 122984]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-30 187392]

 

 

NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents

AeLookupSvc

CertPropSvc

SCPolicySvc

lanmanserver

gpsvc

IKEEXT

AudioSrv

FastUserSwitchingCompatibility

Ias

Irmon

Nla

Ntmssvc

NWCWorkstation

Nwsapagent

Rasauto

Rasman

Remoteaccess

SENS

Sharedaccess

SRService

Tapisrv

Wmi

WmdmPmSp

TermService

wuauserv

BITS

ShellHWDetection

LogonHours

PCAudit

helpsvc

uploadmgr

iphlpsvc

seclogon

AppInfo

msiscsi

MMCSS

wercplsupport

EapHost

ProfSvc

schedule

hkmsvc

SessionEnv

winmgmt

browser

Themes

BDESVC

AppMgmt

?

r

?

k

?

i

?

?

?

8

?

a

?

m

?

?

 

?

o

?

2

?

.

?

?

?

/

?

p

?

?

?

c

?

u

?

?

?

>

?

d

?

s

?

l

?

n

?

 

?

 

?

C

?

?

=

?

r

?

]

?

i

?

?

?

3

?

a

?

h

?

?

?

o

?

%

?

'

?

V

?

?

<

?

p

?

?

c

?

y

?

?

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

 

.

.

------- Examen supplémentaire -------

.

TCP: {0A8050FA-738A-40A9-ACEC-ADF918AA7A6C} = 109.0.66.70,109.0.66.20

FF - ProfilePath - c:\users\leden\AppData\Roaming\Mozilla\Firefox\Profiles\s4ngtjwc.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com

FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}

.

- - - - ORPHELINS SUPPRIMES - - - -

 

AddRemove-conduitEngine - c:\program files\ConduitEngine\ConduitEngineUninstall.exe

 

 

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,0a,ea,0d,58,4b,ef,77,44,a5,6c,70,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,0a,ea,0d,58,4b,ef,77,44,a5,6c,70,\

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'Explorer.exe'(588)

c:\program files\TrueLaunchBar\tlb.dll

c:\program files\TrueLaunchBar\plugins\drvspace\drvspace.dll

c:\program files\TrueLaunchBar\plugins\netmon\netmon.dll

c:\program files\TrueLaunchBar\plugins\volctl\volctrl.dll

c:\program files\GPSoftware\Directory Opus\dopuslib.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\nvvsvc.exe

c:\program files\NVIDIA Corporation\Display\NvXDSync.exe

c:\windows\system32\nvvsvc.exe

c:\windows\system32\taskhost.exe

c:\windows\system32\conhost.exe

c:\windows\system32\wbem\WmiApSrv.exe

c:\program files\GPSoftware\Directory Opus\dopus.exe

c:\windows\system32\sppsvc.exe

.

**************************************************************************

.

Heure de fin: 2011-02-18 19:54:06 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-02-18 18:54

ComboFix2.txt 2011-02-17 23:28

 

Avant-CF: 82 530 099 200 octets libres

Après-CF: 82 325 811 200 octets libres

 

- - End Of File - - F390C7595146EDA51A2C003EF0EBE7FE

Mark Godlike Member

Mark

Posté(e)
Posté(e)

D'accord... on va te la virer d'une autre façon.

 

La uTorrent toolbar a été installée avec... uTorrent ;)

 

Voici la suite :

 

Désactive Nod32 temporairement : ceci est très important.

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" tout le texte qui se trouve ci-dessous (en pâle) dans ce fichier :

 

 

KillAll::

Folder::
c:\program files\uTorrentBar_FR
c:\users\leden\AppData\Roaming\94B6A705FFFE108827692408EB1A9299

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

DDS::
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

====

====

 

Réactive Nod32 (ESET) et dis-moi si tu as toujours des détections, ou tout autre problème qui semble lié à une infection.

 

@++

 

Mark

soulatp Junior Member

soulatp

Posté(e)
  • Auteur
Posté(e) (modifié)

heureusement que nous avons 2 pc à la maison

 

1) en effet utorrent installé par le fils

2) je ne peux plus rien exécuté sur le pc infecté

 

exemple :

 

ouverture de l'explorateur >>>> Tentative d'opération non autorisée sur une clé de registre marquée pour suppression

ouverture internet explorer >>>> C:\chemin\internet explorer.lnk Tentative d'opération non autorisée sur une clé de registre marquée pour suppression

 

tout programme que je souhaite lancer, j'ai le même message d'erreur.

 

voici quand même le résultat du scan

 

 

ComboFix 11-02-17.02 - leden 18/02/2011 23:19:55.3.2 - x86

Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.2814.1776 [GMT 1:00]

Lancé depuis: c:\users\leden\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\leden\Desktop\CFScript.txt

AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5}

SP: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\uTorrentBar_FR

c:\program files\uTorrentBar_FR\GottenAppsContextMenu.xml

c:\program files\uTorrentBar_FR\INSTALL.LOG

c:\program files\uTorrentBar_FR\OtherAppsContextMenu.xml

c:\program files\uTorrentBar_FR\SharedAppsContextMenu.xml

c:\program files\uTorrentBar_FR\tbuTo0.dll

c:\program files\uTorrentBar_FR\tbuTo1.dll

c:\program files\uTorrentBar_FR\tbuTor.dll

c:\program files\uTorrentBar_FR\toolbar.cfg

c:\program files\uTorrentBar_FR\ToolbarContextMenu.xml

c:\program files\uTorrentBar_FR\UNWISE.EXE

c:\program files\uTorrentBar_FR\UNWISE.INI

c:\program files\uTorrentBar_FR\uTorrentBar_FRToolbarHelper.exe

c:\users\leden\AppData\Roaming\94B6A705FFFE108827692408EB1A9299

c:\users\leden\AppData\Roaming\94B6A705FFFE108827692408EB1A9299\lpppatch70700reg.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-18 au 2011-02-18 ))))))))))))))))))))))))))))))))))))

.

 

2011-02-18 22:23 . 2011-02-18 22:23 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-02-18 18:50 . 2011-02-18 22:25 -------- d-----w- c:\users\leden\AppData\Local\temp

2011-02-18 18:42 . 2011-02-18 18:42 -------- d-----w- c:\program files\Common Files\Java

2011-02-18 18:41 . 2011-02-18 18:41 472808 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

2011-02-18 18:41 . 2011-02-18 18:41 472808 ----a-w- c:\windows\system32\deployJava1.dll

2011-02-18 18:41 . 2011-02-18 18:41 -------- d-----w- c:\program files\Java

2011-02-17 23:46 . 2011-02-17 23:46 406528 ----a-w- c:\windows\system32\ReWire.dll

2011-02-17 23:46 . 2011-02-17 23:46 338432 ----a-w- c:\windows\system32\REX Shared Library.dll

2011-02-17 23:42 . 2011-02-17 23:46 -------- d-----w- c:\programdata\Propellerhead Software

2011-02-17 23:42 . 2011-02-17 23:47 -------- d-----w- c:\users\leden\AppData\Roaming\Propellerhead Software

2011-02-17 23:36 . 2011-02-17 23:36 -------- d-----w- c:\program files\Propellerhead

2011-02-17 13:21 . 2011-02-17 13:21 -------- d-----w- c:\program files\ZHPFix

2011-02-15 17:56 . 2011-02-11 20:00 797441 ----a-w- c:\program files\Mozilla Firefox\PiroxFishBot.exe

2011-02-11 11:35 . 2011-02-11 11:35 -------- d-----w- c:\program files\Defraggler

2011-02-10 21:44 . 2011-02-10 21:44 -------- d-----w- c:\program files\Recuva

2011-02-10 10:43 . 2011-02-10 10:43 -------- d-----w- c:\users\leden\AppData\Local\TouchStoneSoftware

2011-02-10 10:43 . 2011-02-10 10:43 -------- d-----w- c:\program files\TouchStoneSoftware

2011-02-06 13:32 . 2009-10-10 02:57 12800 ----a-w- c:\windows\system32\drivers\sffp_sd.sys

