[Résolu] Aide sur virus weelsof

[xav795]

Bonjour,

 

Je rencontre actuellement un problème bloquant sur un ordinateur, qui a les effets suivant :

L'ordinateur est sous Windows seven home edition (polonaise), et en le démarrant normalement, après que l'on se logue, nous tombons sur un ecran

qui informe d'une fraude au gouvernement etc.. bref après recherche sur le net, il s'agirait bien d'un virus type ransomeware, et à priori d'une des variantes de weelsof.

Il n'est pas possible lorsque cet écran est affiché d'interagir avec le bureau de windows puisqu'il est complétement caché. AU mieux nous pouvons faire apparaitre le menu qui permet de lancer l'extinction de la machine, car le fait même de demander le gestionnaire de tâche entraine un reboot de la machine, du moins dans ce mode.

 

APrès multiples essais, seul le mode commande sans réseau permet de travailler, et depuis celui-ci, nous pouvons lancer le gestionnaire de tâche puis explorer, l'explorateur windows, et autres programmes dont combofix.

 

J'ai essayé de faire analyser par l'antimalware de microsoft la machine, mais l'analyse n'a rien donnée.

En utilisant l'antivirus en place, Avira, celui ci détecte un trojan logé dans les fichiers temporaires d'internet, que j'ai supprimé avec vidage de la corbeille.

 

J'ai lancé l'analyse via combo fix, car la machine est toujours infectée (mêmes symptomes), mais j'aurais besoin de l'aide de spécialises pour interpréter le résultat de l'analyse en question.

 

Merci pour votre aide

Xavier

 

                                                                     



