Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection TR/ATRAPS.Gen2

Kroala

Par Kroala
dans Analyses et éradication malwares

 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir,

 

1) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

---------------

2) Clique sur Suppression et poste le rapport.

 

@++

Lien vers le commentaire
Partager sur d’autres sites
Kroala Member

Kroala

Posté(e)
  • Auteur
Posté(e) (modifié)

Hello voila le rapport,

 

 RogueKiller V8.1.1 [01/10/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: [url=http://www.geekstogo.com/forum/files/file/413-roguekiller/]RogueKiller - Geeks to Go Forums[/url]
Website: [url=http://tigzy.geekstogo.com/roguekiller.php]RogueKiller[/url]
Blog: [url=http://tigzyrk.blogspot.com]tigzy-RK[/url]

Operating System: Windows 7 (6.1.7600 ) 64 bits version
Started in : Normal mode
User : Le KRO [Admin rights]
Mode : Scan -- Date : 19/10/2012 20:16:12

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 8 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> FOUND
[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorUser (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\@ --> FOUND
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U --> FOUND
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\L --> FOUND
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> FOUND
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> FOUND

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ST350083 0AS SCSI Disk Device +++++
--- User ---
[MBR] 2a7533c7d1acfcace0e770829e2cd42b
[bSP] e66335eb4dda5527ea9a586700aa8446 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 2048 | Size: 8196 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16787925 | Size: 468741 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: WD Ext HDD 1021 USB Device +++++
--- User ---
[MBR] b6595370ae2f7aab1ab7116951ba991f
[bSP] 19612d33fc479249b347ffc13cbd34a5 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1907726 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished : << RKreport[1].txt >>
RKreport[1].txt

 

EDIT: Oups voila la deuxieme partie !

 

RogueKiller V8.1.1 [01/10/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website: http://tigzy.geekstogo.com/roguekiller.php
Blog: http://tigzyrk.blogspot.com

Operating System: Windows 7 (6.1.7600 ) 64 bits version
Started in : Normal mode
User : Le KRO [Admin rights]
Mode : Remove -- Date : 19/10/2012 20:21:03

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> REPLACED (1)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Particular Files / Folders: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\00000004.@ --> REMOVED
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\00000008.@ --> REMOVED
[Del.Parent][FILE] 000000cb.@ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\000000cb.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 80000032.@ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\80000032.@ --> REMOVED
[Del.Parent][FILE] 80000064.@ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\80000064.@ --> REMOVED
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U --> REMOVED
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\L\00000004.@ --> REMOVED
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\L --> REMOVED
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> REMOVED AT REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> REMOVED AT REBOOT

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ST350083 0AS SCSI Disk Device +++++
--- User ---
[MBR] 2a7533c7d1acfcace0e770829e2cd42b
[bSP] e66335eb4dda5527ea9a586700aa8446 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 2048 | Size: 8196 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16787925 | Size: 468741 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: WD Ext HDD 1021 USB Device +++++
--- User ---
[MBR] b6595370ae2f7aab1ab7116951ba991f
[bSP] 19612d33fc479249b347ffc13cbd34a5 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1907726 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Modifié par Kroala
Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Ok,

 

Stp, ne mets pas de balises pour les rapports, merci :)

 

Rogue Killer a déjà fait pas mal de bon boulot ;)

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

  • attention.gifSi la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
     
    consolerestaucf.jpg
     
  • Assure toi que tous les programmes soient fermés avant de commencer.
  • Double-clique ComboFix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

Lien vers le commentaire
Partager sur d’autres sites
Kroala Member

Kroala

Posté(e)
  • Auteur
Posté(e)

Bonsoir !

Voila le rapport :

 

 

ComboFix 12-10-24.02 - Le KRO 24/10/2012 22:06:45.1.2 - x64

Microsoft Windows 7 GAMER 2010 6.1.7600.0.1252.33.1033.18.4096.2833 [GMT 2:00]

Lancé depuis: c:\users\Le KRO\Desktop\ComboFix.exe

AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\Le KRO\AppData\Local\TempDIR

c:\users\Le KRO\AppData\Roaming\Microsoft\Windows\Recent\The Elder Scrolls V Skyrim.url

G:\autorun.inf

.

c:\windows\system32\Services.exe . . . est infecté!!

