Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Pub récalcitrante

Malpertuis

Par Malpertuis
dans Analyses et éradication malwares

 Partager

Messages recommandés

Malpertuis Junior Member

Malpertuis

Posté(e)
  • Auteur
Posté(e)

Bonjour et merci pour cette précision.

Je résume:

Désactivation MSE : OK.

Lancement ComboFix.

Le programme me demande de télécharger 1 console de récupération Windows : OK

A l'étape 50 une fenêtre MSE s'ouvre : détection d'une menace potentielle : excécution.

Une demi heure après j'ai ce rapport :

ComboFix 11-10-09.01 - Noël 10/10/2011 8:33.1.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.32.1036.18.1023.406 [GMT 2:00]

Lancé depuis: c:\documents and settings\Noël\Mes documents\Bureau\ComboFix.exe

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files\SoftonicDownloader25339.exe

c:\windows\IsUn0413.exe

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-09-10 au 2011-10-10 ))))))))))))))))))))))))))))))))))))

.

.

2011-10-10 06:17 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

2011-10-10 06:17 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll

2011-10-09 12:13 . 2011-10-09 12:13 -------- d-----w- c:\program files\CCleaner

2011-10-09 11:30 . 2011-10-09 11:30 28752 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8016C5F3-CE98-4F78-8B4B-2BFC522779E7}\MpKsldaaa9442.sys

2011-10-09 11:29 . 2011-10-09 11:29 56200 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8016C5F3-CE98-4F78-8B4B-2BFC522779E7}\offreg.dll

2011-10-09 11:29 . 2011-09-12 14:14 7269712 ------w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8016C5F3-CE98-4F78-8B4B-2BFC522779E7}\mpengine.dll

2011-10-09 11:29 . 2011-05-24 17:14 222080 ------w- c:\windows\system32\MpSigStub.exe

2011-10-09 11:27 . 2011-10-10 06:17 -------- d-----w- c:\windows\LastGood

2011-10-09 11:26 . 2011-10-09 11:27 -------- d-----w- c:\program files\Microsoft Security Client

2011-10-09 11:10 . 2011-10-09 11:22 -------- d-----w- C:\dec45a09dd5ea1b29343da4c5d0b1d

2011-10-08 08:43 . 2011-10-08 08:43 512 ----a-w- C:\PhysicalDisk0_MBR.bin

2011-10-08 08:32 . 2011-10-09 10:45 -------- d-----w- C:\ZHP

2011-10-08 08:31 . 2011-10-08 09:02 -------- d-----w- c:\program files\ZHPDiag

2011-10-08 08:25 . 2011-10-08 08:25 -------- d-----w- c:\documents and settings\Noël\Bureau

2011-10-06 14:03 . 2011-10-06 14:03 -------- d-----w- c:\documents and settings\Noël\Application Data\IObit

2011-10-06 13:41 . 2011-10-06 13:41 -------- d-----w- c:\windows\9ACEBC7B4D46462A929C99177EC5BEA6.TMP

2011-10-05 07:20 . 2011-10-05 07:20 -------- d-----w- c:\documents and settings\Noël\Application Data\Malwarebytes

2011-10-05 07:20 . 2011-10-05 07:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-10-05 07:20 . 2011-10-05 07:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-10-05 07:20 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-10-04 13:01 . 2011-10-04 13:01 -------- d-----w- c:\documents and settings\admin

2011-09-25 09:33 . 2011-09-25 09:33 -------- d-----w- c:\documents and settings\Noël\Application Data\ElephormDVDPlayer.8FC2E10752433BF8182FC825ABC2922D2AC381F8.1

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-04 14:28 . 2003-10-05 19:19 26624 ----a-w- c:\windows\system32\userinit.exe

2011-09-09 09:12 . 2002-09-23 13:10 606208 ----a-w- c:\windows\system32\crypt32.dll

2011-08-27 14:34 . 2011-08-27 14:34 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-07-28 18:54 . 2003-10-05 12:01 947472 ----a-w- c:\windows\system32\msjava.dll

