Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Trojan JS/blacololeRef.W.29

Nestor345

Par Nestor345
dans Analyses et éradication malwares

 Partager

Messages recommandés

Nestor345 Member

Nestor345

Posté(e)
Posté(e)

Bonjour,

je suis infecté par un trojan: JS/blacololeRef.W.29 (signalé par avira free antivirus).

J'ai d'abord lancé RogueKiller.exe. puis comme je n'avais pas d'icône ni de "programme" à l'étape "Zhpdiag" (sous windows XP), j'ai téléchargé sur zebulon ce dernier. Voici le rapport ci-dessous.

Merci de bien vouloir m'assister.

Nestor

 

Rapport de ZHPDiag.

 

-édit- Voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible.

 

Il est donc préférable de faire héberger de tels rapports, par exemple chez dle4yctajk2tifu0fd6e.jpg

C'est ce que j'ai fait avec le tien ;)

Lien vers le commentaire
Partager sur d’autres sites

Nestor345 Member

Nestor345

Posté(e)
  • Auteur
Posté(e)

Avant d'arriver à la phase ZhpDiag, j'ai utilisé le programme RogueKiller.

J'ai suivi le processus; j'ai collecté les logs (sauf le 1er, oubli dû au stress). Les voici postés ci-après.

J'ai aussi sur mon bureau une sauvegarde des scan. Je les collecte et je les poste dans une réponse séparée

 

Voici ci-après les logs des phases précédentes de Roguekiller.exe

 

 

*)Lancer RogueKiller.exe

Cliquer sur Rapport et copier/coller le contenu

=> Suppression. J'ai ensuite refais un scan pour vérifier si ça apparaissait encore. Vierge.

 

*) Host rapport:

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : HOSTS RAZ -- Date : 18/11/2012 19:42:12

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[7]_H_18112012_194212.txt >>

RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ;

RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt

 

X

*) Proxy RAZ

=> Pas d'affichage.

 

*)DNS RAZ

=> Pas d'affichage.

 

*) Racc. RAZ

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 18/11/2012 19:47:29

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 16 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 94 / Fail 0

Mes documents: Success 477 / Fail 477

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 112 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

[F:] \Device\CdRom1 -- 0x5 --> Skipped

[G:] \Device\Harddisk1\DP(1)0-0+8 -- 0x2 --> Restored

[H:] \Device\Harddisk2\DP(1)0-0+9 -- 0x2 --> Restored

[i:] \Device\Harddisk3\DP(1)0-0+a -- 0x2 --> Restored

[J:] \Device\Harddisk4\DP(1)0-0+b -- 0x2 --> Restored

[K:] \Device\HarddiskVolume3 -- 0x3 --> Restored

 

Termine : << RKreport[10]_SC_18112012_194729.txt >>

RKreport[10]_SC_18112012_194729.txt ; RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ;

RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt ; RKreport[9]_DN_18112012_194516.txt

Lien vers le commentaire
Partager sur d’autres sites
Nestor345 Member

Nestor345

Posté(e)
  • Auteur
Posté(e)

Voici les Logs des scans Roguekiller situés sur mon bureau de PC (sauvegardes auto)

 

*) RKReport 1

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : Recherche -- Date : 18/11/2012 19:31:23

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 1 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4)

SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E)

SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64)

SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xBA7E0E73)

SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D)

SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF)

SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55)

SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7)

SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C)

SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8)

SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87)

SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3)

SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD)

SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78)

SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2)

SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++

--- User ---

[MBR] 9669825096cb0a1acaf8525aa9dab190

[bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_18112012_193123.txt >>

RKreport[1]_S_18112012_193123.txt

 

*) RKReport 2

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : Recherche -- Date : 18/11/2012 19:34:15

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 1 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4)

SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E)

SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64)

SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xBA7E0E73)

SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D)

SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF)

SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55)

SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7)

SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C)

SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8)

SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87)

SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3)

SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD)

SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78)

SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2)

SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++

--- User ---

[MBR] 9669825096cb0a1acaf8525aa9dab190

[bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2]_S_18112012_193415.txt >>

RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt

*) RKReport 3

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : Recherche -- Date : 18/11/2012 19:35:11

