Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Win32:Malware-gen et Win32:Downloader-PKU


Messages recommandés

Bonjour,

 

Depuis trois quatre jours Avast m'envoi des alertes répétés concernant 2 virus : Win32:Malware-gen et Win32:Downloader-PKU.

Après une première analyse antivirus infructueuse j'ai parcouru le net à la recherche d'une réponse à ce problème.

 

J'ai parcouru ce topic qui semble aborder le sujet et j'ai donc testé Adwcleaner, ZHDiag, SFT, sans grand succès.

Mon analyse MBAM m'a rapporté quelques virus dont le fameux "Trojan.Dropper.BCMiner" mais le problème persiste.

 

On parle aussi de ComboFix pour résoudre ce problème mais ça semble être une mesure radicale. ^^

Quelqu'un pourrait-il m'aider à y voir plus clair ? (Dois-je montrer les rapports de toutes les analyses faites par MBAM etc. ?)

 

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Re ;)

 

Poste les rapports de MBAM et d'AdwCleaner stp. Héberge-les si trop longs.

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Quel est le problème pour poster les rapports demandés?

 

Bon,

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

  • attention.gifSi la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
     
    consolerestaucf.jpg
     
  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Double-clique ComboFix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

  • Upvote 1
Lien vers le commentaire
Partager sur d’autres sites

Désolé du retard, je t'ai fait poiroté :/. J'ai eu un petit contretemps.

Voilà le rapport Adwcleaner :

 

# AdwCleaner v1.703 - Rapport créé le 31/07/2012 à 19:52:22

# Mis à jour le 20/07/2012 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : sdefrutos - SDEFRUTOS-PC

# Exécuté depuis : C:\Users\sdefrutos\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

Clé Supprimée : HKLM\SOFTWARE\DT Soft

 

***** [Registre - GUID] *****

 

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v14.0.1 (fr)

 

Nom du profil : default

Fichier : C:\Users\sdefrutos\AppData\Roaming\Mozilla\Firefox\Profiles\gifr5ron.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v20.0.1132.57

 

Fichier : C:\Users\sdefrutos\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [1274 octets] - [28/07/2012 16:47:00]

AdwCleaner[R1].txt - [1226 octets] - [28/07/2012 16:59:05]

AdwCleaner[s2].txt - [1289 octets] - [28/07/2012 16:59:31]

AdwCleaner[s3].txt - [1349 octets] - [28/07/2012 17:36:27]

AdwCleaner[s4].txt - [1409 octets] - [29/07/2012 20:59:01]

AdwCleaner[s5].txt - [312 octets] - [31/07/2012 19:32:30]

AdwCleaner[s6].txt - [1399 octets] - [31/07/2012 19:52:22]

 

########## EOF - C:\AdwCleaner[s6].txt - [1527 octets] ##########

 

Et voilà celui de MBAM :

 

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.07.30.10

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

sdefrutos :: SDEFRUTOS-PC [administrateur]

 

31/07/2012 13:45:55

mbam-log-2012-07-31 (13-45-55).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|H:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 836287

Temps écoulé: 2 heure(s), 39 minute(s), 37 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 9

C:\Windows\Installer\{a1476a14-d82e-c122-7877-ecac95e3c14d}\U\[email protected] (Trojan.Dropper.BCMiner) -> Suppression au redémarrage.

E:\Adobe.Master.Collection.CS4.[Darkman]\CRACK\Adobe CS4 Master Collection Keygen.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

E:\logiciel musique\Propellerheads.Reason.v4.0.HYBRID.DVDR\KEYGEN.EXE (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

E:\logiciel musique\Sound Forge 7.0 + MP3 Plug\keygen.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

E:\logiciel musique\Sound Forge 7.0 + MP3 Plug\MP3 Plugin 2.0\damn_MP3Plugin_kg.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

E:\logiciel musique\Sound Forge 8.0 Incl. Keygen\Sony_Sound_Forge_8.0\Damn_MainConcept_MPEG_1&2_Plugin_v1.0_Keygen.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

E:\logiciel musique\Sound Forge 8.0 Incl. Keygen\Sony_Sound_Forge_8.0\Multi-KeyGenerator.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

E:\logiciel musique\Sound Forge 8.0 Incl. Keygen\Sony_Sound_Forge_8.0\SF8_Retail.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

E:\logiciel musique\Sound Forge 8.0 Incl. Keygen\Sony_Sound_Forge_8.0\SF8_Trial.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Je n'ai pas encore lancé le ComboFix.