2011-07-15 13:29 . 2003-10-05 19:18 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-12-24 11:18 . 2011-07-14 10:47 2670592 ----a-w- c:\program files\VirtualDub.exe

2003-08-14 17:13 . 2003-10-13 07:51 40960 -c--a-w- c:\program files\Uninstall_PCM.exe

2011-09-30 09:14 . 2011-03-31 09:39 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Ub4TrayApp"="c:\program files\Astase\UltraBackup\4.0\bin\ubtray.exe" [2004-10-21 1381376]

"YSearchProtection"="c:\program files\Yahoo!\Search Protection\SearchProtection.exe" [2008-07-11 223984]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-11-30 1945600]

"c:\program files\NetMeter\NetMeter.exe"="c:\program files\NetMeter\NetMeter.exe" [2007-08-11 331264]

"AdobeBridge"="c:\program files\Adobe\Adobe Bridge CS5.1\Bridge.exe" [2011-03-02 12008296]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PRISMSTA.EXE"="PRISMSTA.EXE START" [X]

"Dit"="Dit.exe" [2002-08-28 73728]

"CHotkey"="mHotkey.exe" [2003-06-27 506368]

"ledpointer"="CNYHKey.exe" [2003-06-27 5798912]

"PCMService"="c:\program files\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 61440]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]

"Cmaudio"="cmicnfg.cpl" [2003-10-14 2269184]

"PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-05-28 394240]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688]

"UMonit"="c:\windows\system32\UMonit.exe" [2007-06-18 200704]

"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-04-14 536576]

"Belgacom"="c:\program files\Belgacom\bin\sprtcmd.exe" [2008-05-29 202016]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-09-18 202256]

"ExtraFilmManager"="c:\program files\ExtraFilm Designer BE FR\ExtraFilmManager.exe" [2010-06-15 159744]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]

"AdobeAAMUpdater-1.0"="c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]

"SwitchBoard"="c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]

"AdobeCS5.5ServiceManager"="c:\program files\Fichiers communs\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]

"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"AvgUninstallURL"="start Uninstallation survey | AVG France [?]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2007-4-16 282624]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

NCProTray.lnk - c:\program files\SEC\Natural Color Pro\NCProTray.exe [2010-8-29 49152]

Windows Desktop Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2007-2-5 118784]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"REGSHAVE"=c:\program files\REGSHAVE\REGSHAVE.EXE /AUTORUN

"SearchSettings"="c:\program files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\eMule0.50a\\emule.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaws.exe"=

"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\crazyloader.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=

"c:\\Program Files\\Raptr\\raptr.exe"=

"c:\\Program Files\\Raptr\\raptr_im.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1657:UDP"= 1657:UDP:Windows Media Format SDK (iexplore.exe)

"1656:UDP"= 1656:UDP:Windows Media Format SDK (iexplore.exe)

"5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows

.

R1 MpKsldaaa9442;MpKsldaaa9442;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8016C5F3-CE98-4F78-8B4B-2BFC522779E7}\MpKsldaaa9442.sys [9/10/2011 13:30 28752]

R2 IMFservice;IMF Service;c:\program files\IObit\IObit Malware Fighter\IMFsrv.exe [8/06/2011 14:15 820568]

R2 LogWatch;Event Log Watch;c:\program files\CA\SharedComponents\CA_LIC\LogWatNT.exe [20/09/2002 16:29 53248]

R2 PfFilter;PfFilter;c:\program files\IObit\Protected Folder\pffilter.sys [11/06/2011 16:02 140848]

R2 sprtsvc_belgacom;SupportSoft Sprocket Service (belgacom);c:\program files\Belgacom\bin\sprtsvc.exe [29/05/2008 11:18 202016]

R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [12/06/2003 8:47 24704]

R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [10/09/2003 13:22 362688]

R4 OADevice;OADriver;\??\c:\windows\system32\drivers\OADriver.sys --> c:\windows\system32\drivers\OADriver.sys [?]