ComboFix 13-02-15.01 - Ewa 2013-02-17  22:43:57.1.4 - x64 MINIMAL
Microsoft Windows 7 Home Premium   6.1.7601.1.1250.48.1045.18.2980.2446 [GMT 1:00]
Uruchomiony z: E:\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Utworzono nowy punkt przywracania
.
.
(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\PCDr\6032\AddOnDownloaded\489a0734-0bcc-462a-8a9c-29a40f0007b9.dll
c:\programdata\PCDr\6032\AddOnDownloaded\59abf7b9-a4a7-4d76-9ad6-13c7bb2f4d0b.dll
c:\programdata\PCDr\6032\AddOnDownloaded\5b35a8f1-54bf-4743-8fd7-358ffc15372a.dll
c:\programdata\PCDr\6032\AddOnDownloaded\5f996ddf-fafd-4f93-b623-a362758305b9.dll
c:\programdata\PCDr\6032\AddOnDownloaded\63acf506-979e-4b72-a7ce-2af6dc2b98c4.dll
c:\programdata\PCDr\6032\AddOnDownloaded\dfc97e68-74cd-4807-807f-ac146d81ec5d.dll
c:\programdata\PCDr\6032\AddOnDownloaded\e3146f6d-11b3-4a00-a026-1ba8b4bb00ff.dll
c:\users\Ewa\AppData\Roaming\skype.dat
c:\windows\RPSETUP.EXE.LOG
.
.
(((((((((((((((((((((((((   Pliki utworzone od 2013-01-17 do 2013-02-17  )))))))))))))))))))))))))))))))
.
.
2013-02-17 21:52 . 2013-02-17 21:52	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-02-17 19:47 . 2013-02-17 19:47	76232	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{F1C49882-2825-41A5-AFB7-C59018687451}\offreg.dll
2013-02-12 16:45 . 2013-01-08 05:32	9161176	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{F1C49882-2825-41A5-AFB7-C59018687451}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-04 21:49 . 2012-05-04 14:35	70004024	----a-w-	c:\windows\system32\MRT.exe
2013-01-17 00:28 . 2010-11-21 03:27	273840	------w-	c:\windows\system32\MpSigStub.exe
2012-12-23 03:02 . 2012-12-23 03:02	0	----a-w-	c:\windows\SysWow64\shoB3BA.tmp
2012-12-16 17:11 . 2012-12-23 02:00	46080	----a-w-	c:\windows\system32\atmlib.dll
2012-12-16 14:45 . 2012-12-23 02:00	367616	----a-w-	c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-23 02:00	295424	----a-w-	c:\windows\SysWow64\atmfd.dll
2012-12-16 14:13 . 2012-12-23 02:00	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
2012-12-07 13:20 . 2013-01-10 17:40	441856	----a-w-	c:\windows\system32\Wpc.dll
2012-12-07 13:15 . 2013-01-10 17:40	2746368	----a-w-	c:\windows\system32\gameux.dll
2012-12-07 12:26 . 2013-01-10 17:40	308736	----a-w-	c:\windows\SysWow64\Wpc.dll
2012-12-07 12:20 . 2013-01-10 17:40	2576384	----a-w-	c:\windows\SysWow64\gameux.dll
2012-12-07 11:20 . 2013-01-10 17:40	30720	----a-w-	c:\windows\system32\usk.rs
2012-12-07 11:20 . 2013-01-10 17:40	43520	----a-w-	c:\windows\system32\csrr.rs
2012-12-07 11:20 . 2013-01-10 17:40	23552	----a-w-	c:\windows\system32\oflc.rs
2012-12-07 11:20 . 2013-01-10 17:40	45568	----a-w-	c:\windows\system32\oflc-nz.rs
2012-12-07 11:20 . 2013-01-10 17:40	44544	----a-w-	c:\windows\system32\pegibbfc.rs
2012-12-07 11:20 . 2013-01-10 17:40	20480	----a-w-	c:\windows\system32\pegi-fi.rs
2012-12-07 11:20 . 2013-01-10 17:40	20480	----a-w-	c:\windows\system32\pegi-pt.rs
2012-12-07 11:19 . 2013-01-10 17:40	20480	----a-w-	c:\windows\system32\pegi.rs
2012-12-07 11:19 . 2013-01-10 17:40	46592	----a-w-	c:\windows\system32\fpb.rs
2012-12-07 11:19 . 2013-01-10 17:40	40960	----a-w-	c:\windows\system32\cob-au.rs
2012-12-07 11:19 . 2013-01-10 17:40	21504	----a-w-	c:\windows\system32\grb.rs
2012-12-07 11:19 . 2013-01-10 17:40	15360	----a-w-	c:\windows\system32\djctq.rs
2012-12-07 11:19 . 2013-01-10 17:40	55296	----a-w-	c:\windows\system32\cero.rs
2012-12-07 11:19 . 2013-01-10 17:40	51712	----a-w-	c:\windows\system32\esrb.rs
2012-12-07 10:46 . 2013-01-10 17:40	43520	----a-w-	c:\windows\SysWow64\csrr.rs
2012-12-07 10:46 . 2013-01-10 17:40	30720	----a-w-	c:\windows\SysWow64\usk.rs
2012-12-07 10:46 . 2013-01-10 17:40	45568	----a-w-	c:\windows\SysWow64\oflc-nz.rs
2012-12-07 10:46 . 2013-01-10 17:40	44544	----a-w-	c:\windows\SysWow64\pegibbfc.rs
2012-12-07 10:46 . 2013-01-10 17:40	20480	----a-w-	c:\windows\SysWow64\pegi-pt.rs
2012-12-07 10:46 . 2013-01-10 17:40	23552	----a-w-	c:\windows\SysWow64\oflc.rs
2012-12-07 10:46 . 2013-01-10 17:40	20480	----a-w-	c:\windows\SysWow64\pegi-fi.rs
2012-12-07 10:46 . 2013-01-10 17:40	46592	----a-w-	c:\windows\SysWow64\fpb.rs
2012-12-07 10:46 . 2013-01-10 17:40	20480	----a-w-	c:\windows\SysWow64\pegi.rs
2012-12-07 10:46 . 2013-01-10 17:40	21504	----a-w-	c:\windows\SysWow64\grb.rs
2012-12-07 10:46 . 2013-01-10 17:40	40960	----a-w-	c:\windows\SysWow64\cob-au.rs
2012-12-07 10:46 . 2013-01-10 17:40	15360	----a-w-	c:\windows\SysWow64\djctq.rs
2012-12-07 10:46 . 2013-01-10 17:40	55296	----a-w-	c:\windows\SysWow64\cero.rs
2012-12-07 10:46 . 2013-01-10 17:40	51712	----a-w-	c:\windows\SysWow64\esrb.rs
2012-11-30 05:45 . 2013-01-10 17:39	362496	----a-w-	c:\windows\system32\wow64win.dll
2012-11-30 05:45 . 2013-01-10 17:39	243200	----a-w-	c:\windows\system32\wow64.dll
2012-11-30 05:45 . 2013-01-10 17:39	13312	----a-w-	c:\windows\system32\wow64cpu.dll
2012-11-30 05:45 . 2013-01-10 17:39	215040	----a-w-	c:\windows\system32\winsrv.dll
2012-11-30 05:43 . 2013-01-10 17:39	16384	----a-w-	c:\windows\system32\ntvdm64.dll
2012-11-30 05:41 . 2013-01-10 17:39	424448	----a-w-	c:\windows\system32\KernelBase.dll
2012-11-30 05:41 . 2013-01-10 17:39	1161216	----a-w-	c:\windows\system32\kernel32.dll
2012-11-30 05:38 . 2013-01-10 17:39	6144	---ha-w-	c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	4608	---ha-w-	c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	4608	---ha-w-	c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	5120	---ha-w-	c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2012-11-30 05:38 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2012-11-30 04:54 . 2013-01-10 17:39	5120	----a-w-	c:\windows\SysWow64\wow32.dll
2012-11-30 04:53 . 2013-01-10 17:39	274944	----a-w-	c:\windows\SysWow64\KernelBase.dll