Je verrai ça demain, à moins que tu ais une contrindication. :)

 

Merci de ta patience.

Lien vers le commentaire
Partager sur d’autres sites

Bon tout est bien qui fini bien.

Un enième reboot a été nécessaire après l'affichage du rapport de Combofix mais tout est revenue à la normale.

Combofix a bien fait son taf. D'ailleurs comment se fait-il qu'il soit à utiliser avec autant de précautions ?

 

Sinon encore merci pour ton assistance.

 

Voici le rapport de ComboFix :

 

ComboFix 12-07-31.02 - sdefrutos 01/08/2012 14:04:47.1.4 - x64

Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.8174.6654 [GMT 2:00]

Lancé depuis: c:\users\sdefrutos\Desktop\ComboFix.exe

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\sdefrutos\AppData\Roaming\FCB38B.dat

c:\users\sdefrutos\AppData\Roaming\Love

c:\users\sdefrutos\AppData\Roaming\Love\mari0\options.txt

c:\windows\assembly\GAC_32\Desktop.ini

c:\windows\assembly\GAC_64\Desktop.ini

c:\windows\Installer\{a1476a14-d82e-c122-7877-ecac95e3c14d}\@

c:\windows\Installer\{a1476a14-d82e-c122-7877-ecac95e3c14d}\U\[email protected]

c:\windows\Installer\{a1476a14-d82e-c122-7877-ecac95e3c14d}\U\[email protected]

c:\windows\Installer\{a1476a14-d82e-c122-7877-ecac95e3c14d}\U\[email protected]

c:\windows\Installer\{a1476a14-d82e-c122-7877-ecac95e3c14d}\U\[email protected]

c:\windows\Installer\{a1476a14-d82e-c122-7877-ecac95e3c14d}\U\[email protected]

c:\windows\SysWow64\DEBUG.log

.

Une copie infectée de c:\windows\system32\services.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-07-01 au 2012-08-01 ))))))))))))))))))))))))))))))))))))

.

.

2012-07-30 20:09 . 2012-07-30 20:09 -------- d-----w- c:\users\sdefrutos\AppData\Roaming\Malwarebytes

2012-07-30 20:09 . 2012-07-30 20:09 -------- d-----w- c:\programdata\Malwarebytes

2012-07-30 20:09 . 2012-07-30 20:09 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware

2012-07-30 20:09 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-07-30 19:15 . 2012-07-30 19:15 -------- d-----w- c:\users\sdefrutos\AppData\Local\Macromedia

2012-07-30 17:06 . 2012-07-30 18:50 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe

2012-07-28 15:30 . 2012-07-28 15:30 -------- d-----w- c:\program files\CCleaner

2012-07-28 15:25 . 2012-07-29 19:21 512 ----a-w- C:\PhysicalDisk0_MBR.bin

2012-07-28 15:10 . 2012-07-29 19:07 -------- d-----w- C:\ZHP

2012-07-28 14:58 . 2012-07-28 14:58 -------- d-----w- c:\program files (x86)\Hosts_Anti_Adwares_PUPs

2012-07-28 11:53 . 2012-07-28 11:53 -------- d-----w- c:\programdata\ASign

2012-07-28 11:41 . 2012-07-28 11:41 -------- d-----w- c:\program files (x86)\ARC SYSTEM WORKS

2012-07-27 16:00 . 2012-06-29 10:04 9133488 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{39E76A8B-3E1C-4AAC-874A-EFEF7C3F5A19}\mpengine.dll

2012-07-17 21:22 . 2012-06-12 03:08 3148800 ----a-w- c:\windows\system32\win32k.sys

2012-07-17 19:17 . 2012-06-06 06:06 2004480 ----a-w- c:\windows\system32\msxml6.dll

2012-07-17 19:16 . 2012-06-06 06:05 466944 ----a-w- c:\program files\Common Files\System\ado\msadomd.dll

2012-07-17 19:16 . 2012-06-06 06:05 1499136 ----a-w- c:\program files\Common Files\System\ado\msado15.dll

2012-07-17 19:16 . 2012-06-06 05:05 1019904 ----a-w- c:\program files (x86)\Common Files\System\ado\msado15.dll

2012-07-17 19:16 . 2012-06-06 06:05 495616 ----a-w- c:\program files\Common Files\System\ado\msadox.dll

2012-07-17 19:16 . 2012-06-06 06:05 61440 ----a-w- c:\program files\Common Files\System\ado\msador15.dll

2012-07-17 19:16 . 2012-06-06 06:05 258048 ----a-w- c:\program files\Common Files\System\msadc\msadco.dll

2012-07-17 19:16 . 2012-06-06 05:05 143360 ----a-w- c:\program files (x86)\Common Files\System\ado\msjro.dll

2012-07-17 19:16 . 2012-06-06 05:05 372736 ----a-w- c:\program files (x86)\Common Files\System\ado\msadox.dll

2012-07-17 19:16 . 2012-06-06 05:05 57344 ----a-w- c:\program files (x86)\Common Files\System\ado\msador15.dll

2012-07-17 19:16 . 2012-06-06 05:05 352256 ----a-w- c:\program files (x86)\Common Files\System\ado\msadomd.dll

2012-07-17 19:16 . 2012-06-06 05:05 212992 ----a-w- c:\program files (x86)\Common Files\System\msadc\msadco.dll

2012-07-17 19:16 . 2012-06-06 05:03 805376 ----a-w- c:\windows\SysWow64\cdosys.dll

2012-07-17 19:16 . 2012-06-06 06:02 1133568 ----a-w- c:\windows\system32\cdosys.dll

2012-07-08 18:51 . 2009-05-18 11:17 34152 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys

2012-07-08 18:51 . 2008-04-17 10:12 126312 ----a-w- c:\windows\system32\GEARAspi64.dll

2012-07-08 18:51 . 2008-04-17 10:12 107368 ----a-w- c:\windows\SysWow64\GEARAspi.dll

2012-07-08 18:50 . 2012-07-08 18:51 -------- d-----w- c:\program files\iTunes

2012-07-08 18:50 . 2012-07-08 18:51 -------- d-----w- c:\program files (x86)\iTunes

2012-07-08 18:50 . 2012-07-08 18:50 -------- d-----w- c:\program files\iPod

2012-07-08 18:50 . 2012-07-08 18:50 -------- d-----w- c:\program files (x86)\Apple Software Update

2012-07-08 18:49 . 2012-07-08 18:49 -------- d-----w- c:\program files\Bonjour

2012-07-08 18:49 . 2012-07-08 18:49 -------- d-----w- c:\program files (x86)\Bonjour

2012-07-08 18:49 . 2012-07-08 18:50 -------- d-----w- c:\program files (x86)\Common Files\Apple

2012-07-06 21:34 . 2010-02-23 08:16 294912 ----a-w- c:\windows\system32\browserchoice.exe

2012-07-02 17:31 . 2009-08-19 22:50 24416 ----a-r- c:\windows\system32\AdobePDFUI.dll

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-07-30 18:50 . 2011-10-11 11:33 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-07-17 21:21 . 2011-10-26 18:49 59701280 ----a-w- c:\windows\system32\MRT.exe

2012-06-09 14:06 . 2012-06-09 14:06 368640 ----a-w- c:\windows\SysWow64\ReWire.dll

2012-06-09 14:06 . 2012-06-09 14:06 233472 ----a-w- c:\windows\SysWow64\REX Shared Library.dll

2012-06-02 22:19 . 2012-06-21 16:40 38424 ----a-w- c:\windows\system32\wups.dll

2012-06-02 22:19 . 2012-06-21 16:40 2428952 ----a-w- c:\windows\system32\wuaueng.dll

2012-06-02 22:19 . 2012-06-21 16:40 57880 ----a-w- c:\windows\system32\wuauclt.exe

2012-06-02 22:19 . 2012-06-21 16:40 44056 ----a-w- c:\windows\system32\wups2.dll

2012-06-02 22:19 . 2012-06-21 16:40 701976 ----a-w- c:\windows\system32\wuapi.dll

2012-06-02 22:15 . 2012-06-21 16:40 2622464 ----a-w- c:\windows\system32\wucltux.dll

2012-06-02 22:15 . 2012-06-21 16:40 99840 ----a-w- c:\windows\system32\wudriver.dll

2012-06-02 13:19 . 2012-06-21 16:40 186752 ----a-w- c:\windows\system32\wuwebv.dll

2012-06-02 13:15 . 2012-06-21 16:40 36864 ----a-w- c:\windows\system32\wuapp.exe

2012-05-31 10:25 . 2010-11-21 03:27 279656 ------w- c:\windows\system32\MpSigStub.exe

2012-05-27 21:30 . 2012-05-27 21:30 19736 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2012-05-04 11:06 . 2012-06-13 16:15 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe

2012-05-04 10:03 . 2012-06-13 16:15 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe

2012-05-04 10:03 . 2012-06-13 16:15 3913072 ----a-w- c:\windows\SysWow64\ntoskrnl.exe

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02 94208 ----a-w- c:\users\sdefrutos\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02 94208 ----a-w- c:\users\sdefrutos\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02 94208 ----a-w- c:\users\sdefrutos\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Facebook Update"="c:\users\sdefrutos\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-17 138096]

"Steam"="c:\program files (x86)\Steam\Steam.exe" [2012-03-08 1242448]

"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-04-11 3672384]

"Spotify Web Helper"="c:\users\sdefrutos\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-07-23 1193176]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"RoxWatchTray"="c:\program files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatchTray12OEM.exe" [2010-11-25 240112]

"AdobeCS4ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2012-02-09 611712]

"Acrobat Assistant 8.0"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2012-03-26 640440]

"amd_dc_opt"="c:\program files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]

"sketchmanager"="c:\program files (x86)\Wacom\Inkling Sketch Manager\SketchManager.exe" [2011-08-01 3659776]

"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]

"HOSTS Anti-Adware_PUPs"="c:\program files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe" [2012-07-28 302961]

.

c:\users\sdefrutos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dropbox.lnk - c:\users\sdefrutos\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]

Facebook Messenger.lnk - c:\users\sdefrutos\AppData\Local\Facebook\Messenger\2.1.4590.0\FacebookMessenger.exe [2012-7-26 244656]

OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"mixer3"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]

"UpdReg"=c:\windows\UpdReg.EXE

"Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe"

.

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 HOSTS Anti-PUPs;HOSTS Anti-PUPs;c:\program files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [2012-07-28 285795]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944]

R3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files (x86)\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [2012-02-09 288112]

R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-30 250056]

R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-04-01 183560]

R3 FLEXnet Licensing Service 64;FLEXnet Licensing Service 64;c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe [2011-11-05 1038088]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-20 113120]

R3 netr28ux;Pilote de carte réseau sans fil RT2870 USB pour Vista;c:\windows\system32\DRIVERS\netr28ux.sys [2009-06-10 867328]

R3 RTTEAMPT;Realtek Teaming Protocol Driver (NDIS 6.2);c:\windows\system32\DRIVERS\RtTeam60.sys [2010-01-15 48416]

R3 RTVLANPT;Realtek Vlan Protocol Driver (NDIS 6.2);c:\windows\system32\DRIVERS\RtVlan60.sys [2010-01-15 29472]

R3 TEAM;Realtek Virtual Miniport Driver for Teaming (NDIS 6.2);c:\windows\system32\DRIVERS\RtTeam60.sys [2010-01-15 48416]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]

R3 TsUsbGD;%TsUsbGD.DeviceDesc.Generic%;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-02-15 52736]

R3 VLAN;Realtek Virtual Miniport Driver for VLAN (NDIS 6.2);c:\windows\system32\DRIVERS\RtVLAN60.sys [2010-01-15 29472]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-10-19 1255736]

R4 AlienFusionService;Alienware Fusion Service;c:\program files\Alienware\Command Center\AlienFusionService.exe [2011-03-21 15296]

R4 RoxMediaDB12OEM;RoxMediaDB12OEM;c:\program files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxMediaDB12OEM.exe [2010-11-25 1116656]

R4 RoxWatch12;Roxio Hard Drive Watcher 12;c:\program files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatch12OEM.exe [2010-11-25 219632]

R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]

S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2010-03-19 55856]

S1 aswSP;avast! Self Protection; [x]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-04-16 283200]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 22608]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2008-03-29 63056]

S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\program files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-09-13 13336]

S2 RtNdPt60;Realtek NDIS Protocol Driver;c:\windows\system32\DRIVERS\RtNdPt60.sys [2010-01-15 32544]

S2 SftService;SoftThinks Agent Service;c:\program files (x86)\AlienRespawn\sftservice.EXE [2011-07-08 1692480]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-04-03 378472]

S3 MEIx64;Intel® Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2010-09-21 56344]

S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-07-27 83080]

S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-07-27 184968]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2011-04-19 174184]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-03-22 347680]

.

.

Contenu du dossier 'Tâches planifiées'

.

2012-08-01 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-30 18:50]

.

2012-07-31 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3835373142-1034203442-4253454764-1000Core.job

- c:\users\sdefrutos\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-23 20:16]

.

2012-08-01 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3835373142-1034203442-4253454764-1000UA.job

- c:\users\sdefrutos\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-23 20:16]

.

2012-08-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3835373142-1034203442-4253454764-1000Core.job

- c:\users\sdefrutos\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-02 21:31]

.

2012-08-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3835373142-1034203442-4253454764-1000UA.job

- c:\users\sdefrutos\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-02 21:31]

.

2012-07-05 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job

- c:\program files\AlienAutopsy\uaclauncher.exe [2011-03-22 17:20]

.

2012-08-01 c:\windows\Tasks\SystemToolsDailyTest.job

- c:\program files\AlienAutopsy\pcdrcui.exe [2011-03-22 17:20]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02 97792 ----a-w- c:\users\sdefrutos\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02 97792 ----a-w- c:\users\sdefrutos\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02 97792 ----a-w- c:\users\sdefrutos\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02 97792 ----a-w- c:\users\sdefrutos\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RunDLLEntry_THXCfg"="c:\windows\system32\THXCfg64.dll" [2009-10-15 17920]

"RunDLLEntry_EptMon"="c:\windows\system32\EptMon64.dll" [2009-10-15 21504]

"Command Center Controllers"="c:\program files\Alienware\Command Center\AWCCStartupOrchestrator.exe" [2011-03-21 13256]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Examen supplémentaire -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://www.dell.fr/alienware

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local

IE: Ajouter au fichier PDF existant - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir au format PDF - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien en Adobe PDF - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convertir la cible du lien en un fichier PDF existant - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

Trusted Zone: clonewarsadventures.com

Trusted Zone: freerealms.com

Trusted Zone: soe.com

Trusted Zone: sony.com

TCP: DhcpNameServer = 212.27.40.240 212.27.40.241

FF - ProfilePath - c:\users\sdefrutos\AppData\Roaming\Mozilla\Firefox\Profiles\gifr5ron.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Toolbar-Locked - (no file)

Toolbar-Locked - (no file)

HKLM-Run-(par défaut) - (no file)

.

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-3835373142-1034203442-4253454764-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="WindowsLiveMail.Email.1"

.

[HKEY_USERS\S-1-5-21-3835373142-1034203442-4253454764-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="WindowsLiveMail.VCard.1"

.

[HKEY_USERS\S-1-5-21-3835373142-1034203442-4253454764-1000\Software\SecuROM\License information*]

"datasecu"=hex:01,a4,de,4d,dc,51,bc,a1,75,02,a6,4c,07,92,76,7e,a3,b8,ce,22,88,

55,9f,37,4a,4f,ad,06,08,f0,5c,7c,e5,c2,b8,f7,d7,fd,ef,d1,54,a8,53,f7,09,91,\

"rkeysecu"=hex:dc,ac,06,c8,85,f4,a5,c5,3a,0d,f2,56,5d,61,fe,58

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_268_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_268_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_268.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_268.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_268.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_268.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\program files (x86)\AlienRespawn\TOASTER.EXE

c:\program files (x86)\AlienRespawn\COMPONENTS\SCHEDULER\STSERVICE.EXE

c:\program files (x86)\Common Files\Java\Java Update\jusched.exe

.

**************************************************************************

.

Heure de fin: 2012-08-01 18:30:29 - La machine a redémarré

ComboFix-quarantined-files.txt 2012-08-01 16:30

.

Avant-CF: 59 270 467 584 octets libres

Après-CF: 55 236 202 496 octets libres

.

- - End Of File - - 9C7F1490B0B02DC546A222A787D78EE5

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Parfait.

 

D'ailleurs comment se fait-il qu'il soit à utiliser avec autant de précautions ?

Le tuto officiel le dit: l'extrême puissance de cet outil peut faire des dégâts sur un système s'il est mal employé; d'ailleurs, il n'est pas toujours aussi facile de se débarrasser d'un malware avec combofix. Il faut parfois utiliser des scripts extrêmement précis créés par le conseiller qui a ton sujet en charge.

 

Et puis l'outil peut également connaître certains bugs, le créateur est un expert mais c'est un humain et l'erreur est humaine.

Le grand public n'est pas averti de ces bugs passagers et nous-mêmes ne sommes au courant que lorsque cela nous est rapporté dans nos espaces privés: c'est pour cette raison qu'il ne faut jamais l'utiliser sans avoir été conseillé par une personne compétente.

 

---------------------

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis tournevis.jpg et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe loupe-334dd63.png pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...