.

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_nvsvc

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-09-24 au 2012-10-24 ))))))))))))))))))))))))))))))))))))

.

.

2012-10-24 20:20 . 2012-10-24 20:20 -------- d-----w- c:\users\UpdatusUser.LeKRO-PC\AppData\Local\temp

2012-10-24 20:20 . 2012-10-24 20:20 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-10-24 12:05 . 2012-10-24 12:05 -------- d-----w- c:\program files (x86)\Common Files\Java

2012-10-24 00:07 . 2012-10-24 00:07 -------- d-----w- c:\users\Le KRO\AppData\Local\Diagnostics

2012-10-22 11:01 . 2012-10-22 11:03 -------- d-----w- c:\program files (x86)\Euro Truck Simulator 2

2012-10-19 22:38 . 2012-10-19 22:42 -------- d-----w- C:\Unreal Tournament 2004

2012-10-19 18:22 . 2012-10-19 18:22 -------- d-----w- c:\users\Le KRO\AppData\Local\VirtualStore

2012-10-02 11:15 . 2012-10-02 11:15 430952 ----a-w- c:\windows\SysWow64\nvStreaming.exe

2012-09-28 16:53 . 2012-09-28 16:53 -------- d-----w- c:\users\Le KRO\AppData\Local\SKIDROW

2012-09-28 14:50 . 2012-09-28 15:02 -------- d--h--w- c:\program files (x86)\Temp

2012-09-28 14:50 . 2012-05-25 16:06 1706640 ----a-w- c:\windows\RtlExUpd.dll

2012-09-28 12:37 . 2012-09-28 12:37 -------- d-----w- C:\temp

2012-09-28 12:36 . 2012-07-03 15:25 31080 ----a-w- c:\windows\system32\nvhdap64.dll

2012-09-28 12:36 . 2012-07-03 15:25 189288 ----a-w- c:\windows\system32\drivers\nvhda64v.sys

2012-09-28 12:36 . 2012-10-02 22:21 1482600 ----a-w- c:\windows\system32\nvdispgenco64.dll

2012-09-28 11:44 . 2012-09-28 11:59 -------- d-----w- c:\users\Le KRO\AppData\Local\Darksiders2

2012-09-27 16:02 . 2012-09-27 16:02 -------- d-----w- c:\program files (x86)\DAEMON Tools Lite

2012-09-27 15:53 . 2012-09-27 17:20 -------- d-----w- c:\program files (x86)\Ubisoft

2012-09-27 15:53 . 2012-09-28 14:54 -------- d--h--w- c:\program files (x86)\InstallShield Installation Information

2012-09-27 15:53 . 2012-09-27 15:53 -------- d-----w- c:\program files (x86)\Common Files\InstallShield

2012-09-27 15:30 . 2003-04-18 22:39 6659 ----a-w- c:\windows\SysWow64\TANDPL.VXD

2012-09-27 15:30 . 2003-04-18 22:32 4736 ----a-w- c:\windows\SysWow64\drivers\tandpl.sys

2012-09-27 15:30 . 2003-03-02 15:44 7552 ----a-w- c:\windows\SysWow64\drivers\enodpl.sys

2012-09-27 15:30 . 2001-08-31 13:16 6532 ----a-w- c:\windows\SysWow64\ENODPL.VXD

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-02 22:21 . 2012-02-21 21:04 973672 ----a-w- c:\windows\system32\nvumdshimx.dll

2012-10-02 22:21 . 2011-11-21 19:46 2731880 ----a-w- c:\windows\system32\nvapi64.dll

2012-10-02 22:21 . 2011-11-21 19:46 2428776 ----a-w- c:\windows\SysWow64\nvapi.dll

2012-10-02 22:21 . 2011-11-21 19:46 1760104 ----a-w- c:\windows\system32\nvdispco64.dll

2012-10-02 22:21 . 2011-11-21 19:46 12501352 ----a-w- c:\windows\SysWow64\nvwgf2um.dll

2012-10-02 22:21 . 2009-07-13 21:59 14922600 ----a-w- c:\windows\system32\nvwgf2umx.dll

2012-10-02 22:21 . 2009-06-10 20:37 15309160 ----a-w- c:\windows\SysWow64\nvd3dum.dll

2012-10-02 19:51 . 2012-02-21 21:06 3536817 ----a-w- c:\windows\system32\nvcoproc.bin

2012-10-02 19:51 . 2011-11-21 19:48 3293544 ----a-w- c:\windows\system32\nvsvc64.dll

2012-10-02 19:51 . 2011-11-21 19:48 6200680 ----a-w- c:\windows\system32\nvcpl.dll

2012-10-02 19:50 . 2011-11-21 19:48 891240 ----a-w- c:\windows\system32\nvvsvc.exe

2012-10-02 19:50 . 2011-11-21 19:48 63336 ----a-w- c:\windows\system32\nvshext.dll

2012-10-02 19:50 . 2011-11-21 19:48 2557800 ----a-w- c:\windows\system32\nvsvcr.dll

2012-10-02 19:50 . 2011-11-21 19:48 118120 ----a-w- c:\windows\system32\nvmctray.dll

2012-09-29 17:54 . 2012-01-08 00:04 25928 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-09-27 16:02 . 2011-11-21 19:11 560184 ----a-w- c:\windows\system32\drivers\sptd.sys

2012-09-24 13:32 . 2012-09-22 09:13 477168 ----a-w- c:\windows\SysWow64\npdeployJava1.dll

2012-09-24 13:32 . 2011-12-01 15:43 473072 ----a-w- c:\windows\SysWow64\deployJava1.dll

2012-08-13 17:18 . 2012-02-10 13:29 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2012-08-13 17:18 . 2012-02-10 13:29 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-01-19 14:27 . 2011-01-19 14:27 2997760 ----a-w- c:\program files (x86)\openofficeorg33.msi

2011-01-19 14:25 . 2011-01-19 14:25 475016 ----a-w- c:\program files (x86)\setup.exe

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2009-07-14 01:39 . !HASH: COULD NOT OPEN FILE !!!!! . 329216 . . [------] .. c:\windows\system32\services.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Spotify Web Helper"="c:\users\Le KRO\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-06-03 932528]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-13 348664]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-09-17 254896]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Welcome Center"="c:\windows\system32\OobeFldr.dll" [2009-07-14 859648]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]

"LoadAppInit_DLLs"=0 (0x0)

.

R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-17 136176]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-04-05 158856]

R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-17 136176]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 51456888]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-10-12 115168]

R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-11-25 694888]

R3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\Wat\WatAdminSvc.exe [2011-11-21 1255736]

S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-16 27760]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-07-27 63960]

S2 AntiVirSchedulerService;Avira Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-08-13 86224]

S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x64.sys [2011-09-21 21992]

S2 KMService;KMService;c:\windows\system32\srvany.exe [x]

S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [2012-10-02 1258856]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2012-10-02 382824]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2012-07-03 189288]

.

.

Contenu du dossier 'Tâches planifiées'

.

2012-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-17 15:53]

.

2012-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-17 15:53]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]

"Launch LgDeviceAgent"="c:\program files\Logitech\GamePanel Software\LgDevAgt.exe" [2009-08-13 415752]

"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2009-08-13 4195848]

"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2012-06-11 12503184]

.

------- Examen supplémentaire -------

.