2011-02-03 23:23 . 2011-02-03 23:23 -------- d-----w- c:\program files\Acunetix

2011-02-03 20:20 . 2011-02-04 18:42 -------- d-----w- c:\users\leden\AppData\Roaming\RIFT

2011-01-31 00:16 . 2011-01-31 00:16 -------- d-----w- c:\users\leden\AppData\Roaming\SUPERAntiSpyware.com

2011-01-31 00:16 . 2011-01-31 00:16 -------- d-----w- c:\programdata\SUPERAntiSpyware.com

2011-01-31 00:16 . 2011-01-31 00:16 -------- d-----w- c:\program files\SUPERAntiSpyware

2011-01-26 17:27 . 2011-01-31 00:20 -------- d-----w- c:\program files\IDoser v4

2011-01-26 17:15 . 2011-01-26 17:15 -------- d-----w- c:\program files\Osmos

2011-01-21 11:45 . 2011-01-21 11:45 -------- d-----w- c:\program files\Digital Photo Software

2011-01-21 11:45 . 2010-07-01 02:32 67312 ----a-w- c:\windows\UnDeployV.exe

2011-01-19 23:25 . 2011-01-19 23:25 -------- d-----w- c:\windows\system32\Wat

2011-01-19 23:19 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe

2011-01-19 23:19 . 2010-03-04 03:57 190976 ----a-w- c:\windows\system32\drivers\ks.sys

2011-01-19 23:17 . 2010-08-27 03:31 310784 ----a-w- c:\windows\system32\drivers\srv.sys

2011-01-19 23:17 . 2010-08-27 05:46 168448 ----a-w- c:\windows\system32\srvsvc.dll

2011-01-19 23:17 . 2010-08-27 03:30 308736 ----a-w- c:\windows\system32\drivers\srv2.sys

2011-01-19 23:17 . 2010-08-27 03:30 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys

2011-01-19 23:17 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll

2011-01-19 23:17 . 2010-10-16 04:41 101760 ----a-w- c:\windows\system32\consent.exe

2011-01-19 23:15 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll

2011-01-19 22:32 . 2011-01-19 22:32 388096 ----a-r- c:\users\leden\AppData\Roaming\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe

2011-01-19 22:32 . 2011-01-19 22:32 -------- d-----w- c:\program files\TrendMicro

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-26 17:15 . 2010-10-11 13:27 444952 ----a-w- c:\windows\system32\wrap_oal.dll

2011-01-26 17:15 . 2010-10-11 13:27 109080 ----a-w- c:\windows\system32\OpenAL32.dll

2011-01-17 21:43 . 2011-01-17 21:43 34064 ----a-w- c:\windows\system32\lhacm.acm

2011-01-08 03:27 . 2011-02-04 01:07 10920 ----a-w- c:\windows\system32\drivers\nvBridge.kmd

2011-01-08 03:27 . 2010-12-10 18:35 5653096 ----a-w- c:\windows\system32\nvwgf2um.dll

2011-01-08 03:27 . 2010-12-10 18:35 1965672 ----a-w- c:\windows\system32\nvapi.dll

2011-01-08 03:27 . 2010-12-10 18:35 10078312 ----a-w- c:\windows\system32\nvd3dum.dll

2011-01-07 20:06 . 2011-01-07 20:06 580200 ----a-w- c:\windows\system32\easyUpdatusAPIU.dll

2011-01-07 20:06 . 2011-01-07 20:06 3597416 ----a-w- c:\windows\system32\nvcpl.dll

2011-01-07 20:06 . 2011-01-07 20:06 2620520 ----a-w- c:\windows\system32\nvsvc.dll

2011-01-07 20:06 . 2011-01-07 20:06 608872 ----a-w- c:\windows\system32\nvvsvc.exe

2011-01-07 20:06 . 2011-01-07 20:06 2558568 ----a-w- c:\windows\system32\nvsvcr.dll

2011-01-07 20:06 . 2011-01-07 20:06 111208 ----a-w- c:\windows\system32\nvmctray.dll

2010-12-20 17:09 . 2010-12-25 21:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2010-12-25 21:22 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-12-01 21:36 . 2010-12-01 21:36 35322368 ----a-w- c:\windows\system32\Snow Village 3D Screensaver.exe

2010-12-01 21:36 . 2010-12-01 21:36 921600 ----a-w- c:\windows\system32\Snow_Village_3D_Screensaver.scr

.

