Aller au contenu
flolem

Infection News Daily 7

Messages recommandés

Bonjour,

 

récemment, j'ai été infecté par le rootkit "Fake HDD" que j'ai pu exterminer depuis...

 

sauf que j'ai toujours des problèmes avec le spyware "newsdaily7" et que j'arrive pas à enlever ce problème.

 

En gros, depuis Google (ou n'importe quel moteur de recherche je pense), quand je clique sur un lien, j'ai occasionnellement des redirections vers newsdaily7.tv

ce qui fout pas mal la merde...

 

Apparemment, ça change les options du navigateur (firefox pour ma part) pour utiliser le proxy du système...

 

Bref... j'ai déjà plusieurs fois lancer RogueKiller puis Malwares Bytes Antispyware, le tout en mode sans échec

sans résultat

Et j'ai toujours cette satanée redirection qui finit par arriver un moment ou un autre.

 

J'ai essayer de chercher des solutions sur internet... mais j'arrive toujours sur des sites proposant de télécharger Doctor Spyware...no comment >_<

 

Si quelq'un peut m'aiguiller car là je perds patience :(

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour flolem,

 

Merci de prendre connaissance de ces recommandations et appliquer ce qu'il y a faire avant de commencer un premier nettoyage avec ZHP.

 


Très Important!:

 

exclam.gif>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

- TeaTimer de Spybot-S&D peut interférer avec nos utilitaires et causer certains problèmes. Le désactiver dès maintenant s'il est installé sur la machine à traiter: Lancer Spybot-S&D => "Mode Avancé". Outils (à gauche) => "Résident" et Décocher "Résident TeaTimer (...)" => OK.

exclam.gif>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

exclam.gif>>> Que faire à la réception de nouvelles instructions:

  • Lire la totalité du message.
  • Certains outils utilisés peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller" (PAS de raccourcis).
  • Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  • NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.

exclam.gif>>> Comment répondre:

- Cliquer sur le bouton zeb_bouton.png (et non sur zeb-bouton2.png car je n'ai pas besoin de relire mes messages précédents).

- Héberger les rapports sur cjoint.comicne2cjoint.png. Cliquer sur Parcourir, chercher le fichier et cliquer dessus puis cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

- Merci de coller les rapports (quand c'est demandé) directement sans rien y ajouter ni balises de citation, ni de code ni de formatage de texte (gras, italique) c'est déjà assez difficile avec ce que les pirates essaient de camoufler.

exclam.gif>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

exclam.gif>>> Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!


 

>>> C'est parti!

 

>>> ZHPDiag/ Analyse: Télécharger, sur le Bureau ZHPDiag (par Nicolas Coolman) depuis ici.

Pour installer le programme, double-cliquer sur "ZHPDiag.exe" pour lancer l'installation du programme (Vista/ W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur"). Suivre les instructions jusqu'à la fin.

Fermer toutes les applications et fenêtres ouvertes et lancer le programme via l'icône "ZHPDiag" ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPDiag". Cliquer sur la flèche verte pour les mises à jour éventuelles du programme.

Cliquer sur Lancer le diagnostic (loupe) et patienter jusqu'à la fin (en cas de blocage sur O80, cliquer sur le tournevis pour le décocher).

Un rapport "ZHPDiag.txt" sera généré et sauvegardé automatiquement sur le Bureau.

Héberger le rapport et poster son adresse.

Partager ce message


Lien à poster
Partager sur d’autres sites

Alors voila,

 

>>> Utiliser ZHPFix: Sélectionner et copier le texte suivant:

 

M2 - MFEP: prefs.js [Florian - peoa5lbp.default\vshare@toolbar] [] vShare v1.0.0 (.vShare.)

R3 - URLSearchHook: Setuprog Toolbar [64Bits] - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files (x86)\Setuprog\tbSetu.dll

R3 - URLSearchHook: Setuprog Toolbar [64Bits] - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files (x86)\Setuprog\tbSetu.dll

O2 - BHO: Setuprog Toolbar [64Bits] - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Setuprog\tbSetu.dll

C:\Program Files\Enigma Software Group\SpyHunter => Infection FakeAlert (Crapware.SpyHunter)

R3 - URLSearchHook: (no name) [64Bits] - {472734EA-242A-422b-ADF8-83D1E48CC825} . (...) (No version) -- (.not file.)

