[Résolu] Infecté par un trojan

[NICOBO]

Le log : Lien CJoint.com ALqroa2XX1T

 

 

A noter que, quand bien même j'avais désactivé AVG dans le gestionnaire des tâches et les Services, Combofix a persisté à le détecter.

[lance_yien]

>>> ComboFix/ Correction: Cliquer sur "Démarrer" => "Exécuter". Saisir Notepad et cliquer sur "OK".

Copier et coller ces lignes:

 

RegLock::

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Internet Explorer\User Preferences]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.001\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.avi\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.B4S\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cbr\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cbz\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.db4\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.flv\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m3u\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.M3U8\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp2\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nfo\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.odt\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.PLS\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sav\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.srt\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.swf\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmv\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\SecuROM\License information*]

Cliquer sur "Fichier" => "Enregistrer". Dans "Nom du fichier", saisir ou coller CFScript.txt, cliquer sur Bureau à gauche puis sur "Enregistrer" en bas à droite.

Fermer toutes les fenêtres et applications ouvertes et désactiver antivirus, pare-feu et antispyware pour éviter qu'ils interfèrent avec ComboFix.

Glisser le fichier CFScript.txt et le déposer sur ComboFix.exe

Ceci a pour effet de lancer ComboFix. Patienter!

A la fin, redémarrer le PC (s'il ne redémarre pas automatiquement) et Copier/coller le contenu du rapport généré dans la prochaine réponse. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\).

 

 

>>> ZHPDiag/ Analyse: Fait une nouvelle analyse avec "ZHPDiag", Héberger le rapport et poster son adresse.

 

>>> Autres symptômes à vérifier?

[NICOBO]

Le log Combofix :

 

 

ComboFix 11-12-16.02 - Administrateur 16/12/2011 20:13:33.1.2 - x86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3326.2536 [GMT 1:00]

Lancé depuis: c:\users\Administrateur\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\Administrateur\Desktop\CFSCRIPT.txt

AV: AVG Anti-Virus Free Edition 2012 *Enabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}

SP: AVG Anti-Virus Free Edition 2012 *Enabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-11-16 au 2011-12-16 ))))))))))))))))))))))))))))))))))))

.

.

2011-12-16 19:19 . 2011-12-16 19:19 -------- d-----w- c:\users\Administrateur\AppData\Local\temp

2011-12-16 19:19 . 2011-12-16 19:19 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-12-14 15:19 . 2011-12-15 18:07 512 ----a-w- C:\PhysicalDisk0_MBR.bin

2011-12-14 15:17 . 2011-12-15 18:05 -------- d-----w- C:\ZHP

2011-12-11 16:18 . 2011-12-11 16:18 -------- d-----w- c:\program files\CCleaner

2011-12-11 12:06 . 2011-12-11 12:06 -------- d-----w- c:\users\Administrateur\AppData\Roaming\thecleaner

2011-12-11 09:58 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-12-11 09:30 . 2006-06-19 12:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll

2011-12-11 09:30 . 2006-05-25 14:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll

2011-12-11 09:30 . 2005-08-26 00:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll

2011-12-11 09:30 . 2002-03-06 00:00 75264 ----a-w- c:\windows\system32\unacev2.dll

2011-12-11 09:30 . 2003-02-02 19:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll

2011-12-11 09:30 . 2011-12-11 09:30 -------- d-----w- c:\users\Administrateur\AppData\Roaming\Simply Super Software

2011-12-11 09:30 . 2011-12-11 09:30 -------- d-----w- c:\programdata\Simply Super Software

2011-12-01 15:50 . 2011-12-12 13:33 -------- d-----w- c:\users\Administrateur\AppData\Local\Black_Tree_Gaming

2011-11-26 10:53 . 2011-11-26 10:53 -------- d-----w- c:\programdata\ATI

2011-11-26 10:49 . 2011-11-26 10:49 -------- d-----w- c:\program files\AMD APP

2011-11-26 07:53 . 2011-11-26 07:53 -------- d-----w- c:\programdata\BioWare

2011-11-24 21:51 . 2011-11-24 21:51 -------- d-----w- c:\users\Administrateur\AppData\Local\PunkBuster

2011-11-24 21:50 . 2011-12-11 15:11 -------- d-----w- c:\users\Administrateur\AppData\Roaming\Ubisoft