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 1 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4)

SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E)

SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64)

SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xBA7E0E73)

SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D)

SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF)

SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55)

SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7)

SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C)

SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8)

SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87)

SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3)

SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD)

SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78)

SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2)

SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++

--- User ---

[MBR] 9669825096cb0a1acaf8525aa9dab190

[bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3]_S_18112012_193511.txt >>

RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt

 

*) RKReport 4

Autre solution:

Aller sur le site :Ci-JointImage IPB

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

*) RKReport 5

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : HOSTS RAZ -- Date : 18/11/2012 19:39:55

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[5]_H_18112012_193955.txt >>

RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt

*) RKReport 6

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : Recherche -- Date : 18/11/2012 19:41:44

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4)

SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E)

SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64)

SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xBA7E0E73)

SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D)

SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF)

SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55)

SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7)

SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C)

SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8)

SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87)

SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3)

SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD)

SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78)

SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2)

SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++

--- User ---

[MBR] 9669825096cb0a1acaf8525aa9dab190

[bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[6]_S_18112012_194144.txt >>

RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ;

RKreport[6]_S_18112012_194144.txt

*) RKReport 7

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : HOSTS RAZ -- Date : 18/11/2012 19:42:12

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[7]_H_18112012_194212.txt >>

RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ;

RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt

*) RKReport 8

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : Proxy RAZ -- Date : 18/11/2012 19:44:32

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

Termine : << RKreport[8]_PR_18112012_194432.txt >>

RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ;

RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt

 

 

*) RKReport 9

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : DNS RAZ -- Date : 18/11/2012 19:45:16

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

Termine : << RKreport[9]_DN_18112012_194516.txt >>

RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ;

RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt ; RKreport[9]_DN_18112012_194516.txt

 

*) RKReport 10

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 18/11/2012 19:47:29

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 16 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 94 / Fail 0

Mes documents: Success 477 / Fail 477

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 112 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

[F:] \Device\CdRom1 -- 0x5 --> Skipped

[G:] \Device\Harddisk1\DP(1)0-0+8 -- 0x2 --> Restored

[H:] \Device\Harddisk2\DP(1)0-0+9 -- 0x2 --> Restored

[i:] \Device\Harddisk3\DP(1)0-0+a -- 0x2 --> Restored

[J:] \Device\Harddisk4\DP(1)0-0+b -- 0x2 --> Restored

[K:] \Device\HarddiskVolume3 -- 0x3 --> Restored

 

Termine : << RKreport[10]_SC_18112012_194729.txt >>

RKreport[10]_SC_18112012_194729.txt ; RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ;

RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt ; RKreport[9]_DN_18112012_194516.txt

 

 

*) RKReport 11

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Lucien [Droits d'admin]

Mode : Suppression -- Date : 18/11/2012 19:51:50

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4)

SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E)

SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64)

SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D)

SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF)

SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55)

SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7)

SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C)

SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8)

SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87)

SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3)

SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD)

SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78)

SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2)

SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++

--- User ---

[MBR] 9669825096cb0a1acaf8525aa9dab190

[bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[11]_D_18112012_195150.txt >>

RKreport[10]_SC_18112012_194729.txt ; RKreport[11]_D_18112012_195150.txt ; RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ;

RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt ;

RKreport[9]_DN_18112012_194516.txt

Lien vers le commentaire
Partager sur d’autres sites
Nestor345 Member

Nestor345

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci à dylav pour avoir héberger le rapport (...).

à bientôt pour avoir des précisions sur quoi supprimer dans ma base de registre : Je ne voudrais pas commettre d'impair ...

Je me doute qu'il y aussi d'autres demandes ... ;)

Bonne journée

Nestor

Modifié par Nestor345
Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

1)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

110906042614938066.jpg

 

2)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

3)

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

5)Ceci va vérifier si les logiciels sont à jour ou non et l'indiquer sur l'interface graphique ou sur un rapport.

Des boutons permettent alors un accès direct au lancement de la mise à jour ou au téléchargement de celle-ci selon. (Flash player, ouverture du ou des navigateurs dont l'activeX et/ou le plugin n'est pas à jour.