R4 OAmon;OAmon;\??\c:\windows\system32\drivers\OAmon.sys --> c:\windows\system32\drivers\OAmon.sys [?]

R4 OAnet;OAnet;\??\c:\windows\system32\drivers\OAnet.sys --> c:\windows\system32\drivers\OAnet.sys [?]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [17/03/2010 17:22 135664]

S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]

S3 APL531;OVT Scanner;c:\windows\system32\Drivers\ov550i.sys --> c:\windows\system32\Drivers\ov550i.sys [?]

S3 CA_LIC_CLNT;Client de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmt.exe [20/09/2002 16:27 77824]

S3 CA_LIC_SRVR;Serveur de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmtd.exe [20/09/2002 16:41 77824]

S3 FileMonitor;FileMonitor;c:\program files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys [23/07/2011 17:00 239600]

S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [17/03/2010 17:22 135664]

S3 MR97310_VGA_DUAL_CAMERA;XDC-300;c:\windows\system32\DRIVERS\mr97310v.sys --> c:\windows\system32\DRIVERS\mr97310v.sys [?]

S3 RegFilter;RegFilter;c:\program files\IObit\IObit Malware Fighter\Drivers\wxp_x86\RegFilter.sys [23/07/2011 17:00 30368]

S3 SwitchBoard;SwitchBoard;c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 13:37 517096]

S3 UrlFilter;UrlFilter;c:\program files\IObit\IObit Malware Fighter\Drivers\wxp_x86\UrlFilter.sys [23/07/2011 17:00 16080]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [5/10/2003 21:19 14336]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]

.

--- Autres Services/Pilotes en mémoire ---

.

*NewlyCreated* - MPFILTER

*NewlyCreated* - MPKSLDAAA9442

*NewlyCreated* - MSMPSVC

*NewlyCreated* - OADEVICE

*NewlyCreated* - OAMON

*NewlyCreated* - OANET

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM REG_MULTI_SZ WINRM

.

Contenu du dossier 'Tâches planifiées'

.

2011-08-03 c:\windows\Tasks\AdobeAAMUpdater-1.0-NOM-ORDINATEFR-Noël.job

- c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-08-03 15:42]

.

2011-08-22 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

.

2011-10-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb6d052f46cfa8.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-17 15:21]

.

2011-10-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA1cb6d052fb94088.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-17 15:21]

.

2011-10-09 c:\windows\Tasks\MP Scheduled Scan.job

- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39]

.

2011-10-10 c:\windows\Tasks\MpIdleTask.job

- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39]

.

2010-07-20 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-09-11 10:57]

.

2011-10-10 c:\windows\Tasks\User_Feed_Synchronization-{8F0BC583-A666-491C-85AF-8751E3C2BAD0}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://search.orbitdownloader.com

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

mStart Page = hxxp://www.tinit.org/

uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s

TCP: DhcpNameServer = 192.168.1.1

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxp://www.tele2mail.com/static/apps/utils/AccountHelper.cab

DPF: {B60CEFE7-2DD0-4B78-951A-509D951DB1F0} - hxxp://www.extrafilm.be/ExtraFilmUploader6.cab

FF - ProfilePath - c:\documents and settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: browser.startup.homepage - hxxp://search.orbitdownloader.com

FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=685749&p=

FF - user.js: browser.cache.memory.capacity - 16000

FF - user.js: browser.chrome.favicons - false

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autofill - true

FF - user.js: content.max.tokenizing.time - 3000000

FF - user.js: content.maxtextrun - 4095

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 1000000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 1000000

FF - user.js: dom.disable_window_status_change - true

FF - user.js: network.http.max-connections - 48

FF - user.js: network.http.max-connections-per-server - 16

FF - user.js: network.http.max-persistent-connections-per-proxy - 16

FF - user.js: network.http.max-persistent-connections-per-server - 8

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 1000

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

WebBrowser-{31C7D459-9CC3-44F2-9DCA-FC11795309B4} - (no file)

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-10-10 08:49

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

UMonit = c:\windows\system32\UMonit.exe?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4969CD68-185D-08AF-540B-48F90628E6DA}*]

"pacfgkmnklakgdgpfapifeccepnnkbne"=hex:61,61,00,00

.