2011-11-24 21:50 . 2011-11-24 21:50 -------- d-----w- c:\programdata\Ubisoft

2011-11-24 21:48 . 2011-11-24 21:48 -------- d-----w- c:\users\Administrateur\AppData\Roaming\PunkBuster

2011-11-24 21:47 . 2011-11-24 21:47 -------- d-----w- c:\program files\Ubisoft

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-12-10 17:09 . 2011-06-03 06:33 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-11-24 21:48 . 2011-03-16 16:52 189248 ----a-w- c:\windows\system32\PnkBstrB.exe

2011-11-24 21:48 . 2011-03-16 16:52 75136 ----a-w- c:\windows\system32\PnkBstrA.exe

2011-10-26 03:03 . 2011-10-26 03:03 8853504 ----a-w- c:\windows\system32\drivers\atikmdag.sys

2011-10-26 02:06 . 2011-10-26 02:06 159744 ----a-w- c:\windows\system32\atiapfxx.exe

2011-10-26 02:05 . 2010-09-18 23:52 748544 ----a-w- c:\windows\system32\aticfx32.dll

2011-10-26 02:01 . 2011-10-26 02:01 466944 ----a-w- c:\windows\system32\ATIDEMGX.dll

2011-10-26 02:01 . 2011-10-26 02:01 417792 ----a-w- c:\windows\system32\atieclxx.exe

2011-10-26 02:00 . 2011-10-26 02:00 176128 ----a-w- c:\windows\system32\atiesrxx.exe

2011-10-26 01:59 . 2011-10-26 01:59 18757120 ----a-w- c:\windows\system32\atioglxx.dll

2011-10-26 01:59 . 2011-10-26 01:59 159744 ----a-w- c:\windows\system32\atitmmxx.dll

2011-10-26 01:59 . 2011-10-26 01:59 356352 ----a-w- c:\windows\system32\atipdlxx.dll

2011-10-26 01:59 . 2011-10-26 01:59 278528 ----a-w- c:\windows\system32\Oemdspif.dll

2011-10-26 01:58 . 2011-10-26 01:58 20992 ----a-w- c:\windows\system32\atimuixx.dll

2011-10-26 01:58 . 2011-10-26 01:58 43520 ----a-w- c:\windows\system32\ati2edxx.dll

2011-10-26 01:55 . 2011-02-17 05:38 4292096 ----a-w- c:\windows\system32\atidxx32.dll

2011-10-26 01:43 . 2011-10-26 01:43 1828864 ----a-w- c:\windows\system32\atiumdmv.dll

2011-10-26 01:38 . 2011-10-26 01:38 46080 ----a-w- c:\windows\system32\aticalrt.dll

2011-10-26 01:38 . 2011-10-26 01:38 44032 ----a-w- c:\windows\system32\aticalcl.dll

2011-10-26 01:35 . 2011-10-07 03:01 4353536 ----a-w- c:\windows\system32\atiumdag.dll

2011-10-26 01:34 . 2011-10-26 01:34 8449024 ----a-w- c:\windows\system32\aticaldd.dll

2011-10-26 01:32 . 2011-10-26 01:32 4189184 ----a-w- c:\windows\system32\atiumdva.dll

2011-10-26 01:29 . 2011-02-17 05:38 52736 ----a-w- c:\windows\system32\coinst.dll

2011-10-26 01:22 . 2011-10-26 01:22 339968 ----a-w- c:\windows\system32\atiadlxx.dll

2011-10-26 01:22 . 2011-10-26 01:22 14336 ----a-w- c:\windows\system32\atiglpxx.dll

2011-10-26 01:22 . 2011-10-26 01:22 32768 ----a-w- c:\windows\system32\atigktxx.dll

2011-10-26 01:21 . 2011-10-26 01:21 264192 ----a-w- c:\windows\system32\drivers\atikmpag.sys

2011-10-26 01:21 . 2011-02-17 05:38 31744 ----a-w- c:\windows\system32\atiuxpag.dll

2011-10-26 01:20 . 2010-04-07 01:22 29184 ----a-w- c:\windows\system32\atiu9pag.dll

2011-10-26 01:20 . 2011-10-07 02:44 37376 ----a-w- c:\windows\system32\atitmpxx.dll

2011-10-26 01:20 . 2011-10-26 01:20 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll

2011-10-26 01:15 . 2011-10-26 01:15 53760 ----a-w- c:\windows\system32\atimpc32.dll