120106105741664214.jpg

Télécharger Sx Checkupdate

Cliquez sur Rapports

 

 

 

Désinstallez Ad_Aware : son concepteur, Lavasoft, n'existe plus.

 

Il faut savoir que Spybot utilise une technologie dépassée.

Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....

Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.

 

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

 

 

Vaccination Spybot

Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"

cliquez sur "Vaccination" dans la colonne sur la gauche :

Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

 

Désinstaller Spybot

 

 

Il ya Avira et Norton sur la machine.Il vous faut en choisir un seul.

Lien vers le commentaire
Partager sur d’autres sites
Nestor345 Member

Nestor345

Posté(e)
  • Auteur
Posté(e) (modifié)

merci pour la réponse. c'est sympa de me guider via le tuto

voici les scans avec les logs demandés, dans le post suivant

NB:

- J'ai désinstallé comme suggéré Ad-aware qui ne servait plus guère (...).

Je prends bonne note que Spybot est désuet. je le désinstallerais ultérieurement (fin de semaine).

Je n'avais pas activé la fonction Tea timer, et j'avais déjà décoché la fonction Host (conflit avira). j'ai désacitivé tout Spybot comme demandé.

Edit 24/11: c'est fait pour Spybot. ;)

- Avira free antivirus est le seul antivirus. j'utilise norton winDr comme analyse de registre (+ JV16).

- J'avais déja MBAM installé; je l'ai mis à jour avant de faire le scan (vierge).

 

Je poste ci-dessous les logs demandés:

1) Adwcleaner R1

2) Adwcleaner S1

3) MBAM log (clean)

4)Rapport SX

 

Rque : le rapport Sx m'indique des logiciels "out". J'ai vérifié via l'update qu'ils sont bien à jour.

Modifié par Nestor345
Lien vers le commentaire
Partager sur d’autres sites
Nestor345 Member

Nestor345

Posté(e)
  • Auteur
Posté(e) (modifié)

1) Adwcleaner R1

 

# AdwCleaner v2.008 - Rapport créé le 20/11/2012 à 18:35:23

# Mis à jour le 17/11/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Lucien - LH04AFA1D

# Mode de démarrage : Normal

# Exécuté depuis : D:\Mes documents\Téléchargements\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Présent : C:\Documents and Settings\All Users\Application Data\SweetIM

Dossier Présent : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\SweetPacksToolbarData

Dossier Présent : C:\Program Files\SweetIM

Dossier Présent : C:\Program Files\YouTube Downloader Toolbar

Fichier Présent : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi

Fichier Présent : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\searchplugins\SweetIm.xml

Fichier Présent : C:\Documents and Settings\Lucien\Bureau\Search The Web.url

 

***** [Registre] *****

 

Clé Présente : HKCU\Software\AppDataLow\Software\Search Settings

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F3FEE66E-E034-436A-86E4-9690573BEE8A}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F3FEE66E-E034-436A-86E4-9690573BEE8A}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}

Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils

Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1

Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator

Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1

Clé Présente : HKLM\SOFTWARE\Classes\sim-packages

Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar

Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1

Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook

Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1

Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie

Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1

Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}

Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\Software\Search Settings

Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]

Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [sweetIM]

Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [sweetpacks Communicator]

Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe]

Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarProxy.dll]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v16.0.2 (fr)

 

Nom du profil : default

Fichier : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\prefs.js

 

Présente : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?barid={620AF2EF-EF35-4EF8-8E6F-AA0C5D[...]

Présente : user_pref("sweetim.toolbar.UserSelectedSaveSettings", "true");

Présente : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0");

Présente : user_pref("sweetim.toolbar.Visibility.enable", "true");

Présente : user_pref("sweetim.toolbar.Visibility.intervaldays", "7");

Présente : user_pref("sweetim.toolbar.cargo", "3.1010000.10039");

Présente : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true");

Présente : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true");

Présente : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true");

Présente : user_pref("sweetim.toolbar.dialogs.0.enable", "true");

Présente : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...]

Présente : user_pref("sweetim.toolbar.dialogs.0.height", "335");

Présente : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");

Présente : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");

Présente : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff.asp?la[...]