2012-11-30 04:45 . 2013-01-10 17:39	4608	---ha-w-	c:\windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	5120	---ha-w-	c:\windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
2012-11-30 04:45 . 2013-01-10 17:39	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
.
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-06-20 1519824]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-06-20 11:18	1519824	----a-w-	c:\program files (x86)\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-06-20 1519824]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2011-01-13 283160]
"RoxWatchTray"="c:\program files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatchTray12OEM.exe" [2010-11-25 240112]
"Desktop Disc Tool"="c:\program files (x86)\Roxio\OEM\Roxio Burn\RoxioBurnLauncher.exe" [2010-11-17 514544]
"Dell DataSafe Online"="c:\program files (x86)\Dell\Dell Datasafe Online\NOBuClient.exe" [2010-08-26 1117528]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2012-12-18 38112]
"AccuWeatherWidget"="c:\program files (x86)\Dell Stage\Dell Stage\AccuWeather\accuweather.exe" [2011-04-30 885760]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"Dell Webcam Central"="c:\program files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" [2011-08-12 520330]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"ApnUpdater"="c:\program files (x86)\Ask.com\Updater\Updater.exe" [2012-06-20 1568976]
"ArcSoft Connection Service"="c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
.
c:\users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk - c:\program files (x86)\Microsoft Office\Office14\ONENOTEM.EXE [2010-12-21 227712]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2011-1-13 1138464]
TMMonitor.lnk - c:\program files (x86)\ArcSoft\TotalMedia 3.5\TMMonitor.exe [2012-9-14 264256]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-09-15 27760]
R2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\AESTSr64.exe [2009-03-03 89600]
R2 AntiVirSchedulerService;Avira Scheduler;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-08 86224]
R2 AntiVirWebService;Avira Web Protection;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2012-05-08 465360]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2011-01-13 13336]
R2 NOBU;Dell DataSafe Online;c:\program files (x86)\Dell\Dell Datasafe Online\NOBuAgent.exe SERVICE [x]
R2 RoxWatch12;Roxio Hard Drive Watcher 12;c:\program files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatch12OEM.exe [2010-11-25 219632]
R2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
R2 SftService;SoftThinks Agent Service;c:\program files (x86)\Dell DataSafe Local Backup\sftservice.EXE [2011-07-08 1692480]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-11-09 160944]
R2 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2011-12-14 2984832]
R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2011-02-01 2656280]
R3 BTWAMPFL;BTWAMPFL;c:\windows\system32\DRIVERS\btwampfl.sys [2011-08-18 349736]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2011-08-18 39464]
R3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\system32\DRIVERS\CtClsFlt.sys [2011-06-16 176000]
R3 IntcDAud;Intel(R) Audio dla ekranów;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-10-15 317440]
R3 IT9135BDA;IT9135 BDA Devices;c:\windows\system32\Drivers\IT9135BDA.sys [2012-09-14 165504]
R3 RoxMediaDB12OEM;RoxMediaDB12OEM;c:\program files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxMediaDB12OEM.exe [2010-11-25 1116656]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2010-10-30 250984]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-05-17 533096]
R3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2011-10-01 764264]
R3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2011-10-01 268648]
R3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2011-10-01 25960]
R3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2011-10-01 22376]
R3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 WatAdminSvc;Usługa Technologie aktywacji systemu Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2011-12-30 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2010-03-19 55856]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-03-30 167960]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-03-30 391704]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-03-30 418840]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2011-03-29 608112]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2011-05-27 1128448]
"Stage Remote"="c:\program files (x86)\Dell\Stage Remote\StageRemote.exe" [2011-06-28 2022976]
"DellStage"="c:\program files (x86)\Dell Stage\Dell Stage\stage_primary.exe" [2011-04-30 2055016]
.
------- Skan uzupełniający -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.pl/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&ksportuj do programu Microsoft Excel - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000
IE: Wyślij &do programu OneNote - c:\progra~2\MICROS~1\Office14\ONBttnIE.dll/105
IE: Wyślij obraz do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Wyślij stronę do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\program files (x86)\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\ye3v2xaz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10401&locale=en_PL&apn_uid=59d8816b-b3c6-4bbe-bd81-a2e78f19a211&apn_ptnrs=%5EABZ&apn_sauid=6B1A952F-2C44-46C4-9B2F-8F99E20BB5D4&apn_dtid=%5EYYYYYY%5EYY%5EPL&&q=
.
.
------- Skojarzenia plików -------
.
JSEFile=%SystemRoot%\SysWow64\CScript.exe "%1" %*
.
- - - - USUNIĘTO PUSTE WPISY - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
.
.
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Czas ukończenia: 2013-02-17  22:56:25
ComboFix-quarantined-files.txt  2013-02-17 21:56
.
Przed: 236 706 566 144 bajtów wolnych
Po: 236 517 208 064 bajtów wolnych
.
- - End Of File - - 5D9B2D2C95EA88826A220F9AA794776C

