TR ATRAPS Gen2

[nath09]

Bonjour

 

J'ai été à nouveau infecté par ce virus, est ce que je peux faire la même manip que la dernière fois ci joint mon rapport avira

 

MErci

 

Nath

 

 

 

Avira Free Antivirus

Date de création du fichier de rapport : vendredi 6 juillet 2012 07:35

 

La recherche porte sur 3837370 souches de virus.

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows 7 x64

Version de Windows : (Service Pack 1) [6.1.7601]

Mode Boot : Démarré normalement

Identifiant : Nathalie

Nom de l'ordinateur : NATHALIE-VAIO

 

Informations de version :

BUILD.DAT : 12.0.0.207 Bytes 20/02/2012 15:58:00

AVSCAN.EXE : 12.1.0.20 492496 Bytes 15/02/2012 13:03:39

AVSCAN.DLL : 12.1.0.19 64976 Bytes 20/02/2012 13:10:04

LUKE.DLL : 12.1.0.19 68304 Bytes 15/02/2012 13:03:46

AVSCPLR.DLL : 12.3.0.14 97032 Bytes 10/06/2012 11:40:10

AVREG.DLL : 12.3.0.17 232200 Bytes 10/06/2012 11:40:09

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:18:34

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 23:23:21

VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 23:32:24

VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 11:39:47

VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 11:39:52

VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 10:21:56

VBASE006.VDF : 7.11.34.117 2048 Bytes 29/06/2012 10:21:56

VBASE007.VDF : 7.11.34.118 2048 Bytes 29/06/2012 10:21:57

VBASE008.VDF : 7.11.34.119 2048 Bytes 29/06/2012 10:21:57

VBASE009.VDF : 7.11.34.120 2048 Bytes 29/06/2012 10:21:57

VBASE010.VDF : 7.11.34.121 2048 Bytes 29/06/2012 10:21:57

VBASE011.VDF : 7.11.34.122 2048 Bytes 29/06/2012 10:21:57

VBASE012.VDF : 7.11.34.123 2048 Bytes 29/06/2012 10:21:57

VBASE013.VDF : 7.11.34.124 2048 Bytes 29/06/2012 10:21:57

VBASE014.VDF : 7.11.34.201 169472 Bytes 02/07/2012 10:21:33

VBASE015.VDF : 7.11.35.19 122368 Bytes 04/07/2012 10:21:33

VBASE016.VDF : 7.11.35.20 2048 Bytes 04/07/2012 10:21:33

VBASE017.VDF : 7.11.35.21 2048 Bytes 04/07/2012 10:21:33

VBASE018.VDF : 7.11.35.22 2048 Bytes 04/07/2012 10:21:33

VBASE019.VDF : 7.11.35.23 2048 Bytes 04/07/2012 10:21:33

VBASE020.VDF : 7.11.35.24 2048 Bytes 04/07/2012 10:21:33

VBASE021.VDF : 7.11.35.25 2048 Bytes 04/07/2012 10:21:33

VBASE022.VDF : 7.11.35.26 2048 Bytes 04/07/2012 10:21:34

VBASE023.VDF : 7.11.35.27 2048 Bytes 04/07/2012 10:21:34

VBASE024.VDF : 7.11.35.28 2048 Bytes 04/07/2012 10:21:34

VBASE025.VDF : 7.11.35.29 2048 Bytes 04/07/2012 10:21:34

VBASE026.VDF : 7.11.35.30 2048 Bytes 04/07/2012 10:21:34

VBASE027.VDF : 7.11.35.31 2048 Bytes 04/07/2012 10:21:34

VBASE028.VDF : 7.11.35.32 2048 Bytes 04/07/2012 10:21:34

VBASE029.VDF : 7.11.35.33 2048 Bytes 04/07/2012 10:21:34

VBASE030.VDF : 7.11.35.34 2048 Bytes 04/07/2012 10:21:34

VBASE031.VDF : 7.11.35.52 34304 Bytes 05/07/2012 10:21:34

Version du moteur : 8.2.10.102

AEVDF.DLL : 8.1.2.8 106867 Bytes 10/06/2012 11:40:08

AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21/06/2012 16:10:21

AESCN.DLL : 8.1.8.2 131444 Bytes 10/06/2012 11:40:07

AESBX.DLL : 8.2.5.12 606578 Bytes 14/06/2012 15:40:30

AERDL.DLL : 8.1.9.15 639348 Bytes 20/01/2012 23:22:40

AEPACK.DLL : 8.2.16.22 807288 Bytes 21/06/2012 16:10:21

AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28/06/2012 16:45:56

AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28/06/2012 16:45:10

AEHELP.DLL : 8.1.23.2 258422 Bytes 28/06/2012 16:44:13

AEGEN.DLL : 8.1.5.30 422261 Bytes 14/06/2012 15:36:48

AEEXP.DLL : 8.1.0.58 82292 Bytes 28/06/2012 16:45:57

AEEMU.DLL : 8.1.3.0 393589 Bytes 20/01/2012 23:22:36

AECORE.DLL : 8.1.25.10 201080 Bytes 10/06/2012 11:40:02

AEBB.DLL : 8.1.1.0 53618 Bytes 20/01/2012 23:22:35

AVWINLL.DLL : 12.1.0.17 27344 Bytes 15/02/2012 13:03:40

AVPREF.DLL : 12.1.0.17 51920 Bytes 15/02/2012 13:03:38

AVREP.DLL : 12.3.0.15 179208 Bytes 10/06/2012 11:40:10

AVARKT.DLL : 12.1.0.23 209360 Bytes 15/02/2012 13:03:34

AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15/02/2012 13:03:35

SQLITE3.DLL : 3.7.0.0 398288 Bytes 15/02/2012 13:03:52

AVSMTP.DLL : 12.1.0.17 63440 Bytes 15/02/2012 13:03:39

NETNT.DLL : 12.1.0.17 17104 Bytes 15/02/2012 13:03:47

RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 15/02/2012 13:04:25

RCTEXT.DLL : 12.1.0.16 99792 Bytes 15/02/2012 13:04:25

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Disques durs locaux

Fichier de configuration......................: C:\program files (x86)\avira\antivir desktop\alldiscs.avp

Documentation.................................: par défaut

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: arrêt

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Sélection de fichiers intelligente

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: avancé

 