Présente : user_pref("sweetim.toolbar.dialogs.0.width", "761");

Présente : user_pref("sweetim.toolbar.dialogs.1.enable", "true");

Présente : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...]

Présente : user_pref("sweetim.toolbar.dialogs.1.height", "300");

Présente : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");

Présente : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");

Présente : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...]

Présente : user_pref("sweetim.toolbar.dialogs.1.width", "500");

Présente : user_pref("sweetim.toolbar.dialogs.2.enable", "true");

Présente : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...]

Présente : user_pref("sweetim.toolbar.dialogs.2.height", "150");

Présente : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");

Présente : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");

Présente : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");

Présente : user_pref("sweetim.toolbar.dialogs.2.width", "530");

Présente : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...]

Présente : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");

Présente : user_pref("sweetim.toolbar.keywordUrlGuard.enable", "true");

Présente : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");

Présente : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");

Présente : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");

Présente : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");

Présente : user_pref("sweetim.toolbar.mode.debug", "false");

Présente : user_pref("sweetim.toolbar.newtab.created", "false");

Présente : user_pref("sweetim.toolbar.newtab.enable", "true");

Présente : user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://search.sweetim.com/search.asp?barid={620AF[...]

Présente : user_pref("sweetim.toolbar.rc.url", "hxxp://www.sweetim.com/simffbar/rc.html?toolbar_version=$ITEM_V[...]

Présente : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true");

Présente : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");

Présente : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");

Présente : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");

Présente : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");

Présente : user_pref("sweetim.toolbar.scripts.0.enable", "true");

Présente : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");

Présente : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");

Présente : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true");

Présente : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");

Présente : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");

Présente : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");

Présente : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");

Présente : user_pref("sweetim.toolbar.scripts.1.enable", "false");

Présente : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");

Présente : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");

Présente : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false");

Présente : user_pref("sweetim.toolbar.scripts.2.callback", "");

Présente : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...]

Présente : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");

Présente : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");

Présente : user_pref("sweetim.toolbar.scripts.2.enable", "false");

Présente : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");

Présente : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...]

Présente : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]

Présente : user_pref("sweetim.toolbar.search.history.capacity", "10");

Présente : user_pref("sweetim.toolbar.searchguard.enable", "false");

Présente : user_pref("sweetim.toolbar.simapp_id", "{620AF2EF-EF35-4EF8-8E6F-AA0C5DC0ED4F}");

Présente : user_pref("sweetim.toolbar.version", "1.7.0.3");

 

*************************

 

AdwCleaner[R1].txt - [10639 octets] - [20/11/2012 18:28:06]

AdwCleaner[R2].txt - [10569 octets] - [20/11/2012 18:35:23]

 

########## EOF - C:\AdwCleaner[R2].txt - [10630 octets] ##########

 

 

2)AdwCleaner[s1]

# AdwCleaner v2.008 - Rapport créé le 20/11/2012 à 18:38:46

# Mis à jour le 17/11/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Lucien - LH04AFA1D

# Mode de démarrage : Normal

# Exécuté depuis : D:\Mes documents\Téléchargements\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\SweetIM

Dossier Supprimé : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\SweetPacksToolbarData

Dossier Supprimé : C:\Program Files\YouTube Downloader Toolbar

Fichier Supprimé : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi

Fichier Supprimé : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\searchplugins\SweetIm.xml

Fichier Supprimé : C:\Documents and Settings\Lucien\Bureau\Search The Web.url

Supprimé au redémarrage : C:\Program Files\SweetIM

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F3FEE66E-E034-436A-86E4-9690573BEE8A}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F3FEE66E-E034-436A-86E4-9690573BEE8A}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}

Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils

Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1

Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator

Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1

Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages

Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar

Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1

Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook

Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\Software\Search Settings

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [sweetIM]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [sweetpacks Communicator]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarProxy.dll]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v16.0.2 (fr)

 

Nom du profil : default

Fichier : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\prefs.js

 

Supprimée : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?barid={620AF2EF-EF35-4EF8-8E6F-AA0C5D[...]