[MD5.00000000000000000000000000000000] [APT] [{0076BD1B-1CE3-4E8F-A3A6-34D011301176}] (...) -- C:\Users\Florian\AppData\Local\Temp\Temp1_Install_Win7_7005_Installer_0820.zip\Install_Win7_7005_Installer_0820\setup.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [{99D6CA1D-957B-4A29-A8F8-1DDA61E92C7E}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exered-installed;madedefault (.not file.)

[MD5.00000000000000000000000000000000] [APT] [{ACEB8EC0-07BC-4DE6-B504-FE6482F07770}] (...) -- H:\SpyHunter-Installer.exe (.not file.)

O43 - CFD: 13/11/2011 - 10:48:08 - [0] ----D- C:\Users\Florian\AppData\Local\{1C825B94-82AE-4F9F-B56B-17098B8359DD}

O43 - CFD: 19/11/2011 - 11:52:46 - [0] ----D- C:\Users\Florian\AppData\Local\{311F40D8-DBA5-48AD-BD15-257229CCA6B4}

O43 - CFD: 01/10/2011 - 08:45:16 - [0] ----D- C:\Users\Florian\AppData\Local\{69A1994F-7BE8-4F08-9700-A1E8A918A2E1}

O43 - CFD: 13/11/2011 - 10:48:20 - [0] ----D- C:\Users\Florian\AppData\Local\{7233D7D7-1366-46E4-BCCC-D71712535B0B}

O43 - CFD: 19/11/2011 - 11:52:56 - [0] ----D- C:\Users\Florian\AppData\Local\{FEC3B752-FD3A-4A20-9D1D-0F371594DA31}

O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (...) -- firefox.exe (.not file.)

O87 - FAEL: "TCP Query User{6299863A-0931-4A85-A3B6-1A1C75F6BED0}E:\download\utorrent.exe" |In - Private - P6 - TRUE | .(...) -- E:\download\utorrent.exe (.not file.)

O87 - FAEL: "UDP Query User{A94733A1-615E-498C-A484-DA6A7EF73509}E:\download\utorrent.exe" |In - Private - P17 - TRUE | .(...) -- E:\download\utorrent.exe (.not file.)

O87 - FAEL: "TCP Query User{9F849A01-6AD3-47A6-8A3A-A2FD4487E506}C:\temp\snowxtrem\mirc.exe" |In - Public - P6 - TRUE | .(...) -- C:\temp\snowxtrem\mirc.exe (.not file.)

O87 - FAEL: "UDP Query User{B60C1560-D707-4966-A106-04A6A0072E83}C:\temp\snowxtrem\mirc.exe" |In - Public - P17 - TRUE | .(...) -- C:\temp\snowxtrem\mirc.exe (.not file.)

O87 - FAEL: "TCP Query User{1F0FD1E8-261B-45B2-9298-D36961593EF3}E:\program\u992.exe" |In - Private - P6 - TRUE | .(...) -- E:\program\u992.exe (.not file.)

O87 - FAEL: "UDP Query User{ECDA5FED-4309-4E6F-9875-1F062A327776}E:\program\u992.exe" |In - Private - P17 - TRUE | .(...) -- E:\program\u992.exe (.not file.)

O87 - FAEL: "{290FDEC6-CE68-42E2-B324-C2FFA709B5B7}" |In - Public - P17 - TRUE | .(...) -- E:\program\u992.exe (.not file.)

O87 - FAEL: "{F1EF6618-32B1-49DB-8489-C326CBA6F8F8}" |In - Public - P6 - TRUE | .(...) -- E:\program\u992.exe (.not file.)

O87 - FAEL: "TCP Query User{5F4FA0A1-CE25-46F9-AC77-FE3B61E3E332}E:\jeux\flatout2\flatout2.exe" |In - Private - P6 - TRUE | .(...) -- E:\jeux\flatout2\flatout2.exe (.not file.)