Début de la recherche : vendredi 6 juillet 2012 07:35

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

[iNFO] Veuillez relancer la recherche avec les droits d'administrateur

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

[iNFO] Veuillez relancer la recherche avec les droits d'administrateur

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'OUTLOOK.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'vekoi.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '2676' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\Users\Nathalie\AppData\Local\Temp\msg3445.exe

[0] Type d'archive: Portable Executable Resource

--> P22687807

[1] Type d'archive: CAB (Microsoft)

--> LanguageSelector64.7z

[2] Type d'archive: 7-Zip

--> LanguageSelector64.cab

[3] Type d'archive: CAB (Microsoft)

--> LanguageSelector64.msi

[AVERTISSEMENT] Impossible de lire le fichier !

C:\Users\Nathalie\AppData\Roaming\Biqizy\zazu.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen5

C:\Windows\System32\services.exe

[RESULTAT] Contient le modèle de détection du virus Windows W32/Patched.UA

C:\_OTL\MovedFiles\06102012_150345\C_Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\00000001.@

[RESULTAT] Contient le cheval de Troie TR/Small.FI

C:\_OTL\MovedFiles\06102012_150345\C_Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\80000000.@

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen

C:\_OTL\MovedFiles\06102012_150345\C_Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\800000cb.@

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

 

Début de la désinfection :

C:\_OTL\MovedFiles\06102012_150345\C_Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\800000cb.@

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '55a7a446.qua' !

C:\_OTL\MovedFiles\06102012_150345\C_Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\80000000.@

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d308be1.qua' !

C:\_OTL\MovedFiles\06102012_150345\C_Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\00000001.@

[RESULTAT] Contient le cheval de Troie TR/Small.FI

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '1f6fd109.qua' !

C:\Windows\System32\services.exe

[RESULTAT] Contient le modèle de détection du virus Windows W32/Patched.UA

[REMARQUE] Une copie de sécurité a été créée sous le nom 79169e6c.qua ( QUARANTAINE )

C:\Users\Nathalie\AppData\Roaming\Biqizy\zazu.exe

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen5

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '3c8ab3c6.qua' !

 

 

Fin de la recherche : vendredi 6 juillet 2012 17:31

Temps nécessaire: 9:56:09 Heure(s)

 

La recherche a été effectuée intégralement

 

42180 Les répertoires ont été contrôlés

1068744 Des fichiers ont été contrôlés

5 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

5 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

1068739 Fichiers non infectés

10795 Les archives ont été contrôlées

1 Avertissements

5 Consignes

[pear]

Bonsoir,

 

Pas d'affolement!

 

La majorité des détections se font dans la quarantaine d'Otl que vous pouvez vider.

 

Le reste dans celle d'Antivir.

 

Reste un doute sur services.exe:

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimeretc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

 

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

Bonsoir,

 

Pas d'affolement!

 

La majorité des détections se font dans la quarantaine d'Otl que vous pouvez vider.

 

Le reste dans celle d'Antivir.

 

Reste un doute sur services.exe:

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimeretc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

 

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[nath09]

Merci de votre réponse

voici le rapport combofix

 

ComboFix 12-07-06.02 - Nathalie 06/07/2012 22:32:53.1.2 - x64

Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4063.2543 [GMT 2:00]

Lancé depuis: C:\Users\Nathalie\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\Users\Nathalie\AppData\Roaming\Apipli

C:\Users\Nathalie\AppData\Roaming\Apipli\ibuzp.uzb

C:\Users\Nathalie\AppData\Roaming\Foysi

C:\Users\Nathalie\AppData\Roaming\Foysi\ybuv.omd

 

Une copie infectée de C:\Windows\system32\Services.exe a été trouvée et désinfectée

Copie restaurée à partir de - C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2012-06-06 au 2012-07-06 ))))))))))))))))))))))))))))))))))))

 

 

2012-07-06 20:42:11 . 2012-07-06 20:42:11 -------- d-----w- C:\Users\Thibaud.Nathalie-VAIO\AppData\Local\temp

2012-07-06 20:42:10 . 2012-07-06 20:42:10 -------- d-----w- C:\Users\Thibaud\AppData\Local\temp

2012-07-06 20:42:10 . 2012-07-06 20:42:10 -------- d-----w- C:\Users\Public\AppData\Local\temp