 

------- Sigcheck -------

 

[-] 2010-03-16 . 076563AA6ABEF78A850D7C7465BD5365 . 2614272 . . [6.1.7600.16385] . . c:\windows\explorer.exe

[7] 2010-03-16 . 2626FC9755BE22F805D3CFA0CE3EE727 . 2614272 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe

[7] 2010-03-16 . C76153C7ECA00FA852BB0C193378F917 . 2614272 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

[7] 2010-03-16 . B95EEB0F4E5EFBF1038A35B3351CF047 . 2613248 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe

[7] 2010-03-16 . 9FF6C4C91A3711C0A3B18F87B08B518D . 2613248 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe

[7] 2009-07-14 . 15BC38A7492BEFE831966ADB477CF76F . 2613248 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]

"Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]

"BigDogPath"="c:\windows\VM301Snap.exe" [2007-03-27 49152]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"EnableShellExecuteHooks"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{3CF9ECE0-1A9F-11D2-8C73-00C06C2005DE}"= "c:\program files\GPSoftware\Directory Opus\dopuslib.dll" [2010-01-08 836056]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Domino]

2006-07-04 13:16 49152 ----a-w- c:\windows\Domino.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]

2009-12-16 12:12 337808 ----a-w- c:\program files\Eraser\Eraser.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileZilla Server Interface]

2010-07-18 21:27 1258496 ----a-w- c:\program files\FileZilla Server\FileZilla Server Interface.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

2010-04-16 20:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 cpuz134;cpuz134;c:\windows\TEMP\cpuz134\cpuz134_x32.sys [x]

R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2010-07-15 14216]

R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2010-07-15 8456]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [x]

R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-09-12 251248]

R3 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2010-01-27 50704]

R3 rt61x86;802.11g Wireless Driver RT61;c:\windows\system32\DRIVERS\netr61.sys [x]

R3 RTL8187B;Carte réseau USB 2.0 Realtek RTL8187B sans fil 802.11b/g 54 Mbits/s;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-01-19 1343400]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-08-07 691696]

S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-11-16 108792]

S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]

S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]

S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-11-16 735960]

S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [2009-11-16 95896]

S2 FlexService;Remote Connections Service;c:\program files\RapidBIT\cisvc.exe [2009-05-17 41984]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-01-07 378984]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-11-11 122984]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-30 187392]

 

 

NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents

AeLookupSvc

CertPropSvc

SCPolicySvc

lanmanserver

gpsvc

IKEEXT

AudioSrv

FastUserSwitchingCompatibility

Ias

Irmon

Nla

Ntmssvc

NWCWorkstation

Nwsapagent

Rasauto

Rasman

Remoteaccess

SENS

Sharedaccess

SRService

Tapisrv

Wmi

WmdmPmSp

TermService

wuauserv

BITS

ShellHWDetection

LogonHours

PCAudit

helpsvc

uploadmgr

iphlpsvc

seclogon

AppInfo

msiscsi

MMCSS

wercplsupport

EapHost

ProfSvc

schedule

hkmsvc

SessionEnv

winmgmt

browser

Themes

BDESVC

AppMgmt

?

r

?

k

?

i

?

?

?

8

?

a

?

m

?

?

 

?

o

?

2

?

.

?

?

?

/

?

p

?

?

?

c

?

u

?

?

?

>

?

d

?

s

?

l

?

n

?

 

?

 

?

C

?

?

=

?

r

?

]

?

i

?

?

?

3

?

a

?

h

?

?

?

o

?

%

?

'

?

V

?

?

<

?

p

?

?

c

?

y

?

?

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

 

.

.

------- Examen supplémentaire -------

.