2011-10-26 01:15 . 2011-10-26 01:15 53760 ----a-w- c:\windows\system32\amdpcom32.dll

2011-10-25 20:21 . 2011-10-25 20:21 56832 ----a-w- c:\windows\system32\OpenVideo.dll

2011-10-25 20:21 . 2011-10-25 20:21 56832 ----a-w- c:\windows\system32\OVDecoder.dll

2011-10-25 20:20 . 2011-10-25 20:20 13950464 ----a-w- c:\windows\system32\amdocl.dll

2011-10-07 05:23 . 2011-10-07 05:23 230608 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2011-10-06 20:29 . 2011-10-06 20:29 43520 ----a-w- c:\windows\system32\OpenCL.dll

2011-10-04 05:21 . 2011-10-04 05:21 16720 ----a-w- c:\windows\system32\drivers\AVGIDSShim.sys

2011-10-03 10:53 . 2011-10-03 10:53 53760 ----a-w- c:\windows\system32\OVDecode.dll

2011-10-03 10:42 . 2011-10-03 10:42 37376 ----a-w- c:\windows\system32\amdoclcl.dll

2011-10-03 10:08 . 2009-10-14 14:42 444952 ----a-w- c:\windows\system32\wrap_oal.dll

2011-10-03 10:08 . 2009-10-14 14:42 109080 ----a-w- c:\windows\system32\OpenAL32.dll

2011-09-20 21:02 . 2011-11-09 08:41 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"="d:\jeux\Steam\steam.exe" [2011-08-02 1242448]

"DAEMON Tools Lite"="d:\logiciels\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="RtHDVCpl.exe" [2008-05-20 6144000]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2009-11-11 1468256]

"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-06-26 1311312]

"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]

"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2011-12-03 2415456]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-10-25 343168]

"Malwarebytes' Anti-Malware"="d:\logiciels\Malwarebytes Anti-Malware\mbamgui.exe" [2011-08-31 449608]

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2011-04-08 10:59 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiSpywareOverride"=dword:00000001

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [2011-07-10 134736]

R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [2011-07-10 24272]

R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys [2011-10-04 16720]

R3 cpuz129;cpuz129;d:\logiciels\PC Wizard 2008\pcwiz32.sys [2008-01-25 9600]

R3 cpuz131;cpuz131;c:\users\ADMINI~1\AppData\Local\Temp\cpuz131\cpuz_x32.sys [x]

R3 Desura Install Service;Desura Install Service;c:\program files\Common Files\Desura\desura_service.exe [2011-10-17 131912]

R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2010-07-28 25112]

R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-05-11 271728]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-08-31 22216]

R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-11-28 4065648]

R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

R4 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [2011-10-12 4433248]

R4 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [2011-08-02 192776]

R4 MBAMService;MBAMService;d:\logiciels\Malwarebytes Anti-Malware\mbamservice.exe [2011-08-31 366152]

S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [2011-07-10 23120]

S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [2011-09-13 32592]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-03 691696]

S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [2011-10-07 230608]

S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [2011-07-10 295248]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-10-26 176128]

S2 DAUpdaterSvc;Dragon Age: Origins - Application de mise à jour;d:\jeux\steam\steamapps\common\dragon age origins\bin_ship\DAUpdaterSvc.Service.exe [2010-03-16 25832]

S2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe [2008-02-19 537256]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2011-10-26 8853504]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2011-10-26 264192]

S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdLH3.sys [2011-08-26 81936]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

.

Contenu du dossier 'Tâches planifiées'

.

2011-12-16 c:\windows\Tasks\User_Feed_Synchronization-{DBA7D8FD-D99E-4540-A209-FC3CDECDC5A0}.job

- c:\windows\system32\msfeedssync.exe [2011-12-14 04:44]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://mythos-europe.com

uInternet Settings,ProxyOverride = *.local

Trusted Zone: clonewarsadventures.com

Trusted Zone: freerealms.com

Trusted Zone: soe.com

Trusted Zone: sony.com

TCP: DhcpNameServer = 212.27.40.241 212.27.40.240

FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\xuk813ea.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.startup.homepage - hxxp://www.netvibes.com/privatepage/1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-12-16 20:19

Windows 6.0.6002 Service Pack 2 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:d1,ce,1e,f0,d0,39,06,91,07,6a,2d,5e,df,ae,37,63,14,59,71,3a,d5,b7,b0,

69,15,1a,4e,17,41,58,56,6f,ac,f8,33,91,fe,e4,e9,6f,32,11,a5,0d,2c,a0,34,1e,\

"??"=hex:c9,a7,2d,f1,8e,27,80,ba,2b,ac,1d,9a,a3,3b,c7,db

.