Supprimée : user_pref("sweetim.toolbar.UserSelectedSaveSettings", "true");

Supprimée : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0");

Supprimée : user_pref("sweetim.toolbar.Visibility.enable", "true");

Supprimée : user_pref("sweetim.toolbar.Visibility.intervaldays", "7");

Supprimée : user_pref("sweetim.toolbar.cargo", "3.1010000.10039");

Supprimée : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true");

Supprimée : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true");

Supprimée : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true");

Supprimée : user_pref("sweetim.toolbar.dialogs.0.enable", "true");

Supprimée : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...]

Supprimée : user_pref("sweetim.toolbar.dialogs.0.height", "335");

Supprimée : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");

Supprimée : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");

Supprimée : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff.asp?la[...]

Supprimée : user_pref("sweetim.toolbar.dialogs.0.width", "761");

Supprimée : user_pref("sweetim.toolbar.dialogs.1.enable", "true");

Supprimée : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...]

Supprimée : user_pref("sweetim.toolbar.dialogs.1.height", "300");

Supprimée : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");

Supprimée : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");

Supprimée : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...]

Supprimée : user_pref("sweetim.toolbar.dialogs.1.width", "500");

Supprimée : user_pref("sweetim.toolbar.dialogs.2.enable", "true");

Supprimée : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...]

Supprimée : user_pref("sweetim.toolbar.dialogs.2.height", "150");

Supprimée : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");

Supprimée : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");

Supprimée : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");

Supprimée : user_pref("sweetim.toolbar.dialogs.2.width", "530");

Supprimée : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...]

Supprimée : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");

Supprimée : user_pref("sweetim.toolbar.keywordUrlGuard.enable", "true");

Supprimée : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");

Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");

Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");

Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");

Supprimée : user_pref("sweetim.toolbar.mode.debug", "false");

Supprimée : user_pref("sweetim.toolbar.newtab.created", "false");

Supprimée : user_pref("sweetim.toolbar.newtab.enable", "true");

Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://search.sweetim.com/search.asp?barid={620AF[...]

Supprimée : user_pref("sweetim.toolbar.rc.url", "hxxp://www.sweetim.com/simffbar/rc.html?toolbar_version=$ITEM_V[...]

Supprimée : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true");

Supprimée : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");

Supprimée : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");

Supprimée : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");

Supprimée : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");

Supprimée : user_pref("sweetim.toolbar.scripts.0.enable", "true");

Supprimée : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");

Supprimée : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");

Supprimée : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true");

Supprimée : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");

Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");

Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");

Supprimée : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");

Supprimée : user_pref("sweetim.toolbar.scripts.1.enable", "false");

Supprimée : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");

Supprimée : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");

Supprimée : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false");

Supprimée : user_pref("sweetim.toolbar.scripts.2.callback", "");

Supprimée : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...]

Supprimée : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");

Supprimée : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");

Supprimée : user_pref("sweetim.toolbar.scripts.2.enable", "false");

Supprimée : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");

Supprimée : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...]

Supprimée : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]

Supprimée : user_pref("sweetim.toolbar.search.history.capacity", "10");

Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "false");

Supprimée : user_pref("sweetim.toolbar.simapp_id", "{620AF2EF-EF35-4EF8-8E6F-AA0C5DC0ED4F}");

Supprimée : user_pref("sweetim.toolbar.version", "1.7.0.3");

 

*************************

 

AdwCleaner[R1].txt - [10639 octets] - [20/11/2012 18:28:06]

AdwCleaner[s1].txt - [10692 octets] - [20/11/2012 18:38:46]

 

########## EOF - C:\AdwCleaner[s1].txt - [10753 octets] ##########

Modifié par Nestor345
Lien vers le commentaire
Partager sur d’autres sites
Nestor345 Member

Nestor345

Posté(e)
  • Auteur
Posté(e) (modifié)

Log MBAM 20 11 2012 (vierge)

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.11.20.04

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Lucien :: LH04AFA1D [administrateur]

 

20/11/2012 18:59:46

mbam-log-2012-11-20 (18-59-46).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 348591

Temps écoulé: 55 minute(s), 19 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