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

LSP: mswsock.dll

TCP: DhcpNameServer = 212.27.40.240 212.27.40.241

FF - ProfilePath - c:\users\Le KRO\AppData\Roaming\Mozilla\Firefox\Profiles\ekq6ajyv.default\

FF - ExtSQL: 2012-09-22 11:13; {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}; c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}

FF - ExtSQL: 2012-10-24 14:05; {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}; c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-2541211364-4214765884-2963273671-1001\Software\SecuROM\License information*]

"datasecu"=hex:65,10,60,3d,33,6a,a4,67,da,08,f1,c6,bc,34,62,58,06,d2,17,94,ee,

86,95,18,a9,85,88,65,a6,73,51,fe,68,c8,8b,b6,1a,1d,9b,b3,e2,8b,9b,23,16,c8,\

"rkeysecu"=hex:2b,d1,12,23,1f,90,3f,a0,df,f0,85,db,48,a2,e2,a9

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Autres processus actifs ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

c:\windows\SysWOW64\srvany.exe

c:\windows\KMService.exe

c:\program files (x86)\avira\antivir desktop\avscan.exe

.

**************************************************************************

.

Heure de fin: 2012-10-24 22:28:06 - La machine a redémarré

ComboFix-quarantined-files.txt 2012-10-24 20:28

.

Avant-CF: 246 112 718 848 bytes free

Après-CF: 245 039 755 264 bytes free

.

- - End Of File - - 406105B333F65E53D86DD486CFCAF348

 

 

 

Merci d'avance pour tes conseils :)

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Malheureusement, Combofix n'a trouvé aucune copie saine du fichier infecté sur l'ordi pour le remplacer.

 

On va voir si Windows peut remplacer le fichier corrompu.

A tout hasard, disposes-tu du dvd d'origine de Windows 7? (je parle de celui de Microsoft, non de ceux de récupération de pc de marques)

 

- A tout hasard, faites une vérification/réparation des fichiers système de W7 avec sfc /scannow

 

Voir : Sfc /scannow - vérifier les fichiers systèmes

 

(Ca va prendre environ une demi-heure)

 

 

 

- Ensuite, faites une extraction des anomalies trouvées, corrigées ou pas, selon ces instructions :

 

1) Vous téléchargez sur le bureau le fichier "cbslog.bat" qui est dispo ici : http://fspsa.free.fr/cbslog.bat

 

2) Une fois sur le bureau, par un clic droit, vous l'exécuter en tant qu'administrateur.

 

3) 2 fichiers textes vont s'ouvrir, vous les refermez.

 

4) Dans le dossier C:\WINDOWS\logs\CBS vous allez trouver 2 nouveaux fichiers :

 

"sfcdetails.txt" et "sfcdetailsrepair.txt" (nettement moins gros que "CBS.log" qu'il est inutile de vouloir ouvrir. D'une part il refusera de s'ouvrir à cet endroit là et, d'autre part, ce rapport est quasiment inexploitable sous forme brute .)

 

5) Ce sont ces 2 nouveaux fichiers que vous aller mettre sur Accueil de Cjoint.com et me donner les liens de consultation.

 

Je les examinerai ensuite.

 

Ne t'inquiète pas si je ne réponds pas rapidement, je suis très peu disponible en ce moment.

 

@++

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Re :)

 

CSI 0000019e [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store

 

Il semble que le sfc ait trouvé un fichier sain (services.exe) et l'ait réparé. (il en a trouvé pas mal d'autres aussi...)

 

On va vérifier.

Tu vas relancer ComboFix en suivant les mêmes instructions que la première fois; néanmoins, si ComboFix te propose d'installer une version plus récente, accepte!

 

Poste le rapport généré stp. (ou héberge-le).

 

@++

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Tu as dû installer une nouvelle version ou il ne fait rien du tout?

 

Tu n'as pas essayé en mode sans échec? Il faut parfois être patient avec cet outil.

 

Est-ce qu tu désactives l'antivirus? Car dans le rapport précédent, il apparait que non.

 

En attendant, fais ceci stp:

 

Rends toi sur ce lien : Virus Total

  • Clique sur le bouton Parcourir...
  • Parcours tes dossiers jusque à ce fichier, si tu le trouves :

  • c:\windows\system32\Services.exe
     
     

 

  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyser le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée copie le lien qui se trouve dans la barre de navigateur et colle-le dans ta réponse stp.

 

 

++

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...