2012-07-06 20:42:10 . 2012-07-06 20:42:10 -------- d-----w- C:\Users\Default\AppData\Local\temp

2012-06-22 16:29:37 . 2012-07-06 17:32:27 -------- d-----w- C:\Users\Nathalie\AppData\Local\Windows Live

2012-06-21 06:38:41 . 2012-06-02 22:19:43 2428952 ----a-w- C:\Windows\system32\wuaueng.dll

2012-06-21 06:38:41 . 2012-06-02 22:19:42 57880 ----a-w- C:\Windows\system32\wuauclt.exe

2012-06-21 06:38:41 . 2012-06-02 22:19:42 44056 ----a-w- C:\Windows\system32\wups2.dll

2012-06-21 06:38:41 . 2012-06-02 22:15:31 2622464 ----a-w- C:\Windows\system32\wucltux.dll

2012-06-21 06:38:25 . 2012-06-02 22:19:46 38424 ----a-w- C:\Windows\system32\wups.dll

2012-06-21 06:38:25 . 2012-06-02 22:19:23 701976 ----a-w- C:\Windows\system32\wuapi.dll

2012-06-21 06:38:25 . 2012-06-02 22:15:08 99840 ----a-w- C:\Windows\system32\wudriver.dll

2012-06-21 06:38:10 . 2012-06-02 13:19:42 186752 ----a-w- C:\Windows\system32\wuwebv.dll

2012-06-21 06:38:10 . 2012-06-02 13:15:12 36864 ----a-w- C:\Windows\system32\wuapp.exe

2012-06-21 05:34:30 . 2012-07-06 15:31:41 -------- d-----w- C:\Users\Nathalie\AppData\Roaming\Biqizy

2012-06-20 19:40:35 . 2012-07-06 15:31:03 -------- d-----w- C:\Users\Nathalie\AppData\Roaming\Loig

2012-06-20 19:40:35 . 2012-07-06 15:18:35 -------- d-----w- C:\Users\Nathalie\AppData\Roaming\Abgyqy

2012-06-20 19:40:35 . 2012-06-20 19:40:35 -------- d-----w- C:\Users\Nathalie\AppData\Roaming\Nalyhi

2012-06-20 17:04:02 . 2012-06-20 17:04:05 -------- d-----w- C:\Users\Nathalie\AppData\Local\libimobiledevice

2012-06-20 16:24:02 . 2012-06-20 16:24:02 -------- d-----w- C:\Program Files\iPod

2012-06-20 16:24:01 . 2012-06-20 16:24:34 -------- d-----w- C:\Program Files\iTunes

2012-06-20 16:24:01 . 2012-06-20 16:24:33 -------- d-----w- C:\Program Files (x86)\iTunes

2012-06-13 15:35:51 . 2012-05-15 01:32:33 3146752 ----a-w- C:\Windows\system32\win32k.sys

2012-06-12 10:33:20 . 2012-06-12 10:35:47 -------- d-----w- C:\Users\Nathalie\AppData\Roaming\pdfforge

2012-06-12 10:33:17 . 2012-05-14 07:21:24 94208 ----a-w- C:\Windows\system32\pdfcmon.dll

2012-06-12 10:33:17 . 1998-06-23 23:00:00 137000 ----a-w- C:\Windows\SysWow64\MSMAPI32.OCX

2012-06-12 10:33:15 . 2012-06-12 10:33:33 -------- d-----w- C:\Program Files (x86)\PDFCreator

2012-06-12 10:33:15 . 1998-07-13 00:08:36 59904 ----a-w- C:\Windows\SysWow64\MSCC2FR.DLL

2012-06-12 10:33:15 . 1998-07-05 23:00:00 23552 ----a-w- C:\Windows\SysWow64\MSMPIDE.DLL

2012-06-12 10:33:14 . 2012-06-12 10:33:14 -------- d-----w- C:\ProgramData\Premium

2012-06-12 10:33:05 . 2012-06-12 10:33:15 -------- d-----w- C:\ProgramData\InstallMate

2012-06-10 16:19:08 . 2012-06-10 16:19:08 -------- d-----w- C:\Users\Thibaud.Nathalie-VAIO\AppData\Roaming\Avira

2012-06-10 13:03:45 . 2012-06-10 13:03:45 -------- d-----w- C:\_OTL

2012-06-10 11:26:50 . 2012-06-10 11:26:50 -------- d-----w- C:\Users\Nathalie\AppData\Roaming\Avira

2012-06-10 11:25:04 . 2012-06-10 11:25:04 -------- d-----w- C:\ProgramData\Avira

2012-06-10 11:25:04 . 2012-06-10 11:25:04 -------- d-----w- C:\Program Files (x86)\Avira

2012-06-10 11:25:04 . 2012-05-02 13:24:12 27760 ----a-w- C:\Windows\system32\drivers\avkmgr.sys

2012-06-10 11:25:04 . 2012-02-15 13:04:25 97312 ----a-w- C:\Windows\system32\drivers\avgntflt.sys

2012-06-10 11:25:04 . 2012-02-15 13:04:25 132320 ----a-w- C:\Windows\system32\drivers\avipbb.sys

2012-06-10 11:01:21 . 2012-06-10 11:01:22 512 ----a-w- C:\PhysicalMBR.bin

2012-06-10 10:49:41 . 2012-06-10 10:49:41 -------- d-sh--w- C:\DrWeb Quarantine

2012-06-09 17:53:04 . 2012-06-10 10:24:15 -------- d-----w- C:\Users\Nathalie\Doctor Web

2012-06-09 17:48:42 . 2012-06-09 17:48:42 -------- d-----w- C:\Program Files\Common Files\Doctor Web

2012-06-09 17:48:21 . 2012-06-10 10:50:19 -------- d-----w- C:\Program Files (x86)\DrWeb

2012-06-09 17:48:21 . 2012-06-10 10:49:32 -------- d-----w- C:\ProgramData\Doctor Web

2012-06-09 17:10:05 . 2012-06-09 17:10:05 -------- d-----w- C:\Users\Nathalie\DoctorWeb

2012-06-09 07:15:11 . 2012-05-08 17:02:23 8955792 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{12E90495-4183-465F-80C3-2E533C8CFA0F}\mpengine.dll

2012-06-08 16:16:27 . 2012-06-08 16:16:27 61440 ----a-w- C:\Windows\SysWow64\drivers\znwquzs.sys

2012-06-08 16:12:27 . 2012-06-08 16:12:27 61440 ----a-w- C:\Windows\SysWow64\drivers\lhro.sys

2012-06-08 16:07:33 . 2012-06-08 16:07:33 61440 ----a-w- C:\Windows\SysWow64\drivers\rymcnvli.sys

2012-06-08 16:02:08 . 2012-06-08 16:02:08 61440 ----a-w- C:\Windows\SysWow64\drivers\oebz.sys

2012-06-08 15:27:32 . 2012-06-08 15:27:32 61440 ----a-w- C:\Windows\SysWow64\drivers\insaj.sys

2012-06-08 15:13:50 . 2012-06-08 15:13:50 61440 ----a-w- C:\Windows\SysWow64\drivers\mobk.sys

2012-06-08 10:23:41 . 2012-06-08 10:23:41 61440 ----a-w- C:\Windows\SysWow64\drivers\rnah.sys

2012-06-08 10:19:20 . 2012-06-08 10:19:20 61440 ----a-w- C:\Windows\SysWow64\drivers\iecfbhpe.sys

2012-06-07 17:48:20 . 2012-06-07 17:48:20 -------- d-----w- C:\_OTM

2012-06-07 17:26:52 . 2012-06-07 17:26:52 -------- d-----w- C:\Users\Nathalie\AppData\Roaming\Malwarebytes

2012-06-07 17:26:39 . 2012-06-07 17:26:39 -------- d-----w- C:\ProgramData\Malwarebytes

2012-06-07 17:26:39 . 2012-04-04 13:56:40 24904 ----a-w- C:\Windows\system32\drivers\mbam.sys

2012-06-07 17:26:38 . 2012-06-07 17:26:41 -------- d-----w- C:\Program Files (x86)\Malwarebytes' Anti-Malware

2012-06-07 15:36:40 . 2012-06-07 15:36:40 -------- d-----w- C:\Program Files (x86)\SEAF

2012-06-07 15:32:33 . 2012-07-06 15:50:00 -------- d-----w- C:\ZHP

2012-06-07 15:32:13 . 2012-06-07 15:33:12 -------- d-----w- C:\Program Files (x86)\ZHPDiag

.

 

 

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

 

2012-06-22 16:31:47 . 2011-03-28 16:36:46 19736 ----a-w- C:\ProgramData\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2012-05-06 12:45:23 . 2012-05-06 12:44:29 283200 ----a-w- C:\Windows\system32\drivers\dtsoftbus01.sys

[pear]

Votre rapport est incomplet.

[nath09]

PArdon je l'ai refait

 

ComboFix 12-07-06.02 - Nathalie 07/07/2012 9:24.2.2 - x64

Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4063.2553 [GMT 2:00]

Lancé depuis: c:\users\Nathalie\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Exécution préalable -------

.

c:\users\Nathalie\AppData\Roaming\Apipli\ibuzp.uzb

c:\users\Nathalie\AppData\Roaming\Foysi\ybuv.omd

.

-- Exécution préalable --

.

Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe

.

--------

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-06-07 au 2012-07-07 ))))))))))))))))))))))))))))))))))))

.

.

2012-07-07 07:33 . 2012-07-07 07:33 -------- d-----w- c:\users\Thibaud\AppData\Local\temp

2012-07-07 07:33 . 2012-07-07 07:33 -------- d-----w- c:\users\Thibaud.Nathalie-VAIO\AppData\Local\temp

2012-07-07 07:33 . 2012-07-07 07:33 -------- d-----w- c:\users\Public\AppData\Local\temp

2012-07-07 07:33 . 2012-07-07 07:33 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-06-22 16:29 . 2012-07-06 17:32 -------- d-----w- c:\users\Nathalie\AppData\Local\Windows Live

2012-06-21 06:38 . 2012-06-02 22:19 2428952 ----a-w- c:\windows\system32\wuaueng.dll

2012-06-21 06:38 . 2012-06-02 22:19 57880 ----a-w- c:\windows\system32\wuauclt.exe

2012-06-21 06:38 . 2012-06-02 22:19 44056 ----a-w- c:\windows\system32\wups2.dll

2012-06-21 06:38 . 2012-06-02 22:15 2622464 ----a-w- c:\windows\system32\wucltux.dll

2012-06-21 06:38 . 2012-06-02 22:19 38424 ----a-w- c:\windows\system32\wups.dll

2012-06-21 06:38 . 2012-06-02 22:19 701976 ----a-w- c:\windows\system32\wuapi.dll

2012-06-21 06:38 . 2012-06-02 22:15 99840 ----a-w- c:\windows\system32\wudriver.dll

2012-06-21 06:38 . 2012-06-02 13:19 186752 ----a-w- c:\windows\system32\wuwebv.dll

2012-06-21 06:38 . 2012-06-02 13:15 36864 ----a-w- c:\windows\system32\wuapp.exe

2012-06-21 05:34 . 2012-07-06 15:31 -------- d-----w- c:\users\Nathalie\AppData\Roaming\Biqizy

2012-06-20 19:40 . 2012-07-06 15:31 -------- d-----w- c:\users\Nathalie\AppData\Roaming\Loig

2012-06-20 19:40 . 2012-07-06 15:18 -------- d-----w- c:\users\Nathalie\AppData\Roaming\Abgyqy

2012-06-20 19:40 . 2012-06-20 19:40 -------- d-----w- c:\users\Nathalie\AppData\Roaming\Nalyhi

2012-06-20 17:04 . 2012-06-20 17:04 -------- d-----w- c:\users\Nathalie\AppData\Local\libimobiledevice

2012-06-20 16:24 . 2012-06-20 16:24 -------- d-----w- c:\program files\iPod

2012-06-20 16:24 . 2012-06-20 16:24 -------- d-----w- c:\program files\iTunes

2012-06-20 16:24 . 2012-06-20 16:24 -------- d-----w- c:\program files (x86)\iTunes

2012-06-13 15:35 . 2012-05-15 01:32 3146752 ----a-w- c:\windows\system32\win32k.sys

2012-06-12 10:33 . 2012-06-12 10:35 -------- d-----w- c:\users\Nathalie\AppData\Roaming\pdfforge

2012-06-12 10:33 . 2012-05-14 07:21 94208 ----a-w- c:\windows\system32\pdfcmon.dll

2012-06-12 10:33 . 1998-06-23 23:00 137000 ----a-w- c:\windows\SysWow64\MSMAPI32.OCX

2012-06-12 10:33 . 2012-06-12 10:33 -------- d-----w- c:\program files (x86)\PDFCreator

2012-06-12 10:33 . 1998-07-13 00:08 59904 ----a-w- c:\windows\SysWow64\MSCC2FR.DLL

2012-06-12 10:33 . 1998-07-05 23:00 23552 ----a-w- c:\windows\SysWow64\MSMPIDE.DLL

2012-06-12 10:33 . 2012-06-12 10:33 -------- d-----w- c:\programdata\Premium

2012-06-12 10:33 . 2012-06-12 10:33 -------- d-----w- c:\programdata\InstallMate

2012-06-10 16:19 . 2012-06-10 16:19 -------- d-----w- c:\users\Thibaud.Nathalie-VAIO\AppData\Roaming\Avira

2012-06-10 13:03 . 2012-06-10 13:03 -------- d-----w- C:\_OTL

2012-06-10 11:26 . 2012-06-10 11:26 -------- d-----w- c:\users\Nathalie\AppData\Roaming\Avira

2012-06-10 11:25 . 2012-06-10 11:25 -------- d-----w- c:\programdata\Avira

2012-06-10 11:25 . 2012-06-10 11:25 -------- d-----w- c:\program files (x86)\Avira

2012-06-10 11:25 . 2012-05-02 13:24 27760 ----a-w- c:\windows\system32\drivers\avkmgr.sys

2012-06-10 11:25 . 2012-02-15 13:04 97312 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2012-06-10 11:25 . 2012-02-15 13:04 132320 ----a-w- c:\windows\system32\drivers\avipbb.sys

2012-06-10 11:01 . 2012-06-10 11:01 512 ----a-w- C:\PhysicalMBR.bin

2012-06-10 10:49 . 2012-06-10 10:49 -------- d-sh--w- C:\DrWeb Quarantine

2012-06-09 17:53 . 2012-06-10 10:24 -------- d-----w- c:\users\Nathalie\Doctor Web

2012-06-09 17:48 . 2012-06-09 17:48 -------- d-----w- c:\program files\Common Files\Doctor Web

2012-06-09 17:48 . 2012-06-10 10:50 -------- d-----w- c:\program files (x86)\DrWeb

2012-06-09 17:48 . 2012-06-10 10:49 -------- d-----w- c:\programdata\Doctor Web

2012-06-09 17:10 . 2012-06-09 17:10 -------- d-----w- c:\users\Nathalie\DoctorWeb

2012-06-09 07:15 . 2012-05-08 17:02 8955792 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{12E90495-4183-465F-80C3-2E533C8CFA0F}\mpengine.dll

2012-06-08 16:16 . 2012-06-08 16:16 61440 ----a-w- c:\windows\SysWow64\drivers\znwquzs.sys

2012-06-08 16:12 . 2012-06-08 16:12 61440 ----a-w- c:\windows\SysWow64\drivers\lhro.sys

2012-06-08 16:07 . 2012-06-08 16:07 61440 ----a-w- c:\windows\SysWow64\drivers\rymcnvli.sys

