[Résolu] FREEzeFrogSA.exe le retour

[blobix24]

Bonsoir à tous,

 

Tout nouveau venu (l'occasion fait le larron) et franchement pas très fort en informatique pure, me voila confronté à ce vilain malware dont création pour mon exe date du 20/08/2011, et qui ne sévit que maintenant ? Pas réellement gênant dans mon utilisation d'Internet de tous les jours, il l'est beaucoup plus dans ma vision de stream live de jeux que j'aime…

 

Ayant vu moult forums sur le sujet, j'ai compris qu'il fallait créer son propre sujet afin de pouvoir afficher mes propres diagnostics. Donc me voici, désolé d'aborder un sujet très souvent débattu...

 

Merci énormément de votre aide, je ne sais pas si ça peut aider mais je poste déjà le rapport d'Antivir que j'ai demandé à l'occasion.

 

 

Avira Free Antivirus

Date de création du fichier de rapport : lundi 27 février 2012 21:32

 

La recherche porte sur 3502423 souches de virus.

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : SWEET-46A1D2203

 

Informations de version :

BUILD.DAT : 12.0.0.207 41963 Bytes 20/02/2012 15:58:00

AVSCAN.EXE : 12.1.0.20 492496 Bytes 15/02/2012 14:03:39

AVSCAN.DLL : 12.1.0.19 64976 Bytes 20/02/2012 14:10:04

LUKE.DLL : 12.1.0.19 68304 Bytes 15/02/2012 14:03:46

AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15/02/2012 14:03:39

AVREG.DLL : 12.1.0.29 228048 Bytes 15/02/2012 14:03:38

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 14:04:02

VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 14:04:09

VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 20:28:35

VBASE004.VDF : 7.11.21.239 2048 Bytes 01/02/2012 20:28:35

VBASE005.VDF : 7.11.21.240 2048 Bytes 01/02/2012 20:28:35

VBASE006.VDF : 7.11.21.241 2048 Bytes 01/02/2012 20:28:35

VBASE007.VDF : 7.11.21.242 2048 Bytes 01/02/2012 20:28:36

VBASE008.VDF : 7.11.21.243 2048 Bytes 01/02/2012 20:28:36

VBASE009.VDF : 7.11.21.244 2048 Bytes 01/02/2012 20:28:36

VBASE010.VDF : 7.11.21.245 2048 Bytes 01/02/2012 20:28:36

VBASE011.VDF : 7.11.21.246 2048 Bytes 01/02/2012 20:28:36

VBASE012.VDF : 7.11.21.247 2048 Bytes 01/02/2012 20:28:36

VBASE013.VDF : 7.11.22.33 1486848 Bytes 03/02/2012 20:28:46

VBASE014.VDF : 7.11.22.56 687616 Bytes 03/02/2012 20:28:48

VBASE015.VDF : 7.11.22.92 178176 Bytes 06/02/2012 20:28:49

VBASE016.VDF : 7.11.22.154 144896 Bytes 08/02/2012 20:28:50

VBASE017.VDF : 7.11.22.220 183296 Bytes 13/02/2012 20:28:51

VBASE018.VDF : 7.11.23.34 202752 Bytes 15/02/2012 20:28:52

VBASE019.VDF : 7.11.23.98 126464 Bytes 17/02/2012 20:28:52

VBASE020.VDF : 7.11.23.150 148480 Bytes 20/02/2012 20:28:53

VBASE021.VDF : 7.11.23.224 172544 Bytes 23/02/2012 20:28:54

VBASE022.VDF : 7.11.23.225 2048 Bytes 23/02/2012 20:28:54

VBASE023.VDF : 7.11.23.226 2048 Bytes 23/02/2012 20:28:54

VBASE024.VDF : 7.11.23.227 2048 Bytes 23/02/2012 20:28:54

VBASE025.VDF : 7.11.23.228 2048 Bytes 23/02/2012 20:28:54

VBASE026.VDF : 7.11.23.229 2048 Bytes 23/02/2012 20:28:54

VBASE027.VDF : 7.11.23.230 2048 Bytes 23/02/2012 20:28:54

VBASE028.VDF : 7.11.23.231 2048 Bytes 23/02/2012 20:28:54

VBASE029.VDF : 7.11.23.232 2048 Bytes 23/02/2012 20:28:54

VBASE030.VDF : 7.11.23.233 2048 Bytes 23/02/2012 20:28:54

VBASE031.VDF : 7.11.24.36 137216 Bytes 27/02/2012 20:28:55

Version du moteur : 8.2.10.8

AEVDF.DLL : 8.1.2.2 106868 Bytes 15/02/2012 14:03:25

AESCRIPT.DLL : 8.1.4.7 442746 Bytes 27/02/2012 20:29:08

AESCN.DLL : 8.1.8.2 131444 Bytes 27/02/2012 20:29:07

AESBX.DLL : 8.2.4.5 434549 Bytes 15/02/2012 14:03:25

AERDL.DLL : 8.1.9.15 639348 Bytes 15/02/2012 14:03:25

AEPACK.DLL : 8.2.16.3 799094 Bytes 27/02/2012 20:29:07

AEOFFICE.DLL : 8.1.2.25 201084 Bytes 15/02/2012 14:03:24

AEHEUR.DLL : 8.1.4.0 4436342 Bytes 27/02/2012 20:29:05

AEHELP.DLL : 8.1.19.0 254327 Bytes 27/02/2012 20:28:58

AEGEN.DLL : 8.1.5.21 409971 Bytes 27/02/2012 20:28:57

AEEXP.DLL : 8.1.0.23 70005 Bytes 27/02/2012 20:29:08

AEEMU.DLL : 8.1.3.0 393589 Bytes 15/02/2012 14:03:20

AECORE.DLL : 8.1.25.4 201079 Bytes 27/02/2012 20:28:56

AEBB.DLL : 8.1.1.0 53618 Bytes 15/02/2012 14:03:20

AVWINLL.DLL : 12.1.0.17 27344 Bytes 15/02/2012 14:03:40

AVPREF.DLL : 12.1.0.17 51920 Bytes 15/02/2012 14:03:38

AVREP.DLL : 12.1.0.17 179920 Bytes 15/02/2012 14:03:38

AVARKT.DLL : 12.1.0.23 209360 Bytes 15/02/2012 14:03:34

AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15/02/2012 14:03:35

SQLITE3.DLL : 3.7.0.0 398288 Bytes 15/02/2012 14:03:52

AVSMTP.DLL : 12.1.0.17 63440 Bytes 15/02/2012 14:03:39

NETNT.DLL : 12.1.0.17 17104 Bytes 15/02/2012 14:03:47

RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 15/02/2012 14:04:25

RCTEXT.DLL : 12.1.0.16 99792 Bytes 15/02/2012 14:04:25

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp

Documentation.................................: par défaut

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:,

Recherche dans les programmes actifs..........: marche

Programmes en cours étendus...................: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: avancé

 

Début de la recherche : lundi 27 février 2012 21:32

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche d'objets cachés commence.

Erreur dans la bibliothèque ARK

 

La recherche sur les processus démarrés commence :

Processus de recherche 'vssvc.exe' - '36' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '65' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '66' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '58' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '38' module(s) sont contrôlés

Processus de recherche 'avshadow.exe' - '26' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '62' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '38' module(s) sont contrôlés

Processus de recherche 'daemonu.exe' - '30' module(s) sont contrôlés

Processus de recherche 'Steam.exe' - '94' module(s) sont contrôlés

Processus de recherche 'nvsvc32.exe' - '37' module(s) sont contrôlés

Processus de recherche 'PMB.exe' - '71' module(s) sont contrôlés

Processus de recherche 'RunDLL32.exe' - '51' module(s) sont contrôlés

Processus de recherche 'EverioService.exe' - '38' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.EXE' - '36' module(s) sont contrôlés

Processus de recherche 'VCDDaemon.exe' - '22' module(s) sont contrôlés

Processus de recherche 'Explorer.EXE' - '88' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '58' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '142' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '38' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '52' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '51' module(s) sont contrôlés

Processus de recherche 'services.exe' - '27' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '65' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '427' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

Recherche débutant dans 'D:\'

D:\Program Files\FREEzeFrog\bin\1.0.670.0\FREEzeFrogSA.exe

[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/Frozen.A

 

Début de la désinfection :

D:\Program Files\FREEzeFrog\bin\1.0.670.0\FREEzeFrogSA.exe

[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/Frozen.A

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d1e54e7.qua' !

 

 

Fin de la recherche : lundi 27 février 2012 22:06

Temps nécessaire: 28:00 Minute(s)

 

La recherche a été effectuée intégralement

 

13458 Les répertoires ont été contrôlés

391097 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

391096 Fichiers non infectés

4436 Les archives ont été contrôlées

0 Avertissements

1 Consignes

27 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

Modifié le 2 mars 2012 par blobix24

[pear]

Bonjour,

 

Antivir vous l'a mis en quarantaine, mais pour savoir si c'est propre:

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tournevis et choisissez Tous

En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

 

Clic sur la Loupe pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[blobix24]

bonjour pear, merci de votre réponse. Voici le lien: http://cjoint.com/?BBCoyLtp0uy

Modifié le 28 février 2012 par blobix24

[pear]

1) Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher, si nécéssaire)

Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible dans que le scan n'a pas été fait

 

2)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

3)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

4)

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

5)Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[blobix24]

si j'ai bien compris, (pardon de mon noobisme )j'ai le choix entre 3 prog qui devraient supprimer l'infection? si c'est le cas, le deuxieme me parait plus simple, est-ce classé par efficacité? (le premier plus performant que le deuxieme?)

[Dylav]

Bonjour Blobix,

 

Non, je ne crois pas que tu aies le choix…

Il va falloir te retrousser les manches et appliquer toutes les consignes de pear ! Bon courage.

 

[blobix24]

Ok merci de la réponse, les rapports ne sont pas tres longs, mais je préferes faire une réponse par programme histoire de s'y retrouver...