*) Rapport Sx

Nb : je vérifie les logiciels "renseignés" non mis à jour

SX Check&Update

Lien vers le tutoriel : Tutoriels - Security-X

---

Windows Version : Windows XP 32 bits

Service Pack : 3

UserName : Lucien

20/11/2012

20:22:43

version = v0.3.0

---

Windows Update Information :

AUOptions : 4

Automatically, no notification

---

Name : FlashPlayer ActiveX

Version : 10.3.183.10

Flash Player ActiveX n'est pas à jour! (11.5.502.110)

 

Name : FlashPlayer Plugin FF

Version : 11.5.502.110

Flash Player Plugin FF est à jour

 

Name : FlashPlayer Plugin

Version : 11.5.502.110

Flash Player Plugin est à jour

 

Nom : Adobe Shockwave Player 11.6

Version : 11.6.8.638

Adobe Reader n'est pas à jour! (11.0.00)

 

Nom : Mozilla Firefox 16.0.2 (x86 fr)

Version : 16.0.2

 

Java Information :

Nom : Java 7 Update 9

Version : 7.0.90

Java 7 Update 9 est à jour

 

Nom : Adobe Reader X (10.1.4) - Français

Version : 10.1.4

Adobe Reader est à jour

 

Nom : Internet Explorer

Version : 8.0.6001.18702

 

 

D'avance merci pour ton analyse. ;)

Nestor

Modifié par Nestor345
Lien vers le commentaire
Partager sur d’autres sites
Nestor345 Member

Nestor345

Posté(e)
  • Auteur
Posté(e) (modifié)

Précision supplémentaire utile:

Depuis 2 jours, Avira ne détecte plus d'intrus. Log ok. Le trojan se serait-il tapi?

Bizarre ... Jusque maintenant, Avira antivirus proposait de mettre l'intrus en quarantaine, mais il revenait...

Je ne suis pas le seul dans ce cas : un forumeur infecté par le m^me type de trojan a "vécu" la m^me expérience, sans avoir entrepris une éradiction "ad hoc". Trojan évaporé, en apparence ...

Vous avez dit bizarre !?

A+

Nestor

 

PS: rien à signaler non plus via un scan avec HijackThis. j'en ai profité pour désactiver des programmes qui n'avvaient rien à faire au démarrage (code 04). J'ai 2 fois un svchost (?)

 

Logfile of HijackThis v1.99.1

Scan saved at 23:21:33, on 22/11/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\Emsisoft Anti-Malware\a2service.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\sttray.exe (=> audio, ndlr; 303 octet => ok)

C:\Program Files\Intel\IDU\iptray.exe

D:\Mes documents\Logiciels\Logiciels sécurité 02\Spyblocker v9.0\Spyblocker clé\spyblocker.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Intel\IDU\awServ.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Java\jre7\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Norton Utilities\NPROTECT.EXE

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\OO Software\Defrag\oodag.exe

C:\Program Files\Speed Disk\nopdb.exe

C:\WINDOWS\system32\STacSV.exe (=> audio, ndlr)

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TwonkyMedia\twonkymediaserverwatchdog.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\TwonkyMedia\TwonkyMediaServer.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\SearchProtocolHost.exe (180 à 180 Ko, ndlr) => ok).

D:\Mes documents\Logiciels\Logiciels sécurité 01 Base\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll

O4 - HKLM\..\Run: [sigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [ipTray.exe] "C:\Program Files\Intel\IDU\iptray.exe"

O4 - HKLM\..\Run: [spyBlocker] D:\Mes documents\Logiciels\Logiciels sécurité 02\Spyblocker v9.0\Spyblocker clé\spyblocker.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1344332585484

O20 - Winlogon Notify: LBTWlgn - c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Emsisoft Anti-Malware 6.0 - Service (a2AntiMalware) - Emsisoft GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe

O23 - Service: Avira Scheduler (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Program Files\Intel\IDU\awServ.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre7\bin\jqs.exe" -service -config "C:\Program Files\Java\jre7\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag Agent (OODefragAgent) - O&O Software GmbH - C:\Program Files\OO Software\Defrag\oodag.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

O23 - Service: TwonkyMedia - PacketVideo - C:\Program Files\TwonkyMedia\twonkymediaserverwatchdog.exe

Modifié par Nestor345
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...