2012-06-08 16:02 . 2012-06-08 16:02 61440 ----a-w- c:\windows\SysWow64\drivers\oebz.sys

2012-06-08 15:27 . 2012-06-08 15:27 61440 ----a-w- c:\windows\SysWow64\drivers\insaj.sys

2012-06-08 15:13 . 2012-06-08 15:13 61440 ----a-w- c:\windows\SysWow64\drivers\mobk.sys

2012-06-08 10:23 . 2012-06-08 10:23 61440 ----a-w- c:\windows\SysWow64\drivers\rnah.sys

2012-06-08 10:19 . 2012-06-08 10:19 61440 ----a-w- c:\windows\SysWow64\drivers\iecfbhpe.sys

2012-06-07 17:48 . 2012-06-07 17:48 -------- d-----w- C:\_OTM

2012-06-07 17:26 . 2012-06-07 17:26 -------- d-----w- c:\users\Nathalie\AppData\Roaming\Malwarebytes

2012-06-07 17:26 . 2012-06-07 17:26 -------- d-----w- c:\programdata\Malwarebytes

2012-06-07 17:26 . 2012-04-04 13:56 24904 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-06-07 17:26 . 2012-06-07 17:26 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware

2012-06-07 15:36 . 2012-06-07 15:36 -------- d-----w- c:\program files (x86)\SEAF

2012-06-07 15:32 . 2012-07-06 15:50 -------- d-----w- C:\ZHP

2012-06-07 15:32 . 2012-06-07 15:33 -------- d-----w- c:\program files (x86)\ZHPDiag

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-06-22 16:31 . 2011-03-28 16:36 19736 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2012-05-06 12:45 . 2012-05-06 12:44 283200 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-02-15 258512]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]

2009-07-01 09:49 98304 ----a-w- c:\windows\System32\VESWinlogon.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux2"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

.

R0 akngo;akngo;c:\windows\system32\drivers\iecfbhpe.sys [x]

R0 eambjmhd;eambjmhd;c:\windows\system32\drivers\oebz.sys [x]

R0 fgjt;fgjt;c:\windows\system32\drivers\rymcnvli.sys [x]

R0 hhsv;hhsv;c:\windows\system32\drivers\insaj.sys [x]

R0 hvdu;hvdu;c:\windows\system32\drivers\znwquzs.sys [x]

R0 midfak;midfak;c:\windows\system32\drivers\lhro.sys [x]

R0 slvka;slvka;c:\windows\system32\drivers\mobk.sys [x]

R0 yfurogyx;yfurogyx;c:\windows\system32\drivers\rnah.sys [x]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe [2009-06-26 362992]

R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-07-30 35104]

R3 IntcHdmiAddService;Intel® High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-08-05 139264]

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files (x86)\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 31125880]

R3 MotioninJoyXFilter;MotioninJoy Virtual Xinput device Filter Driver;c:\windows\system32\DRIVERS\MijXfilt.sys [2011-11-10 115272]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-16 113120]

R3 netw5v64;Pilote de carte de liaison WiFi sans fil Intel® 5000 Series pour Windows Vista 64 bits;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368]

R3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2009-06-26 313840]

R3 SOHCImp;VAIO Media plus Content Importer;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-07-27 120104]

R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-07-27 70952]

R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-07-27 427304]

R3 SOHDs;VAIO Media plus Device Searcher;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-07-27 75048]

R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-07-27 91432]

R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [2009-06-10 292864]

R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [2009-06-10 1485312]

R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [2009-06-10 740864]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-02-15 52736]

R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-06-26 468264]

R3 VcmINSMgr;VAIO Content Metadata Intelligent Network Service Manager;c:\program files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe [2009-06-26 357672]

R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe [2009-06-17 110888]

R3 VUAgent;VUAgent;c:\program files\Sony\VAIO Update 5\VUAgent.exe [2010-04-09 1223024]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-10-11 1255736]

S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2009-05-20 55280]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-05-02 27760]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-05-06 283200]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-07-27 203264]

S2 AntiVirSchedulerService;Avira Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-02-15 86224]

S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files (x86)\McAfee\SiteAdvisor\McSACore.exe [2012-01-13 103440]

S2 RtkAudioService;Realtek Audio Service;c:\program files\Realtek\Audio\HDA\RtkAudioService64.exe [2009-07-24 189984]

S2 uCamMonitor;CamMonitor;c:\program files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]

S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2009-07-16 411496]

S2 VCFw;VAIO Content Folder Watcher;c:\program files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-07-22 642920]

S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [2009-08-12 522240]

S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2009-05-26 19968]

S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2009-06-11 11392]

S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-07-31 393216]

 

.

.

--------- X64 Entries -----------

.

.

------- Examen supplémentaire -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://start.funmoods.com/?f=1&a=fmtgl

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local

IE: &Envoyer à OneNote - c:\progra~2\MICROS~1\Office14\ONBttnIE.dll/105

IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

Handler: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - c:\program files (x86)\BrowserCompanion\tdataprotocol.dll

Handler: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - c:\program files (x86)\BrowserCompanion\tdataprotocol.dll

Handler: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - c:\program files (x86)\BrowserCompanion\tdataprotocol.dll

FF - ProfilePath - c:\users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\4sugmv29.default\

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - ORPHELINS SUPPRIMES - - - -

.

