Ordi infecté...

JackDaniels123 · le 26 août 2012

Effectivement, j'ai deja nettoyer quelques ordi avant mais j'été dépasse par celui ci!

Voici le rapport:

ComboFix 12-08-25.04 - Anne-Claire 25/08/2012 22:52:30.1.1 - x86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3001.1730 [GMT 2:00]

Lancé depuis: c:\users\Anne-Claire\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\programdata\hpeE8B1.dll

c:\users\Anne-Claire\AppData\Local\{da2acb81-c61f-8d66-115c-0eab2c5097ac}

c:\users\Anne-Claire\AppData\Local\{da2acb81-c61f-8d66-115c-0eab2c5097ac}\@

c:\users\Anne-Claire\AppData\Local\{da2acb81-c61f-8d66-115c-0eab2c5097ac}\n

c:\users\Anne-Claire\AppData\Local\{da2acb81-c61f-8d66-115c-0eab2c5097ac}\U\00000001.@

c:\users\Anne-Claire\AppData\Local\{da2acb81-c61f-8d66-115c-0eab2c5097ac}\U\80000000.@

c:\users\Anne-Claire\AppData\Local\{da2acb81-c61f-8d66-115c-0eab2c5097ac}\U\800000cb.@

c:\users\Anne-Claire\AppData\Roaming\quickzip51.msi.tmp

c:\windows\system32\muzapp.exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-07-25 au 2012-08-25 ))))))))))))))))))))))))))))))))))))

.

2012-08-25 20:59 . 2012-08-25 20:59 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-08-25 20:35 . 2012-08-25 20:35 -------- d-----w- c:\program files\Ad-Remover

2012-08-25 20:00 . 2012-08-25 20:00 -------- d-----w- c:\users\Anne-Claire\AppData\Local\Apple

2012-08-25 19:58 . 2012-08-25 19:58 -------- d-----w- c:\users\Anne-Claire\AppData\Roaming\Avira

2012-08-25 19:52 . 2012-07-18 16:05 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2012-08-25 19:52 . 2012-07-18 16:05 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys

2012-08-25 19:52 . 2012-07-18 16:05 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys

2012-08-25 19:52 . 2012-08-25 19:52 -------- d-----w- c:\programdata\Avira

2012-08-25 19:52 . 2012-08-25 19:52 -------- d-----w- c:\program files\Avira

2012-08-25 19:08 . 2012-08-25 19:08 -------- d-----w- c:\windows\system32\EventProviders

2012-08-25 18:57 . 2012-08-25 18:57 -------- d-----w- c:\users\Anne-Claire\AppData\Local\Acer ePower Management V4

2012-08-25 16:34 . 2012-08-25 16:34 -------- d-----w- c:\users\Anne-Claire\AppData\Local\Adobe

2012-08-25 15:33 . 2012-06-29 08:44 6891424 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{CD99450C-EAED-480F-946C-B78506D8AAD3}\mpengine.dll

2012-08-24 09:04 . 2012-08-25 14:22 -------- d-----w- c:\programdata\6F638C1A377C0CEF79DCE7766C44B161

2012-08-08 17:56 . 2012-08-08 17:56 -------- d-----w- c:\users\Anne-Claire\AppData\Roaming\ArcSoft

2012-08-08 17:56 . 2012-08-08 17:56 -------- d-----w- c:\users\Anne-Claire\AppData\Roaming\HP SimpleSave Application

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-15 16:53 . 2012-05-21 20:05 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-08-15 16:53 . 2012-03-04 19:13 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-05-31 10:25 . 2012-02-15 18:15 237072 ----a-w- c:\windows\system32\MpSigStub.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\users\Anne-Claire\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\users\Anne-Claire\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\users\Anne-Claire\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\users\Anne-Claire\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]

@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"

[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]

2008-10-27 10:05 40496 ----a-w- c:\program files\EgisTec\MyWinLocker 3\x86\PSDProtect.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe" [2008-11-17 135168]