[HKEY_USERS\S-1-5-21-1988142315-3923364369-79243452-500\Software\SecuROM\License information*]

"datasecu"=hex:28,70,0d,aa,45,c9,c4,05,a0,43,c1,70,66,42,fc,4d,3b,cd,ec,8d,c1,

c7,69,62,9f,78,54,cb,bc,d3,09,23,40,cb,26,2b,40,5a,5d,57,2d,4e,43,0b,0e,9e,\

"rkeysecu"=hex:d4,19,1c,49,13,f1,11,36,2d,49,5e,8d,a5,a0,58,e5

.

Heure de fin: 2011-12-16 20:21:57

ComboFix-quarantined-files.txt 2011-12-16 19:21

.

Avant-CF: 37 510 475 776 octets libres

Après-CF: 37 358 804 992 octets libres

.

- - End Of File - - B61FEFB75B791FDAA4C95289CE2A5931

 

 

 

 

 

 

 

Et le log ZHPDiag ici

[lance_yien]

Bonjour,

 

C'est fini!

 

Quelques suggestions pour t'aider à prendre soin de ta machine (ignore les points déjà traités et/ou ceux que tu juges inutiles pour toi ou ne s'appliquant pas à ton système).

 

>>> Supprimer ces utilitaires, si (toujours) présents sur ta machine:

• Supprimer ZHPDiag depuis "Ajout/ suppression de programmes.
  
• Pour supprimer ComboFix, cliquer sur "Démarrer" => "Exécuter" et saisir (ou copier/ coller): ComboFix /Uninstall (espace entre "ComboFix" et "/Uninstall"). Cliquer sur "OK".
  Ce qui a pour effet de supprimer ComboFix ainsi que les dossiers/ fichiers qu'il a installés et ré-initialiser les points de restauration.
  
• Pour supprimer les autres utilitaires et leurs rapports, s'il en reste sur le Bureau et/ou à la racine de la partition système, cliquer-droit dessus => "Supprimer".
  

 

>>> Ré-initialiser les Points de Restauration parce qu'elles peuvent contenir des traces d'infection:

Cliquer-droit sur "Ordinateur" => "Propriétés" => "Système" => "Protection Système". Décocher la case devant le nom de la partition système (généralement C:) et laisser faire.

Quand c'est fini cocher cette même case => "OK" et redémarrer le PC. Un nouveau point de restauration sera créé automatiquement.

 

 

>>> Vérifier/ Activer l'UAC: Parce qu'il y a de plus en plus de malware qui exploitent la désactivation de l'UAC (contrôle de compte utilisateur) de Windows (Vista et W7) pour installer des rootkits et parce que les pirates arrivent à le désactiver à distance pour prendre le contrôle d'une machine, garder ce module activé même s'il paraît, des fois, énervant. Ne leur facilitons pas la tâche.

Cliquer sur "Démarrer" => "Panneau de configuration" et cliquer sur " Comptes d'utilisateurs..." => "Activer ou désactiver le contrôle des comptes d'utilisateurs".

Cocher la case "Utiliser le Contrôle des Comptes d'utilisateurs pour vous aider..." => "OK".

Redémarrer le PC quand c'est demandé.

 

 

 

>>> Protéger/ Sécuriser:

• LA RÈGLE: UN SEUL antivirus + UN SEUL pare-feu + UN SEUL antispyware en fonctionnement.
  
• Y a-t-il un Pare-feu dans la machine? Un pare-feu est le 1er rempart contre les intrusions. Les versions du type "_Internet Security" (normalement payantes) incluent tous les éléments nécessaires. Il suffit de vérifier, activer si nécessaire et passer directement au paragraphe suivant.
  - Le pare-feu de Vista (et Windows 7) peut suffire. Ils sont là et autant s'en servir au moins par gain de place et de ressources. Juste contrôler et activer si nécessaire depuis le "Centre de sécurité".
  - Celui de Windows XP ne contrôle pas le flux sortant d'Internet d'où l'importance d'en installer un autre.
  Vérifier et choisir, si nécessaire, un parmi ceux-ci (gratuits): Online Armor Firewall, , Outpost Firewall FREE.
  
• Contrôler et configurer les mises à jour Windows: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows update" et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'ActiveX (si proposé).
  - Windows XP: Cliquer sur "Démarrer" => "Panneau de configuration" => "Mises à jour automatiques" et choisir "Installation automatique (recommandé)". Préférer "tous les jours" à une heur où le PC est allumé.
  - Windows Vista/W7: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows Update". Cliquer sur "Modifier les paramètres" => "Installer les mises à jour automatiquement (recommandé)". Préférer "tous les jours" à une heure où le PC est allumé.
  
• Installer Update Checker pour surveiller les MAJ logiciels.
  
• Utiliser Mes drivers pour les MAJ des pilotes (cliquer sur Lancer la détection
  
• Sauvegarder le Registre avec Erunt.
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit et peut s'installer en même temps qu'autre antispyware. Tuto.
  
• Vaccinez votre machine et vos médias amovibles (clés USB...) contre les "vers" (Autorun worms) avec USBFix ou Autorun Protector. Juste brancher tous les médias amovibles, lancer le programme et cliquer sur le bouton Vaccination (l'action est réversible en cliquant sur "Supprimer la vaccination".
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.

 

 

>>> Optimiser Windows:

• Il y a toujours des programmes qui se lancent inutilement en même temps que Windows.
  Télécharger, sur le Bureau, MBAM' StartUpLite depuis ici.
  Fermer toutes les applications et autres fenêtres en cours et double-cliquer sur StartUpLite.exe Vista W7, cliquer-droit => "Exécuter en tant qu'administrateur") pour lancer le programme qui affichera toutes les entrées inutiles en démarrage automatique. Sélectionner les entrées affichées et cliquer sur "Continue" (à moins que vous vouliez en garder).
  S'il affiche "No unnecessary startups found!", c'est qu'il n'y a rien à faire.
  On peut, aussi, utiliser CCleaner pour gérer l'activité de ces processus:
  Lancer CCleaner => Outils => Démarrage. Dans la liste de droite, sélectionner un processus marqué "Oui" et cliquer sur le bouton "Désactiver".
  Fermer CCleaner et redémarrer pour vérifier s'il n'y a pas d'incidences apparentes (réactiver le processus si nécessaire).
  
• Nettoyer avec (CCleaner) et PureRa puis dé-fragmenter (Defraggler), régulièrement, les Partitions/ Disques.

 

>>> ÉVITER ABSOLUMENT:

• Crack et Cie: Un peu de lecture sur tout ce qui tourne autour de ces programmes: Warez ; Crack ; keygen.
  - Elle est finie l'époque où les cracks sont là juste pour aider ceux qui n'ont pas les moyens de se payer un tel ou tel programme et/ou c'était un signe de rébellion contre ces concepteurs trop avides...
  La nouvelle orientation est de se faire de l'agent facile en vendant des programmes qui "font tout" ou des barres d'outil qui "cherchent et trouvent tout".
  En fait, ils installent au mieux un spyware ou un adware qui tracent les habitudes de l'utilisateur pour lui afficher des pubs ciblées et au pire un rogue ou un rootkit qui peut aller jusqu'à bloquer une machine ou la rendre complètement inutilisable.
  - A noter que les "plus bénins" de ces cracks, ceux qui vous permettent d'installer un programme sans créer de problèmes apparents, mettent votre machine en danger parce que tout programme illégal ne reçoit pas de mises à jour et est donc porteur de vulnérabilités facilement exploitables par les pirates pour s'ouvrir des portes dérobées et disposer de tout ce qu'il veulent dans votre machine.
  Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, on peut éviter tout risque de catastrophe pour sa machine et ses documents personnels en désinstallant tout programme illégal déjà installé, en vidant les dossiers qui contiennent ce type de programmes et en restant à l'écart de ce type de programmes..
  
• Réseaux/Programmes P2P:
  - Tout ce qui est lié aux applications type P2P/ Torrent devient de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.
  Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles, des Cracks, keygen etc.
  C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes (et c'est la preuve qu'il y en a qui le sont ) mais qui sait avec certitude lequel est bon et lequel est dangereux?.
  - Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.
  - En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.
  Prendre la sage décision de désinstaller tout programme de ce type et rester à l'écart de ce type de réseaux.

 

>>> Ajouter Résolu à ton 1er post (mode d'emploi).

 

Bonne chance!

[NICOBO]

Merci beaucoup pour ton aide !!!

 

Quelques questions:

 

Impossible de désinstaller Combofix par le champ "Executer". Une boite de dialogue m'informe que Windows ne peut pas trouver Combofix, etc...L'executable est toujours sur mon bureau, et il ya un dossier Combofix vide et un dossier Qoobox à la racine de ma partition système. Puis-je les effacer sans problèmes? Même question pour le répertoire ZHPDiag contenant un dossier Quarantine, lui aussi à la racine de ma partition système.

 

Impossible de relancer mon pare feu windows: "Le Centre de Sécurité n'a pas pu activer le pare feu windows". Même chose pour Windows Defender (est-il utile de l'activer d'ailleurs si j'ai déjà Spybot?).

 

Quel était le degré d'infection de ma machine et quellles en ont été les conséquences ? Je pense notamment à mes coordonnées bancaires ou même simplement à mes mots de passe ?

 

Voilà, merci à toi d'avoir pris le temps de me guider, et félicitations pour la clarté et la lisibilité de tes explications !

[lance_yien]

- Combofix (CF): vérifie s'il n'y a pas d'erreur d'écriture ou copier/coller de la commande ComboFix /Uninstall (pas d'espace ni avant ni après)

Si tjrs pareis clic-droit sur ComboFixe.exe => "Supprimer" et télécharge une nouvelle copie et exécute la commande. N'efface rien d'autre appartenant à CF à la main.

 

- pare feu windows: Étonnant. A voir quand CF est désinstallé

Si tu veux garder Spybot, inutile d'activer Windows Defender.

 

- degré d'infection: principalement du type "adware".

 

- coordonnées bancaires/ mes mots de passe: les changer régulièrement.

 

Merci pour les appréciations

 

A suivre...

[NICOBO]

Ok, j'ai téléchargé une autre version de Combofix, relancé la ligne de commande, en C/C et manuellement : même résultat, même message d'erreur.

 

Pour ce qui est du centre de sécurité : une recherche rapide sur le net m'indique des manips sur la Base de Registres, qu'en penses-tu ? Je suis passé par la liste des services, le pare feu n'y figure plus non plus?

[lance_yien]

On ne touche pas le Registre pour le moment!

 

>>> Utiliser CAT: Aller ici et télécharger, sur le Bureau, la dernière version de CAT ("Crisis Aversion Tool" par teamrocketops).

Double-cliquer sur (Vista/W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") pour lancer le programme.

 

 

Cliquer sur le menu Fixes et cocher les cases devant les lignes suivantes:

• Reset Explorer Shell
  
• Reset Permissions | Use Aggressive <= cocher les deux.
  
• Reset Default Services Start States
  

Fermer toutes les fenêtres et applications ouvertes sauf CAT puis presser le bouton "Apply Checked Fixes". Fermer le programme et Redémarrer le PC.

A noter que le programme crée un dossier nommé "CAT-Logs" à la racine de la partition système (généralement C:\CAT-Logs). Penser à supprimer ce dossier à la fin du nettoyage.

 

>>> Pour supprimer ComboFix, ressayer la même commande.

Si sans résultat, télécharger ceci et l'exécuter (clic-droit => "Exécuter en tan qu'administrateur").

 

>>> Vérifier pour le Pare-feu

 

Et alors?

[NICOBO]

Ok la désinstallation de Combofix a fonctionné via l'utilitaire. Il reste des dossiers vides, je suppose qu'il est sauf de les effacer ?

 

Au niveau du pare-feu, c'est par contre inchangé?

 

A noter que cat.exe a été détecté comme une menace par AVG, j'ai choisi de l'ignorer.

[lance_yien]

On a pas tout perdu!

 

Supprime si ce n'est pas encore fait les dossiers vides, CAT et son dossier et,

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau OTL (par OldTimer) depuis ici ou ici.

Cliquer-droit sur OTL.exe => "Exécuter en tant qu'administrateur", cocher la case "Tous les utilisateurs" (en haut) et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

 

netsvcs

drivers32

%SYSTEMDRIVE%\*.* /90

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /90

%systemroot%\Tasks\*.job

%systemroot%\system32\drivers\*.sys /90

CREATERESTOREPOINT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.

A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).

Les héberger et poster leurs adresses dans une nouvelle réponse.