Modifié le 20 février 2013 par xav795

[Apollo]

Bonjour,

 

Il ne faut pas utiliser ComboFix si un conseiller sécurité ne te le demande pas expressément.

 

STP, dans la mesure du possible, télécharge les outils en français ou en anglais; je n'ai jamais appris le polonais

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

Télécharger RogueKiller (Site Officiel)

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

----------------------------------

 

2) Clique sur Suppression et poste le rapport.

 

Explications de Tigzy: [RogueKiller] V7 - Tutorial officiel

 

Poste les rapports obtenus après chaque demande de manip stp.

 

 

Autres options à faire:

 

- HostRAZ

- Proxyraz

- DNS Raz

- RaccourcisRaz (si les icônes ont disparu, uniquement).

- Rapports.

[xav795]

Bonjour,

 

Merci pour votre réponse, voici le résultat après scannage :

Veuillez noter par ailleurs, qu'après avoir redémarrer l'ordinateur à la suite du passage de combofix, celui-ci pour la première a réussi un démarrage normal, c'est donc un peu mieux.

 

RogueKiller V8.5.1 _x64_ [Feb 18 2013] od Tigzy

mail : tigzyRK<at>gmail<dot>com

Dodaj opinię : RogueKiller - Geeks to Go Forums

Strona internetowa : Download RogueKiller (Official website)

Blog : tigzy-RK

 

System Operacyjny : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Uruchomiono z : Tryb normalny

Użytkownik : Ewa [uprawnienia Administratora]

Tryb : Skanuj -- Data : 02/18/2013 19:29:09

| ARK || FAK || MBR |

 

¤¤¤ Szkodliwe procesy : 0 ¤¤¤

 

¤¤¤ Wpisy w Rejestrze : 4 ¤¤¤

[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> ZNALEZIONO

[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> ZNALEZIONO

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> ZNALEZIONO

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> ZNALEZIONO

 

¤¤¤ Pliki / Foldery: ¤¤¤

[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\Desktop.ini [-] --> ZNALEZIONO