[HKEY_USERS\S-1-5-21-20106061-4004121289-3461866522-1009\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]

@DACL=(02 0000)

@SACL=

"WinSock_Registry_Version"="2.0"

"Current_NameSpace_Catalog"="NameSpace_Catalog5"

"Current_Protocol_Catalog"="Protocol_Catalog9"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(624)

c:\windows\system32\Ati2evxx.dll

.

Heure de fin: 2011-10-10 08:56:58

ComboFix-quarantined-files.txt 2011-10-10 06:56

.

Avant-CF: 12.467.531.776 octets libres

Après-CF: 14.205.870.080 octets libres

.

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect

.

- - End Of File - - 5D7A9C763E9921FCF9939AD761F3D8E1

 

 

Voici ce que je trouve cez MSE:

Hacktoll:Win32/keygen : supprimé;

 

 

Vérification: les fenêtre de pub sont toujours là sur le site en question. Ce n'est pas encore la bonne piste. Désolé de te faire perdre du temps.

Lien vers le commentaire
Partager sur d’autres sites

lance_yien Full Patch Member

lance_yien

Posté(e)
Posté(e)

Bonjour,

 

Tu as beaucoup de fichiers "keygen" et Cie du même type que "Hacktoll:Win32/keygen"? C'est ça les "trucs importants" que tu veux télécharger avec emule? Alors sache que ces "trucs" là font parties de ce que j'ai appelé des bombes souvent cachés derrière des noms alléchants.

 

ComboFix n'était pas une mauvaise piste puisqu'il a supprimé certains mauvais items. L'explication est que ta machine est bien atteinte et il faut plusieurs utilitaires et beaucoup de temps et de patience pour tout nettoyer (Un seul outil qui fait tout du 1er coup n'existe pas à ma connaissance et je ne crois pas qu'il existera un jour).

--

 

Ces deux programmes ("IObit Malware Fighter" et "Protected Folder") sont des rogues. Désinstalle-les depuis "Ajout/ Suppression de programmes et utilise cet utilitaire pour nettoyer les restes.

 

>>> Analyse en ligne: Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment, brancher/ allumer tous les médias amovibles disponibles (DD externe, clés USB etc) susceptibles d'avoir été infecté et désactiver antivirus/ pare-feu et antispyware.

Utiliser Internet Explorer pour aller ici, cliquer sur le bouton "ESET Online Scanner", cocher la case "YES, I accept the Terms of Use" et cliquer sur Start.

Accepter l'installation de l'ActiveX et cocher "Scan archives" puis cliquer Start.

Eset téléchargera la base de données et commencera le scan. NE PAS utiliser la machine tant que l'analyse n'est pas finie (peut durer très longtemps).

 

Ensuite, cliquer sur "List of found threats" => "Export to text file..." et sauvegarder les résultats sur le Bureau comme "scan-results" pour les copier/coller dans la prochaine réponse.

 

Cliquer sur "<< Back" et cocher la case "Uninstall application on close" pour supprimer ESET Online Scanner de la machine. Cliquer sur "Finish" pour fermer le programme et poster le rapport.

 

 

>>> Analyse OTL: Télécharger, sur le Bureau OTL (par OldTimer) depuis ici ou ici.

S'assurer que tous les (mêmes) médias amovibles sont branchés et allumés et fermer toutes les applications et fenêtres ouvertes.

Double-cliquer sur OTL.exe et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

 

netsvcs

drivers32

%SYSTEMDRIVE%\*.* /90

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /90

%systemroot%\Tasks\*.job

%systemroot%\system32\drivers\*.sys /90

CREATERESTOREPOINT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.

A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).

Ne pas les poster directement ici car souvent trop lourd pour les limites du forum.

Aller sur le site : cjoint.comicne2cjoint.png

Cliquer sur Parcourir, chercher le fichier "OTL.txt" et cliquer dessus. Cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. Ouvre le Bloc-note et copier /coller cette adresse dedans.