AddRemove-BrowserCompanion - c:\program files (x86)\BrowserCompanion\uninstall.exe

.

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\LocalService\Software\Microsoft\Windows NT\CurrentVersion\Windows]

@DACL=(02 0000)

"UserSelectedDefault"=dword:00000000

"Device"="Envoyer à OneNote 2010,winspool,nul:"

.

[HKEY_USERS\LocalService\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

@DACL=(02 0000)

"ExcludeProfileDirs"="AppData\\Local;AppData\\LocalLow;$Recycle.Bin"

.

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows]

@DACL=(02 0000)

"UserSelectedDefault"=dword:00000000

"Device"="Envoyer à OneNote 2010,winspool,nul:"

.

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

@DACL=(02 0000)

"ExcludeProfileDirs"="AppData\\Local;AppData\\LocalLow;$Recycle.Bin"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10a.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10a.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]

@Denied: (A 2) (Everyone)

@="IFlashBroker2"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]

"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,

00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]

@Denied: (A) (Everyone)

"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]

@Denied: (A) (Everyone)

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]

"Key"="ActionsPane3"

"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Heure de fin: 2012-07-07 09:36:48

ComboFix-quarantined-files.txt 2012-07-07 07:36

.

Avant-CF: 133 949 673 472 octets libres

Après-CF: 133 273 849 856 octets libres

.

- - End Of File - - DB50D456DCF493D7C84487B15BFE8F53

[pear]

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir(Choose File) pour trouver ces fichiers

c:\windows\system32\drivers\iecfbhpe.sys

c:\windows\system32\drivers\oebz.sys

c:\windows\system32\drivers\rymcnvli.sys

c:\windows\system32\drivers\insaj.sys

c:\windows\system32\drivers\znwquzs.sys

c:\windows\system32\drivers\lhro.sys

c:\windows\system32\drivers\mobk.sys

c:\windows\system32\drivers\rnah.sys

et cliquez sur "envoyer le fichier"(Scan it)

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

 

 

Télécharger SEAF de C_XX

 

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

Occurences à rechercher, séparées par une virgules ->

Taper

funmoods

Cocher"Chercher également dans le régistre"

Calculer le cheksum:Md5 .

Cocher Informations supplémentaires

Après la recherche un rapport s'affiche à l'écran que vous copiez/collez dans votre réponse.

Il est aussi sauvegardé là:C:\SEAFlog.txt

[nath09]

HA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae

File name: iecfbhpe.sys

Detection ratio: 5 / 42

Analysis date: 2012-07-07 09:22:54 UTC ( 0 minute ago )

0

0

More details

Antivirus Result Update

AhnLab-V3 - 20120707

AntiVir - 20120707

Antiy-AVL - 20120707

Avast - 20120707

AVG - 20120707

BitDefender - 20120707

ByteHero - 20120613

CAT-QuickHeal - 20120707

ClamAV - 20120707

Commtouch - 20120707

Comodo - 20120707

DrWeb - 20120707

Emsisoft - 20120707

eSafe Win32.Banker 20120705

F-Prot - 20120706

F-Secure - 20120707

Fortinet - 20120707

GData - 20120707

Ikarus - 20120707

Jiangmin Hoax.Agent.f 20120707

K7AntiVirus Trojan 20120706

Kaspersky - 20120707

McAfee - 20120707

McAfee-GW-Edition - 20120707

Microsoft - 20120707

NOD32 - 20120706

Norman - 20120706

nProtect Trojan/W32.Agent.61440.JQ 20120707

Panda - 20120707

PCTools - 20120707

Rising - 20120706

Sophos - 20120707

SUPERAntiSpyware - 20120707

Symantec - 20120707

TheHacker - 20120706

TotalDefense - 20120707

TrendMicro - 20120707

TrendMicro-HouseCall - 20120706

VBA32 - 20120706

VIPRE - 20120707

ViRobot Hoax..Agent.61440 20120707

VirusBuster

 

SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae

File name: oebz.sys

Detection ratio: 5 / 42

Analysis date: 2012-07-07 09:24:45 UTC ( 0 minute ago )

0

0

More details

Antivirus Result Update

AhnLab-V3 - 20120705

AntiVir - 20120705

Antiy-AVL - 20120705

Avast - 20120705

AVG - 20120705

BitDefender - 20120705

ByteHero - 20120704

CAT-QuickHeal - 20120705

ClamAV - 20120705

Commtouch - 20120705

Comodo - 20120705

DrWeb - 20120706

Emsisoft - 20120705

eSafe Win32.Banker 20120705

F-Prot - 20120705

F-Secure - 20120706

Fortinet - 20120705

GData - 20120705

Ikarus - 20120705

Jiangmin Hoax.Agent.f 20120705

K7AntiVirus Trojan 20120705

Kaspersky - 20120705

McAfee - 20120706

McAfee-GW-Edition - 20120705

Microsoft - 20120705

NOD32 - 20120705

Norman - 20120705

nProtect Trojan/W32.Agent.61440.JQ 20120706

Panda - 20120705

PCTools - 20120705

Rising - 20120705

Sophos - 20120705

SUPERAntiSpyware - 20120705

Symantec - 20120706

TheHacker - 20120704

TotalDefense - 20120705

TrendMicro - 20120706

TrendMicro-HouseCall - 20120705

VBA32 - 20120705

VIPRE - 20120705

ViRobot Hoax..Agent.61440 20120705

VirusBuster - 20120705

[nath09]

SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae

File name: rymcnvli.sys

Detection ratio: 5 / 42

Analysis date: 2012-07-07 09:26:25 UTC ( 1 minute ago )

0

0

More details

Antivirus Result Update

AhnLab-V3 - 20120707

AntiVir - 20120707

Antiy-AVL - 20120707

Avast - 20120707

AVG - 20120707

BitDefender - 20120707

ByteHero - 20120704

CAT-QuickHeal - 20120707

ClamAV - 20120707

Commtouch - 20120707

Comodo - 20120707

DrWeb - 20120707

Emsisoft - 20120707

eSafe Win32.Banker 20120705

F-Prot - 20120706

F-Secure - 20120707

Fortinet - 20120707

GData - 20120707

Ikarus - 20120707

Jiangmin Hoax.Agent.f 20120707

K7AntiVirus Trojan 20120706

Kaspersky - 20120707

McAfee - 20120707

McAfee-GW-Edition - 20120707

Microsoft - 20120707

NOD32 - 20120706

Norman - 20120706

nProtect Trojan/W32.Agent.61440.JQ 20120707

Panda - 20120707

PCTools - 20120707

Rising - 20120706

Sophos - 20120707

SUPERAntiSpyware - 20120707

Symantec - 20120707

TheHacker - 20120706

TotalDefense - 20120707

TrendMicro - 20120707

TrendMicro-HouseCall - 20120706

VBA32 - 20120706

VIPRE - 20120707

ViRobot Hoax..Agent.61440 20120707

VirusBuster - 20120706

 

SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae

File name: insaj.sys

Detection ratio: 5 / 42

Analysis date: 2012-07-07 09:30:02 UTC ( 0 minute ago )

0

0

More details

Antivirus Result Update

AhnLab-V3 - 20120707

AntiVir - 20120707

Antiy-AVL - 20120707

Avast - 20120707

AVG - 20120707

BitDefender - 20120707

ByteHero - 20120613

CAT-QuickHeal - 20120707

ClamAV - 20120707

Commtouch - 20120707

Comodo - 20120707

DrWeb - 20120707

Emsisoft - 20120707

eSafe Win32.Banker 20120705

F-Prot - 20120706

F-Secure - 20120707

Fortinet - 20120707

GData - 20120707

Ikarus - 20120707

Jiangmin Hoax.Agent.f 20120707

K7AntiVirus Trojan 20120706

Kaspersky - 20120707

McAfee - 20120707

McAfee-GW-Edition - 20120707

Microsoft - 20120707

NOD32 - 20120706

Norman - 20120706

nProtect Trojan/W32.Agent.61440.JQ 20120707

Panda - 20120707

PCTools - 20120707

Rising - 20120706

Sophos - 20120707

SUPERAntiSpyware - 20120707

Symantec - 20120707

TheHacker - 20120706

TotalDefense - 20120707

TrendMicro - 20120707

TrendMicro-HouseCall - 20120706

VBA32 - 20120706

VIPRE - 20120707

ViRobot Hoax..Agent.61440 20120707

VirusBuster - 20120706

[nath09]

Rapport SEAF

 

1. ========================= SEAF 1.0.1.0 - C_XX

2.

3. Commencé à: 11:32:33 le 07/07/2012

4.

5. Valeur(s) recherchée(s):

6. funmoods

7.

8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès

9.

10. (!) --- Calcul du Hash "MD5"

11. (!) --- Informations supplémentaires

12. (!) --- Recherche registre

13.

14. ====== Fichier(s) ======

15.

16.

17. "C:\Users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\4sugmv29.default\searchplugins\funmoods.xml" [ NOT_CONTENT_INDEXED|ARCHIVE | 2 Ko ]

18. TC: 26/11/2011,02:07:18 | TM: 18/04/2012,18:16:27 | DA: 18/04/2012,18:16:27

19.

20. Hash MD5: B91CEAB8A4198AD8464EACFE751959BC

21.

22.

23. =========================

24.

25.

26.

27. ====== Entrée(s) du registre ======

28.

29.

30. [HKU\S-1-5-21-2540117076-1113756704-1663949447-1000\Software\Funmoods]

31. DA: 06/07/2012 22:51:19

32.

33. [HKU\S-1-5-21-2540117076-1113756704-1663949447-1000\Software\Microsoft\Internet Explorer\Main]

34. "Start Page"="http://start.funmoods.com/?f=1&a=fmtgl" (REG_SZ)

35.

36. =========================

37.

38. Fin à: 11:36:37 le 07/07/2012

39. 545155 Éléments analysés

40.

41. =========================

42. E.O.F

[pear]

# Dans le bloc-note ,copiez-collez ces lignes :

Killall::

File::

c:\users\Nathalie\AppData\Roaming\pdfforge

C:\Users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\4sugmv29.default\searchplugins\funmoods.xml

 

Registry::

[-HKU\S-1-5-21-2540117076-1113756704-1663949447-1000\Software\Funmoods]

 

[HKU\S-1-5-21-2540117076-1113756704-1663949447-1000\Software\Microsoft\Internet Explorer\Main]

"Start Page"=-

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[/color]

Modifié le 7 juillet 2012 par pear