 

¤¤¤ Sterownik : [NIEZAŁADOWANY] ¤¤¤

 

¤¤¤ Infekcja : ZeroAccess ¤¤¤

 

¤¤¤ Plik HOSTS: ¤¤¤

--> C:\windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ Sprawdzenie MBR: ¤¤¤

 

+++++ PhysicalDrive0: ST9320325AS +++++

--- User ---

[MBR] 3e285715f24769d0f7fb23daf6978c08

[bSP] 3918e57cf52aa961a94782aa10458f67 : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 15000 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 290143 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Zakończono : << RKreport[1]_S_02182013_02d1929.txt >>

RKreport[1]_S_02182013_02d1929.txt

 

 

 

 

 

Voici le résultat après suppression :

RogueKiller V8.5.1 _x64_ [Feb 18 2013] od Tigzy

mail : tigzyRK<at>gmail<dot>com

Dodaj opinię : RogueKiller - Geeks to Go Forums

Strona internetowa : Download RogueKiller (Official website)

Blog : tigzy-RK

 

System Operacyjny : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Uruchomiono z : Tryb normalny

Użytkownik : Ewa [uprawnienia Administratora]

Tryb : Usuń -- Data : 02/18/2013 19:53:28

| ARK || FAK || MBR |

 

¤¤¤ Szkodliwe procesy : 0 ¤¤¤

 

¤¤¤ Wpisy w Rejestrze : 3 ¤¤¤

[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> USUNIĘTO

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> PODMIENIONO (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> PODMIENIONO (0)

 

¤¤¤ Pliki / Foldery: ¤¤¤

[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\Desktop.ini [-] --> USUNIĘTO

 

¤¤¤ Sterownik : [NIEZAŁADOWANY] ¤¤¤

 

¤¤¤ Infekcja : ZeroAccess ¤¤¤

 

¤¤¤ Plik HOSTS: ¤¤¤

--> C:\windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ Sprawdzenie MBR: ¤¤¤

 

+++++ PhysicalDrive0: ST9320325AS +++++

--- User ---

[MBR] 3e285715f24769d0f7fb23daf6978c08

[bSP] 3918e57cf52aa961a94782aa10458f67 : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 15000 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 290143 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Zakończono : << RKreport[2]_D_02182013_02d1953.txt >>

RKreport[1]_S_02182013_02d1929.txt ; RKreport[2]_D_02182013_02d1953.txt

 

 

 

[Apollo]

Re,

 

Étape 1: TDSSKiller (de Kaspersky), installation

Téléchargez tdsskiller.zip depuis le lien ci-dessous:

http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

 

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.

 

 

Étape 2: TDSSKiller (de Kaspersky), exécution

Faites un double clic sur TDSSKiller.exe pour le lancer.

 

L'écran de TDSSKiller s'affiche:

 

Cliquez sur Change parameters

 

L'écran Settings de TDSSKiller s'affiche:

 

Cochez la case située devant Loaded modules

 

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".

 

Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

 

Le PC redémarre.

 

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

 

Soyez patient, et attendez que vos programmes se chargent.

 

L'écran de TDSSKiller s'affiche:

 

Cliquez sur Change parameters

 

L'écran Settings de TDSSKiller s'affiche.

Cochez toutes les cases, comme ceci:

 

puis cliquez sur le bouton OK.

 

Cliquez maintenant sur Start scan pour lancer l'analyse.

 

Déroulement de l'analyse:

 

Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

 

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas

*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.

*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

 

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:

 

Ensuite cliquez sur le bouton Continue

 

Un redémarrage est nécessaire:

 

Cliquez sur Reboot computer

 

 

Étape 3: Résultats

Envoyez en réponse:

*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)

%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:]

 

Héberger le rapport sur Accueil de Cjoint.com svp.