O87 - FAEL: "UDP Query User{5152D331-FB3B-4A05-B297-D60F091BD58D}E:\jeux\flatout2\flatout2.exe" |In - Private - P17 - TRUE | .(...) -- E:\jeux\flatout2\flatout2.exe (.not file.)

O87 - FAEL: "{BEA9883F-B7C6-450A-9662-BCA852102DEC}" |In - Public - P17 - TRUE | .(...) -- E:\jeux\flatout2\flatout2.exe (.not file.)

O87 - FAEL: "{D1E4F456-CA97-4255-82F8-B428DC2814A9}" |In - Public - P6 - TRUE | .(...) -- E:\jeux\flatout2\flatout2.exe (.not file.)

O87 - FAEL: "TCP Query User{93381A90-0D30-48E9-B8FB-BB454CD149CE}C:\users\florian\downloads\utorrent.exe" | In - Private - P6 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Users\Florian\Downloads\utorrent.exe

O87 - FAEL: "UDP Query User{60D28D61-4BA9-4CC3-8268-573F60122057}C:\users\florian\downloads\utorrent.exe" | In - Private - P17 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Users\Florian\Downloads\utorrent.exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => SYSTEM : Active Desktop désactivé et configuration refusée

G1 - GCS: Preference [user Data\Default] None => Google Chrome, Aucune page de recherche

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

O5 - control.ini: [HKLM\..\Control Panel] inetcpl.cpl=no

O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0

O55 - MWPS:[HKLM\...\Policies\System] - "PromptOnSecureDesktop"=0

O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0

O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1

O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1

O42 - Logiciel: Setuprog Toolbar - (.Pas de propriétaire.) [HKLM] -- Setuprog Toolbar

[HKCU\Software\AppDataLow\Software\Conduit]

[HKCU\Software\AppDataLow\Software\Setuprog]

[HKCU\Software\AppDataLow\Toolbar]

[HKLM\Software\Setuprog]

O43 - CFD: 23/01/2012 - 22:59:08 - [0,497] ----D- C:\Program Files (x86)\Conduit

O43 - CFD: 21/09/2009 - 17:27:38 - [0] ----D- C:\Program Files (x86)\DAEMON Tools Toolbar

O43 - CFD: 23/01/2012 - 23:00:32 - [2,444] ----D- C:\Program Files (x86)\Setuprog

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Setuprog Customized Web Search) - http://search.conduit.com

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}]

[HKLM\Software\WOW6432Node\Classes\CLSID\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}]

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}]

[HKCU\Software\AppDataLow\Toolbar]

[HKLM\Software\Classes\Toolbar.CT2552113]

C:\Program Files (x86)\Conduit

C:\Program Files (x86)\DAEMON Tools Toolbar

OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe

OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe

 

EmptyTemp

EmptyFlash

Lancer ZHPFix (raccourci sur le Bureau ZHPFix.png ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPFix") et cliquer sur le bouton [H].

Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].

Fermer toutes les applications et autres fenêtres en cours (y compris Internet) et désactiver les programmes de protection (antivirus, pare-feu et antispyware).

Enfin, cliquer sur le bouton [Nettoyer] et laisser faire.

Redémarrer le PC pour finir le nettoyage si demandé, héberger le rapport "ZHPFixReport.txt" et poster son adresse. Ce rapport est en outre sauvegardé sur le Bureau.

 

 

 

 

>>> Un changement quelconque?

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

 

 

>>> Analyse OTL: Télécharger, sur le Bureau OTL (par OldTimer) depuis ici ou ici.

Brancher et allumer tous les médias amovibles disponibles et susceptibles d'être infectés (DD externe, clés USB etc) et fermer toutes les applications et fenêtres ouvertes.

Cliquer-droit sur OTL.exe => "Exécuter en tant qu'administrateur", cocher la case "Tous les utilisateurs" (en haut) et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

 

netsvcs

drivers32

%SYSTEMDRIVE%\*.* /90

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /90

%systemroot%\Tasks\*.job

%systemroot%\system32\drivers\*.sys /90

CREATERESTOREPOINT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.

A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).

Les héberger et poster leurs adresses dans une nouvelle réponse.

 

 

>>> aswMBR/ Analyse:

  • Télécharger aswMBR depuis ici et l'enregistrer sur le Bureau.
  • Désactiver tous les programmes de protection (antivirus, pare-feu et antispyware) et fermer toutes les fenêtres ouvertes.
  • Cliquer-droit sur aswMBR.exe => "Exécuter en tant qu'administrateur". Cliquer sur [YES] dans le message "Would you like to download latest Avast! virus definitions?" et patienter.
  • Cliquer sur le bouton "[Scan]" et laisser faire jusqu'à la fin puis cliquer sur le bouton [Save log]. L'enregistrer sur le Bureau en laissant le nom par défault "aswmbr.txt" et poster son contenu dans une prochaine réponse. (NE rien fixer sans y être invité).
  • Un autre fichier "MBR.dat" sera généré et sauvegardé sur le Bureau: L'héberger et poster son lien.

Partager ce message


Lien à poster
Partager sur d’autres sites

Ton fichier est peut-être corrompu, supprime-le et télécharge une nouvelle copie.

 

Si ça ne fonctionne toujours pas,

 

>>> Utiliser ComboFix (CF): Télécharger, sur le Bureau ComboFix© (par sUBs) depuis ici ou ici.

Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer/cliquer-droit sur "ComboFix.exe" => "Exécuter en tant qu'administrateur". Suivre les instructions en acceptant l'installation de la Console de Récupération (proposée pour Windows XP si pas installée).

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer). Ne pas tenir compte du message disant que ça peut durer 10mn, au fait ça peut même dépasser une heure.

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). Copier/coller son contenu dans la prochaine réponse.

 

 

>>> Analyse de fichier(s):

  • Copier la ligne suivante (en gras) et aller sur le site Jotti.
     
    C:\PhysicalMBR.bin
     
  • Cliquer sur Parcourir.... jotti.jpg
  • Dans la nouvelle fenêtre, cliquer-droit dans "Nom du fichier" => "Coller" puis cliquer sur "Ouvrir". parcourir.jpg
  • Cliquer sur Envoyer et laisser faire l'analyse.
  • A la fin cliquer-droit sur le bouton Votre lien permanent... => "Copier l'adresse du lien".
    Cliquer-droit dans une nouvelle réponse, ici, => "Coller"
    jotti2.png


Si Jotti est surchargé, aller sur Virustotal.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Tant mieux si Jotti n'a rien trouvé de méchant!

 

>>> ComboFix/ Correction: Cliquer sur "Démarrer" => "Exécuter". Saisir Notepad et cliquer sur "OK".

Copier et coller ces lignes:

 

RegLock::

[HKEY_USERS\S-1-5-21-504959893-2065910491-3227652132-1001\Software\SecuROM\License information*]

"datasecu"=hex:66,7e,35,06,3e,0f,16,54,71,89,99,11,7d,6e,eb,00,0d,3c,9c,f1,b9,

b3,10,01,42,ad,7e,28,55,4c,10,90,e6,9b,71,51,00,0a,04,45,84,c8,80,1a,c5,6b,\

"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B9A09F18-45AB-4F09-A117-A4ADDA8FA8C8}]

@Denied: (A) (Everyone)

"Solution"="{36eb6792-3a29-43b3-8cd0-f67d266fb426}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane]

@Denied: (A) (Everyone)

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane\0]

"Key"="ActionsPane"

"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\8.0\\ActionsPane.xsd"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]

@Denied: (Full) (Everyone)

 

Cliquer sur "Fichier" => "Enregistrer". Dans "Nom du fichier", saisir ou coller CFScript.txt, cliquer sur Bureau à gauche puis sur "Enregistrer" en bas à droite.

Fermer toutes les fenêtres et applications ouvertes et désactiver antivirus, pare-feu et antispyware pour éviter qu'ils interfèrent avec ComboFix.

Glisser le fichier CFScript.txt et le déposer sur ComboFix.exe CFScriptB-4.gif

Ceci a pour effet de lancer ComboFix. Patienter!

A la fin, redémarrer le PC (s'il ne redémarre pas automatiquement) et Copier/coller le contenu du rapport généré dans la prochaine réponse. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\).

 

 

>>> Encore des soucis avec ta machine?

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×