Pour roguekiller: (analyse)

 

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Recherche -- Date: 01/03/2012 16:44:27

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 8 ¤¤¤

[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: SAMSUNG HD250HJ SCSI Disk Device +++++

--- User ---

[MBR] 837d0dfffe07ab5b8b6733aa15c61606

[bSP] 79a8b99b1642643979805ce7f3627958 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 19 | Size: 19999 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 40959744 | Size: 218471 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

(nettoyage) registre

 

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Suppression -- Date: 01/03/2012 16:49:35

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 8 ¤¤¤

[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> REPLACED (0)

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: SAMSUNG HD250HJ SCSI Disk Device +++++

--- User ---

[MBR] 837d0dfffe07ab5b8b6733aa15c61606

[bSP] 79a8b99b1642643979805ce7f3627958 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 19 | Size: 19999 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 40959744 | Size: 218471 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

host

 

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: HOSTS RAZ -- Date: 01/03/2012 16:51:41

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

 

proxy

 

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Proxy RAZ -- Date: 01/03/2012 16:53:51

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

 

dns

 

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: DNS RAZ -- Date: 01/03/2012 16:55:20

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

 

racc

 

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 01/03/2012 16:57:27

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 5 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 51 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 366 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

[F:] \Device\CdRom1 -- 0x5 --> Skipped

[G:] \Device\CdRom2 -- 0x5 --> Skipped

 

¤¤¤ Infection : ¤¤¤

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

 

 

 

et enfin, un clic droit "restaurer ssdt" par driver signalé "ssdt". Au suivant.

[blobix24]

Pour Adwcleaner: (analyse)

 

# AdwCleaner v1.500 - Rapport créé le 01/03/2012 à 17:16:48

# Mis à jour le 23/02/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Administrateur - SWEET-46A1D2203

# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Présent : C:\Documents and Settings\Administrateur\Application Data\pdfforge

Dossier Présent : C:\Documents and Settings\Administrateur\Application Data\widestream

Dossier Présent : C:\Documents and Settings\Administrateur\Local Settings\Application Data\widestream6 Air

Dossier Présent : C:\Documents and Settings\Administrateur\Mes documents\WideStream

Dossier Présent : C:\Program Files\Widestream6

Dossier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\staged

 

***** [H. Navipromo] *****

 

 

***** [Registre] *****

 

Clé Présente : HKCU\Software\WideStream

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.DllInfo

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.Tools

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v7.0.5730.13

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0.2 (fr)

 

Profil : mteietq8.default

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R5].txt - [1922 octets] - [01/03/2012 17:16:48]

 

########## EOF - C:\AdwCleaner[R5].txt - [2050 octets] ##########

 

(suppression):

 

# AdwCleaner v1.500 - Rapport créé le 01/03/2012 à 17:17:02

# Mis à jour le 23/02/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Administrateur - SWEET-46A1D2203

# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\pdfforge

Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\widestream

Dossier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\widestream6 Air

Dossier Supprimé : C:\Documents and Settings\Administrateur\Mes documents\WideStream

Dossier Supprimé : C:\Program Files\Widestream6

Dossier Supprimé : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\extensions\staged

 

***** [H. Navipromo] *****

 

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\WideStream

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools

Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v7.0.5730.13

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0.2 (fr)

 

Profil : mteietq8.default

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R5].txt - [2051 octets] - [01/03/2012 17:16:48]

AdwCleaner[s3].txt - [1998 octets] - [01/03/2012 17:17:02]

 

########## EOF - C:\AdwCleaner[s3].txt - [2126 octets] ##########

[blobix24]

Et pour finir MBAM: (analyse)

 

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.03.01.03

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

Administrateur :: SWEET-46A1D2203 [administrateur]

 

01/03/2012 17:33:24

mbam-log-2012-03-01 (17-50-42).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 244284

Temps écoulé: 16 minute(s), 28 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Données: 1 -> Aucune action effectuée.

 

Elément(s) de données du Registre détecté(s): 5

HKCU\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDrives (PUM.Hijack.Drives) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

D:\Everest Poker.exe (PUP.EverestPoker) -> Aucune action effectuée.

 

(fin)

 

(nettoyage):

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.03.01.03

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

Administrateur :: SWEET-46A1D2203 [administrateur]

 

01/03/2012 17:33:24

mbam-log-2012-03-01 (17-33-24).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 244284

Temps écoulé: 16 minute(s), 28 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 5

HKCU\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

HKCU\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDrives (PUM.Hijack.Drives) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

D:\Everest Poker.exe (PUP.EverestPoker) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[blobix24]

Je voudrais avant tout vous remercier pour votre remarquable éfficacité :finger: apres les 3 scans des 3 programmes associés, tout est clean... J'ai appris que ce malware est un keylogger ( va falloir que je vérifies mes jeux...) Mais par contre je rames toujours apparament en regardant des streams live, le soucis est sans doute matériel, m'en vais chercher sur le site. En tout cas encore félicitations a vous Derniere petite chose comment faire pour marquer un sujet comme résolu? ou c'est vous qui le faites?