 

@++

[xav795]

HOst Raz

 

RogueKiller V8.5.1 _x64_ [Feb 18 2013] od Tigzy
mail : tigzyRK<at>gmail<dot>com
Dodaj opinię : [url=http://www.geekstogo.com/forum/files/file/413-roguekiller/]RogueKiller - Geeks to Go Forums[/url]
Strona internetowa : [url=http://tigzy.geekstogo.com/roguekiller.php]Download RogueKiller (Official website)[/url]
Blog : [url=http://tigzyrk.blogspot.com/]tigzy-RK[/url]

System Operacyjny : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Uruchomiono z : Tryb normalny
Użytkownik : Ewa [uprawnienia Administratora]
Tryb : Naprawa HOSTS -- Data : 02/18/2013 19:58:56
| ARK || FAK || MBR |

¤¤¤ Szkodliwe procesy : 0 ¤¤¤

¤¤¤ Wpisy w Rejestrze : 0 ¤¤¤

¤¤¤ Sterownik : [NIEZAŁADOWANY] ¤¤¤

¤¤¤ Infekcja : ZeroAccess ¤¤¤

¤¤¤ Plik HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts

127.0.0.1       localhost


¤¤¤ Przywrócono plik HOSTS: ¤¤¤


Zakończono : << RKreport[3]_H_02182013_02d1958.txt >>
RKreport[1]_S_02182013_02d1929.txt ; RKreport[2]_D_02182013_02d1953.txt ; RKreport[3]_H_02182013_02d1958.txt

 

ProxyRaz

RogueKiller V8.5.1 _x64_ [Feb 18 2013] od Tigzy
mail : tigzyRK<at>gmail<dot>com
Dodaj opinię : [url=http://www.geekstogo.com/forum/files/file/413-roguekiller/]RogueKiller - Geeks to Go Forums[/url]
Strona internetowa : [url=http://tigzy.geekstogo.com/roguekiller.php]Download RogueKiller (Official website)[/url]
Blog : [url=http://tigzyrk.blogspot.com/]tigzy-RK[/url]

System Operacyjny : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Uruchomiono z : Tryb normalny
Użytkownik : Ewa [uprawnienia Administratora]
Tryb : Naprawa Proxy -- Data : 02/18/2013 20:00:58
| ARK || FAK || MBR |

¤¤¤ Szkodliwe procesy : 0 ¤¤¤

¤¤¤ Wpisy w Rejestrze : 0 ¤¤¤

¤¤¤ Sterownik : [NIEZAŁADOWANY] ¤¤¤

¤¤¤ Infekcja : ZeroAccess ¤¤¤

Zakończono : << RKreport[4]_PR_02182013_02d2000.txt >>
RKreport[1]_S_02182013_02d1929.txt ; RKreport[2]_D_02182013_02d1953.txt ; RKreport[3]_H_02182013_02d1958.txt ; RKreport[4]_PR_02182013_02d2000.txt

 

DNSRaz

RogueKiller V8.5.1 _x64_ [Feb 18 2013] od Tigzy
mail : tigzyRK<at>gmail<dot>com
Dodaj opinię : [url=http://www.geekstogo.com/forum/files/file/413-roguekiller/]RogueKiller - Geeks to Go Forums[/url]
Strona internetowa : [url=http://tigzy.geekstogo.com/roguekiller.php]Download RogueKiller (Official website)[/url]
Blog : [url=http://tigzyrk.blogspot.com/]tigzy-RK[/url]

System Operacyjny : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Uruchomiono z : Tryb normalny
Użytkownik : Ewa [uprawnienia Administratora]
Tryb : Naprawa DNS -- Data : 02/18/2013 20:03:08
| ARK || FAK || MBR |

¤¤¤ Szkodliwe procesy : 0 ¤¤¤

¤¤¤ Wpisy w Rejestrze : 0 ¤¤¤

¤¤¤ Sterownik : [NIEZAŁADOWANY] ¤¤¤

¤¤¤ Infekcja : ZeroAccess ¤¤¤

Zakończono : << RKreport[5]_DN_02182013_02d2003.txt >>
RKreport[1]_S_02182013_02d1929.txt ; RKreport[2]_D_02182013_02d1953.txt ; RKreport[3]_H_02182013_02d1958.txt ; RKreport[4]_PR_02182013_02d2000.txt ; RKreport[5]_DN_02182013_02d2003.txt

 

raccourcis RAZ

RogueKiller V8.5.1 _x64_ [Feb 18 2013] od Tigzy
mail : tigzyRK<at>gmail<dot>com
Dodaj opinię : [url=http://www.geekstogo.com/forum/files/file/413-roguekiller/]RogueKiller - Geeks to Go Forums[/url]
Strona internetowa : [url=http://tigzy.geekstogo.com/roguekiller.php]Download RogueKiller (Official website)[/url]
Blog : [url=http://tigzyrk.blogspot.com/]tigzy-RK[/url]

System Operacyjny : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Uruchomiono z : Tryb normalny
Użytkownik : Ewa [uprawnienia Administratora]
Tryb : Naprawa Skrótów -- Data : 02/18/2013 20:05:52
| ARK || FAK || MBR |

¤¤¤ Szkodliwe procesy : 0 ¤¤¤

¤¤¤ Sterownik : [NIEZAŁADOWANY] ¤¤¤

¤¤¤ Przywrócono atrybuty plików: ¤¤¤
Pulpit: Success 1 / Fail 0
Szybkie uruchamianie: Success 1 / Fail 0
Programy: Success 12 / Fail 0
Menu Start: Success 1 / Fail 0
Folder użytkownika: Success 127 / Fail 0
Dokumenty: Success 0 / Fail 0
Ulubione: Success 0 / Fail 0
Obrazy: Success 0 / Fail 0
Muzyka: Success 0 / Fail 0
Filmy: Success 0 / Fail 0
Dyski lokalne: Success 106 / Fail 0
Kopia zapasowa: [NOT FOUND]

Dyski:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[Q:] \Device\SftVol -- 0x3 --> Restored

¤¤¤ Infekcja : ZeroAccess ¤¤¤

Zakończono : << RKreport[6]_SC_02182013_02d2005.txt >>
RKreport[1]_S_02182013_02d1929.txt ; RKreport[2]_D_02182013_02d1953.txt ; RKreport[3]_H_02182013_02d1958.txt ; RKreport[4]_PR_02182013_02d2000.txt ; RKreport[5]_DN_02182013_02d2003.txt ; 
RKreport[6]_SC_02182013_02d2005.txt

[Apollo]

C'est bien, fais à présent ce que je demande au post # 4 stp..

 

@++

[xav795]

Re-Bonsoir,

 

Je viens d'exécuter le scan grâce à l'outil indiqué mais il ne détecte rien de suspect. J'obtiens le rapport suivant :

rapport

[Apollo]

Ca me semble bien court comme rapport! TDSSKiller a l'habitude de produire des logs de plusieurs centaines de lignes.

 

L'antivirus ne s'est pas interposé?

 

Fais une analyse complète avec cet outil: Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français

 

Cela peut durer longtemps.

 

@++

[xav795]

Bonjour,

 

J'ai désactivé la surveillance temps réel de l'antivirus que j'utilise sur le poste. Il s'agit d'AVIRA, d'ailleurs au passage, est-ce un bon produit ?

Puis j'ai lancé l'installation et l'exécution de l'outil de Kapersky.

Effectivement il a fallu quasimment trois heures pour qu'il finisse et il a détecté un trojan, que nous avons supprimé comme cela était proposé.

Par contre, le programme a terminé sans surveillance et ce matin il restait seulement une fenêtre d'exécution ms-dos ouverte, avec une invite dans une autre fenêtre à exécuter un programme d'un nom un peu bizarre : 98798798.exe.

Je ne suis pas sûr du nom exact, mais sa signature était celle de Kapersky, donc j'ai validé. Cela a lancé la désinstallation de l'outil, mais du coup je ne suis pas en mesure de fournir le rapport lié à l'exécution de l'outil.

 

Xavier

[Apollo]

Bonjour,

 

Comment se comporte le pc?

 

1) Télécharger SFT de Pierre13. A enregistrer absolument sur le BUREAU!

 

Voir le Fichier : SFT.exe

 

Lien de Pierre13: http://www.archive-host.com/link/949757cd6cfc60d9254f507c4d922f643029d9db.exe

 

Si vous avez une ancienne version de SFT, supprimez-la, la dernière version cherchera s'il existe une version plus récente.

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

• Double clique (xp) sur SFT.exe.
  Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
  Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
   
  
   
  Un rapport va s'ouvrir à la fin.
   
  Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

--------------------------

 

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

 

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++