Faire de même pour le fichier "Extras.txt".

Copier/ Coller les 2 adresses dans la prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites
Malpertuis Junior Member

Malpertuis

Posté(e)
  • Auteur
Posté(e) (modifié)

OK Docteur, continuons le traitement pas à pas si tu veux bien sinon je vais pédaler sec...

Keygen : je n'avais rien vu de semblable jusqu'à présent, si il était "collé" sur CS2 ce doit être à partir d'un CD reçu d'une connaissance ( mais j'ai viré ce programme il y a quelques semaines pour le remplacer par un CS5 tout-à-fait officiel (acheté !).

IObitMalware Fighter OK je l'ai viré.

Protected Folder : j'ai déjà essayé de le virer précédemment sans succès car il faut introduire un mot de passe que je n'ai pas.

BitRemover m'a enlevé 61 fichiers.

Je planche sur la suite en attendant.

 

Pour info j'ai retrouvé le rapport du premier scan Malwarebytes lancé avant ton intervention :

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 7873

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

5/10/2011 9:30:52

mbam-log-2011-10-05 (09-30-52).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 198359

Temps écoulé: 8 minute(s), 2 seconde(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

c:\documents and settings\Noël\application data\PCtuto\updatepctuto\autoupdater.exe (Trojan.Eorezo) -> 3188 -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoupdater (Trojan.Eorezo) -> Value: autoupdater -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\XMLLookup (Hijacker.XMLLookup) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s'>http://www.helpmeopen.com/?n=app&l=%04x&ext=%s'>http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s'>http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\intl (Hijacker.intl) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\documents and settings\Noël\application data\PCtuto\updatepctuto\autoupdater.exe (Trojan.Eorezo) -> Quarantined and deleted successfully.

c:\documents and settings\Noël\application data\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.

c:\documents and settings\Noël\application data\Adobe\plugs\mmc105.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

c:\documents and settings\Noël\application data\Adobe\plugs\mmc50.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

c:\documents and settings\Noël\application data\Adobe\plugs\mmc526675968.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

 

Comme tu le vois il y a avait déjà du monde et il faut croire que mes outils de sécurité à ce moment étaient vraiment insuffisants. Je suis vraiment ravi de m'être inscrit ici.

 

J'attends ton avis avant de continuer avec les autres analyses proposées.

Modifié par Malpertuis
Lien vers le commentaire
Partager sur d’autres sites
Malpertuis Junior Member

Malpertuis

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

 

J'oublie la donc la désinstallation de Protected Folder ?

J'aimerais continuer sur l'analyse en ligne mais cette fois j'ai un souci avec la désactivation de MSE : j'ai bien décoché la case d'analyse planifiée mais l'icone MSE reste vert et dans le panneau de configuration le détecteur de virus semble toujours activé, même après un redémarrage (laborieux !)Que faire ?

 

Je corrige, j'avais décoché dans la première fenêtre. Maintenant c'est bon, donc je peux continuer. Sorry !

Modifié par Malpertuis
Lien vers le commentaire
Partager sur d’autres sites
Malpertuis Junior Member

Malpertuis

Posté(e)
  • Auteur
Posté(e) (modifié)

Ouf, ce fut laborieux : 3h30 pour mon disque interne.

 

Dans un premier temps le programme c'est bloqué à la première menace sur registrybooster.exe

 

J'ai recommencé et cette fois il a été jusqu'au bout sauf que quand j'ai vu qu'il ne trouvait rien sur mes partitions D et E ( qui ne contiennent que des documents ) j'ai débranché mes disques externes comme ils ne contiennent que des sauvegardes de l'interne. (éventuellemnt est-il possible de relancer ultérieurement sur un média externe en choisissant le lecteur mais je n'ai pas vu comment faire)

 

Voici ce que cela donne pour C:

 

 

C:\Documents and Settings\Noël\Mes documents\PRG Téléchargés\ZIP SOFTS DIVERS\NERO F. Baclin\Nero.6.0.0.11.Full.FR.+..Keygen.+.adon+.All.plugin.teste.divxovore.com\Nero.6.0.0.11.Full.FR.+..Keygen.+.adon+.All.plugin.teste.divxovore.com.rar une variante probable de Win32/Agent.KTHXEFP cheval de troie supprimé - mis en quarantaine

C:\Documents and Settings\Noël\Mes documents\Téléchargements\SoftonicDownloader_pour_pcboost.exe une variante de Win32/SoftonicDownloader.A application nettoyé par suppression - mis en quarantaine

C:\Downloads\Programs\plugin.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine

C:\Downloads\Programs\registrybooster.exe une variante de Win32/RegistryBooster application supprimé - mis en quarantaine

C:\Downloads\Programs\Setup_FreeVideoConverter.exe Win32/Adware.Toolbar.Dealio application supprimé - mis en quarantaine

C:\Downloads\Programs\VLC.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine

C:\Downloads\Programs\xvid_setup1.2.2-win32.exe Win32/Adware.HotBar application supprimé - mis en quarantaine

C:\Program Files\Uniblue\RegistryBooster\registrybooster.exe Win32/RegistryBooster application nettoyé par suppression - mis en quarantaine

C:\Program Files\VideoLAN\VLC\plugin.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine

C:\Qoobox\Quarantine\C\Program Files\SoftonicDownloader25339.exe.vir une variante de Win32/SoftonicDownloader.A application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998873.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998874.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998875.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998876.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998877.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998878.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998879.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998880.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998881.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP592\A0999653.exe une variante de Win32/SoftonicDownloader.A application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001889.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001890.exe une variante de Win32/RegistryBooster application supprimé - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001891.exe Win32/Adware.Toolbar.Dealio application supprimé - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001892.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001893.exe Win32/Adware.HotBar application supprimé - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001894.exe Win32/RegistryBooster application nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001895.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine

C:\ZHP\Quarantine\Spigot.DIR\wtxpcom\components\WidgiToolbarFF.dll.5 une variante de Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine

 

C'est des trucs dangereux ?

 

Je n'ai pas trouvé les commandes pour effacer Eset

Modifié par Malpertuis
Lien vers le commentaire
Partager sur d’autres sites
lance_yien Full Patch Member

lance_yien

Posté(e)
Posté(e)

Bonjour,

 

Les "disques externes comme ils ne contiennent que des sauvegardes de l'interne", ils contiennent forcément (au moins une partie) des nuisibles que tu a éliminés et le jour où tu remets en service ces sauvegardes, ça fait Boom!

Oui, avec ESET, tu peux analyser un seul lecteur ou un seul dossier. C'est dans "Paramètres avancés" => "Cible à analyser" (changer).

 

Le plus simple pour toi est de supprimer toutes tes sauvegardes et en faire une quand tu as fini le nettoyage.

 

Vider ces dossiers (en gras) car remplis de nuisibles (+ cracks et CIE):

C:\Documents and Settings\Noël\Mes documents\PRG Téléchargés

C:\Documents and Settings\Noël\Mes documents\Téléchargements

C:\Downloads\Programs

 

Désinstaller (Uniblue) RegistryBooster (laisser tranquille le Registre) et supprimer le dossier (en gras) si toujours présents C:\Program Files\Uniblue

 

Quand tout ça est fait, utilise OTL comme demandé ici et poster les URLs.

Lien vers le commentaire
Partager sur d’autres sites
Malpertuis Junior Member

Malpertuis

Posté(e)
  • Auteur
Posté(e)

Bonjour et merci pour ces conseils.

 

OK je vais faire comme tu dis mais je dois te parler d'un fait nouveau, qui confirme sans doute nos appréhensions:

démarrage très difficile ce matin: 2 x vidage de la mémoire physique, repris en mode sans échec avec la console de récupération windows téléchargée précédemment. Il n'y aurait pas quelque part un fichier de rapport exploitable qui pourait te mettre sur une piste supplémentaire?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...