TCP: {0A8050FA-738A-40A9-ACEC-ADF918AA7A6C} = 109.0.66.70,109.0.66.20

FF - ProfilePath - c:\users\leden\AppData\Roaming\Mozilla\Firefox\Profiles\s4ngtjwc.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com

FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,0a,ea,0d,58,4b,ef,77,44,a5,6c,70,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,0a,ea,0d,58,4b,ef,77,44,a5,6c,70,\

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'Explorer.exe'(2128)

c:\program files\TrueLaunchBar\tlb.dll

c:\program files\TrueLaunchBar\plugins\drvspace\drvspace.dll

c:\program files\TrueLaunchBar\plugins\netmon\netmon.dll

c:\program files\TrueLaunchBar\plugins\volctl\volctrl.dll

c:\program files\GPSoftware\Directory Opus\dopuslib.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\nvvsvc.exe

c:\program files\NVIDIA Corporation\Display\NvXDSync.exe

c:\windows\system32\nvvsvc.exe

c:\windows\system32\taskhost.exe

c:\windows\system32\conhost.exe

c:\windows\system32\wbem\WmiApSrv.exe

c:\windows\system32\sppsvc.exe

.

**************************************************************************

.

Heure de fin: 2011-02-18 23:27:08 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-02-18 22:27

ComboFix2.txt 2011-02-18 18:54

ComboFix3.txt 2011-02-17 23:28

 

Avant-CF: 82 307 870 720 octets libres

Après-CF: 82 265 292 800 octets libres

 

- - End Of File - - DBAE0D874487BBF1B455D12DC63578E1

Modifié par soulatp
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Le rapport de ComboFix est propre à présent.

 

Lorsque j'ai constaté l'état de la machine au tout début, je me disais que ça pouvait déraper à tout moment, mais j'ai tout de même décidé de tenter la désinfection. Cela dit, le pronostique n'est pas très bon lorsque ce genre d'erreur apparaît.

 

Première chose à essayer : redémarrage du système (méthode "Arrêt complet" puis démarrage après 1 minute d'arrêt). Essaie tes programmes à nouveau.

 

Deuxième chose (si nécessaire) : il te faut le DVD de Windows 7 Pro à portée de main. Ensuite, tu cliques sur le bouton Démarrer et tu tapes cmd dans la boîte de recherche. N'appuie pas sur [Entrée] mais enfonce plutôt les touches "CTRL"+"Shift"+"Entrée" puis relâche les trois, ce qui te donne une invite de commandes avec privilèges élevés, puis tu tapes ceci à l'invite de commandes :

 

sfc /scannow

(à noter l'espace après "sfc")

 

> Tu valides ensuite avec la touche [Entrée]

> Tu insères le DVD si demandé.

Edit/ajout : si tu reçois le message d'erreur lors de l'exécution de sfc, ré-essaie en mode Sans Échec ou bien depuis un autre compte utilisateur.

 

Dis-moi si ça aide...

 

@+

 

Mark

soulatp Junior Member

soulatp

Posté(e)
  • Auteur
Posté(e)

 

 

Première chose à essayer : redémarrage du système (méthode "Arrêt complet" puis démarrage après 1 minute d'arrêt). Essaie tes programmes à nouveau.

 

 

 

tous les programmes refonctionnent normalement ouf !!!!

 

dois-je exécuter d'autres manipulations ?

Mark Godlike Member

Mark

Posté(e)
Posté(e)

non... LOL. Pas tout de suite.

 

Héhé. J'ai eu quelques chaleurs là, je te jure.

 

Bon voici ce que je pense... On fait dodo et on se reparle demain. Je suis 6 heures derrière Paris alors tu auras du temps pour surfer et examiner le comportement de la machine avant mon réveil.

 

Ça te va ?

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Voilà une excellente nouvelle ! :super:

 

Je ne t'ai pas oublié. J'ai cependant oublié de me déconnecter hier soir et là j'ai une grosse journée... Je vais donc repasser sur le forum plus tard ce soir (nuit chez toi) et je te donnerai la suite des procédures. Nous n'allons que faire un peu de ménage et discuter des facteurs de risque.

Je vais faire un petit retour sur les détections d'outils étranges causés par le système modifié et les risques qui y sont associés (pour ton info).

 

@plus tard ;)

 

Mark

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...