"KiesTrayAgent"="c:\program files\Samsung\Kies\/\KiesTrayAgent.exe" [2010-01-28 3404600]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-07-13 17418928]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-02-12 186904]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-05-13 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-05-07 175128]

"Persistence"="c:\windows\system32\igfxpers.exe" [2009-05-13 153624]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-04-11 7399968]

"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-04-11 1833504]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]

"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-04-09 1071624]

"PLFSetI"="c:\windows\PLFSetI.exe" [2008-07-29 200704]

"BackupManagerTray"="c:\program files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-05-26 253696]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2009-03-30 62760]

"Acer ePower Management"="c:\program files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe" [2009-05-15 440864]

"ODDPwr"="c:\program files\Acer\Optical Drive Power Management\ODDPwr.exe" [2009-04-29 176128]

"EgisTecLiveUpdate"="c:\program files\EgisTec Egis Software Update\EgisUpdate.exe" [2008-10-27 199464]

"mwlDaemon"="c:\program files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2008-10-27 346672]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-07-18 348664]

.

c:\users\Anne-Claire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dropbox.lnk - c:\users\Anne-Claire\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2011-9-17 565248]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]

.

--- Autres Services/Pilotes en mémoire ---

.

*NewlyCreated* - FSUSBEXDISK

.

Contenu du dossier 'Tâches planifiées'

.

2012-08-25 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-21 16:53]

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: {{725EC34E-943C-4df6-B0B2-FBDE7F242276} - c:\users\Anne-Claire\Desktop\PartyPoker.fr.lnk

TCP: DhcpNameServer = 212.27.40.241 212.27.40.240

.

- - - - ORPHELINS SUPPRIMES - - - -

.

HKCU-Run-Livestation - c:\program files\Livestation\Livestation.exe

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-08-25 23:00

Windows 6.0.6001 Service Pack 1 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Heure de fin: 2012-08-25 23:04:10

ComboFix-quarantined-files.txt 2012-08-25 21:04

.

Avant-CF: 79 041 122 304 octets libres

Après-CF: 78 985 355 264 octets libres

.

- - End Of File - - DB41F49F98BC42E5E56146EF27B232D0

Apollo · le 26 août 2012

Une chance que ce n'est pas la dernière variante de sirefef.

C'est bon. Comment va l'ordi?

Si ce n'est déjà fait,

Fais ces vérifications de sécurité stp:

Apollo Et Compagnie :: A vérifier de temps en temps, important!

Le PSI n'est pas obligatoire mais il peut se révéler utile pour connaître les failles dans diverses applications.

@++

JackDaniels123 · le 26 août 2012

Le lien n'est pas fonctionnel désolé!

Apollo · le 26 août 2012

Oui, je viens de le constater, problème sur les serveurs xooit.

En bref, contrôler les mises à jour Windows, console Java, Flash Player, Adobe Reader, etc. Il est très important que les failles soient corrigées car de nombreuses infections passent par cette voie.

Il existe un utilitaire qui contrôle tout ça Free Computer Security - Personal Software Inspector (PSI) - Secunia

Il y a une version francisée et c'est très facile d'utilisation.

@++

Apollo · le 26 août 2012

Le lien n'est pas fonctionnel désolé!

C'est revenu

JackDaniels123 · le 26 août 2012

Merci beaucoup, pour l'instant tout va bien, 2 mise a jour un peu diffixiles a lancer, sinon pas de ralentissement.

Dois-je relancer un sujet si nouveau probleme?

Dylav · le 27 août 2012

Bonjour JackDaniels,

En effet, à nouveau problème, nouveau sujet !

Si tu considères qu'ici la question est réglée, et sous couvert d'Apollo, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet…

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.

Connexion

Pas encore inscrit ?

Ordi infecté...

Messages recommandés

JackDaniels123

Apollo

JackDaniels123

Apollo

Apollo

JackDaniels123

Dylav

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer