Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection ReimagePlus.com

sharleen*
 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

 

Je regrette si l'ordre n'est pas suivi : il n'y a pas indiqué "proxy,etc

 

Oui, je viens de m'en rendre compte en téléchargeant la dernière version; il y a du changement et il va falloir revoir nos procédures sur cet outil... ce que j'ai du mal à comprendre, c'est qu'on fait compliqué alors que c'était bien plus simple avant.

 

@++

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)

Voilà, j'ai supprimé ce qui a été trouvé dans le registre (je n'ai pas touché aux autres onglets).

excuse-moi, je fatigue, je n'avais pas vu que je n'avais pas coché les cases..

 

Merci pour ta réponse, je me demandais pourquoi je ne trouvais pas proxy et le reste.

 

Rapport registre.

 

 

RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Démarrage : Mode normal
Utilisateur : YORK [Droits d'admin]
Mode : Suppression -- Date : 05/30/2014 19:52:59

¤¤¤ Processus malicieux : 1 ¤¤¤
[suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ

¤¤¤ Entrées de registre : 9 ¤¤¤
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> SUPPRIMÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> SUPPRIMÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> SUPPRIMÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> SUPPRIMÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> SUPPRIMÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> SUPPRIMÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> SUPPRIMÉ
[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> SUPPRIMÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 26 ¤¤¤
[sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4
[sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e
[sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe
[sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96
[sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64
[sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73
[sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d
[sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf
[sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b
[sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82
[sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50
[sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91
[sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55
[sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7
[sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c
[sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8
[sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87
[sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3
[sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd
[sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0
[sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78
[sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2
[sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f
[sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a
[shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6
[shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++
--- User ---
[MBR] 135cd55e761913a22b95468f51943da9
[bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )


============================================
RKreport_SCN_05302014_190558.log - RKreport_DEL_05302014_191500.log - RKreport_SCN_05302014_195232.log

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

1)

Télécharge RKill de Grinler sur le bureau.

Sous xp: double-cliquer sur RKill.
Sous Vista/7, clic droit/exécuter en temps qu'administrateur.

Une fenêtre très rapide indiquera que tout s'est bien passé.

Ne pas redémarrer le pc sinon le malware repartira de plus belle.

 

2)

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

Désactiver les protections (antivirus, firewall, antispyware).
Si vous ne savez pas comment faire, reportez-vous à cet article.

Connecter les supports amovibles (clé usb et autres) avant de procéder.

TUTO Officiel

Fais un clic droit ICI

  • Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  • Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop

     

    exemple: comborenomm2.jpg

     

  • On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.

     

     

  • Clique enfin sur le bouton Enregistrer en bas de page à droite.
  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur plop.
  • attention.gifSi la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!

     

    consolerestaucf.jpg

     

  • Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".
apparaissait, redémarrer le pc.

sshot-1-9.jpg

 

 

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Cela dépend: plus un pc est infecté, plus cela dure.

 

Le minimum est de 10/15 minutes mais cela dépend de beaucoup de choses: nombres de fichiers à analyser, puissance de l'ordinateur (ram). etc.

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)

Bonjour Apollo.

Voici les rapports.

 

Pour info : quand la fenêtre Combofix s'est ouverte et que ça a commencé à travaillé, à un moment cela a signalé que la console de récupération n'était pas sur Windows.

Or elle y est.

Ensuite message "l'ordinateur ne semble pas connecté à Internet, veuillez vérifier avant de cliquer sur oui".

Or c'était bien connecté. J'ai cliqué sur oui quand même, n'osant pas interrompre le processus.

Le message "échec téléchargement fichiers" est apparu.

Le scan a ensuite commencé.

 

Il y a toujours la page d'acceuil google sur FF, pour info.

Merci.

 

 

Rapport Rkill :

 

 

Rkill 2.6.6 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2014 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 05/31/2014 11:08:28 AM in x86 mode.
Windows Version: Microsoft Windows XP Service Pack 3

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* Windows Firewall Disabled

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = dword:00000000

Checking Windows Service Integrity:

* Client DNS (Dnscache) is not Running.
Startup Type set to: Disabled

Searching for Missing Digital Signatures:

 

 

 

 

 

Rapport Combofix

 

ComboFix 14-05-29.01 - YORK 31/05/2014 11:27:02.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.631 [GMT 2:00]
Lancé depuis: c:\documents and settings\YORK\Bureau\plop.exe
AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
FW: CA Personal Firewall 9.1.0.26 *Disabled* {14CB4B80-8E52-45EA-905E-67C1267B4160}
FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\windows\system32\PowerToyReadme.htm
c:\windows\system32\SET659.tmp
c:\windows\system32\SET65E.tmp
c:\windows\system32\SET90.tmp
c:\windows\system32\SET94.tmp
c:\windows\system32\SET9B.tmp
c:\windows\system32\SET9F.tmp
c:\windows\system32\SETA0.tmp
c:\windows\system32\SETA1.tmp
c:\windows\system32\SETA2.tmp
c:\windows\system32\SETA9.tmp
c:\windows\system32\SETAF.tmp
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2014-04-28 au 2014-05-31 ))))))))))))))))))))))))))))))))))))
.
.
2014-05-30 16:58 . 2014-05-30 16:58 26624 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2014-05-30 16:58 . 2014-05-30 16:58 -------- d-----w- c:\documents and settings\All Users\Application Data\RogueKiller
2014-05-29 20:01 . 2014-05-30 08:53 -------- d-----w- C:\AdwCleaner
2014-05-29 19:20 . 2014-05-29 19:20 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2014-05-29 19:15 . 2014-05-29 19:54 -------- d-----w- c:\documents and settings\YORK\Application Data\ZHP
2014-05-29 19:15 . 2014-05-29 19:20 -------- d-----w- c:\program files\ZHPDiag
2014-05-08 13:48 . 2014-05-08 13:48 227704 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-05-14 09:47 . 2012-04-28 11:15 692400 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-05-14 09:47 . 2012-01-16 17:21 70832 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-03-06 17:58 . 2008-04-13 17:34 1469440 ------w- c:\windows\system32\inetcpl.cpl
2014-03-06 17:58 . 2008-04-13 17:33 920064 ----a-w- c:\windows\system32\wininet.dll
2014-03-06 17:58 . 2008-04-13 17:33 43520 ----a-w- c:\windows\system32\licmgr10.dll
2014-03-06 17:58 . 2008-04-13 17:33 18944 ----a-w- c:\windows\system32\corpol.dll
2014-03-06 00:46 . 2008-04-13 17:00 385024 ----a-w- c:\windows\system32\html.iec
2007-02-10 15:14 . 2007-02-10 15:14 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
2009-03-31 20:47 . 2014-05-15 14:26 324976 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB-Set"="wscript" [X]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-27 7118848]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"NVRotateSysTray"="c:\windows\system32\nvsysrot.dll" [2005-07-27 49152]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-04-28 2374464]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2009-04-28 428032]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2014-03-13 689744]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2013-11-21 959904]
"TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2013-06-23 295512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-05 44544]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Enryko.lnk - c:\program files\Enryko\Enryko.exe [2006-10-19 274432]
NETGEAR ProSafe VPN Client.lnk - c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2009-12-10 77876]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-05-31 20:46 110592 ----a-w- c:\program files\Intel\Wireless\Bin\LgNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2005-08-22 09:52 49152 ----a-w- c:\program files\Softex\OmniPass\OPXPGina.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Fichiers communs\\AOL\\System Information\\sinf.exe"=
"c:\\Program Files\\NETGEAR\\NETGEAR ProSafe VPN Client\\IreIKE.exe"=
"c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe:127.0.0.1/255.255.255.255:Enabled:ViewLog
"c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe:127.0.0.1/255.255.255.255:Enabled:CMonApp
"c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe:127.0.0.1/255.255.255.255:Enabled:VPN Connection Manager
.
R2 AntiVirMailService;Avira Protection e-mail;c:\program files\Avira\AntiVir Desktop\avmailc.exe [2014-03-13 896592]
R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\DRIVERS\TEchoCan.sys [2005-07-14 444032]
S0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\DRIVERS\thpdrv.sys [2004-12-27 16384]
S0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\DRIVERS\Thpevm.SYS [2007-09-03 6528]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2013-11-27 37352]
S1 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\Drivers\IPSECDRV.sys [2008-02-04 138296]
S1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [2009-04-06 704384]
S1 TMEI3E;TMEI3E;c:\windows\system32\Drivers\TMEI3E.SYS [2004-06-16 5888]
S2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2009-04-28 1195008]
S2 AntiVirSchedulerService;Avira Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2014-03-13 440400]
S2 AntiVirWebService;Avira Protection Web;c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2014-03-13 1017424]
S2 Crypto;Crypto;c:\windows\system32\Drivers\Crypto.sys [2008-01-17 536634]
S2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe [2013-04-16 39056]
S2 Tmesrv;Tmesrv3;c:\program files\TOSHIBA\TME3\Tmesrv31.exe [2005-04-05 118784]
S3 afw;Agnitum firewall driver;c:\windows\system32\DRIVERS\afw.sys [2009-02-18 31128]
S3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2009-02-10 257432]
S3 DniVap;Deterministic Networks WAN Miniport (Virtual);c:\windows\system32\DRIVERS\vap.sys [2008-01-02 29184]
S3 IFXTPM;IFXTPM;c:\windows\system32\DRIVERS\IFXTPM.SYS [2005-06-10 35968]
.
.
Contenu du dossier 'Tâches planifiées'
.
2014-05-31 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 09:48]
.
2014-05-31 c:\windows\Tasks\Notification de fin de service de Microsoft Windows XP - à la connexion.job
- c:\windows\system32\xp_eos.exe [2014-03-26 23:28]
.
2014-05-08 c:\windows\Tasks\Notification de fin de service de Microsoft Windows XP -mensuellement.job
- c:\windows\system32\xp_eos.exe [2014-03-26 23:28]
.
2006-10-19 c:\windows\Tasks\Rappel d'enregistrement 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-08-29 17:34]
.
2006-10-19 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-08-29 17:34]
.
2014-05-31 c:\windows\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-544044165-1649040337-268803306-1006.job
- c:\program files\RealNetworks\RealDownloader\recordingmanager.exe [2013-04-16 01:09]
.
2014-05-31 c:\windows\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-544044165-1649040337-268803306-1006.job
- c:\program files\RealNetworks\RealDownloader\realupgrade.exe [2013-04-16 01:07]
.
2014-05-31 c:\windows\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-544044165-1649040337-268803306-1006.job
- c:\program files\RealNetworks\RealDownloader\realupgrade.exe [2013-04-16 01:07]
.
2014-05-31 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-544044165-1649040337-268803306-1006.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45]
.
2014-05-13 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-544044165-1649040337-268803306-1006.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45]
.
2014-05-31 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-544044165-1649040337-268803306-1006.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45]
.
2014-03-08 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-544044165-1649040337-268803306-1006.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = https://www.google.fr/
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\YORK\Application Data\Mozilla\Firefox\Profiles\xgkux5co.default-1401377755143\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
c:\documents and settings\YORK\Menu Démarrer\Programmes\Démarrage\ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE %SystemRoot%\ERDNT\AutoBackup\#Date# /noconfirmdelete /noprogresswindow
AddRemove-ERUNT_is1 - c:\program files\ERUNT\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-05-31 11:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,48,b4,96,65,eb,49,f8,4b,b2,f0,c6,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,48,b4,96,65,eb,49,f8,4b,b2,f0,c6,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1576)
c:\program files\Softex\OmniPass\opxpgina.dll
c:\program files\Intel\Wireless\Bin\LgNotify.dll
.
- - - - - - - > 'explorer.exe'(836)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
c:\program files\Intel\Wireless\Bin\ZcfgSvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files\TOSHIBA\TOSHIBA RAID\Service\kraidsvc.exe
c:\program files\Intel\Wireless\Bin\OProtSvc.exe
c:\program files\TOSHIBA\TOSHIBA RAID\Service\krdevctl.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wscript.exe
c:\windows\system32\rundll32.exe
c:\program files\Apoint2K\Apntex.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
.
**************************************************************************
.
Heure de fin: 2014-05-31 11:51:27 - La machine a redémarré
ComboFix-quarantined-files.txt 2014-05-31 09:51
.
Avant-CF: 67 600 052 224 octets libres
Après-CF: 67 728 236 544 octets libres
.
- - End Of File - - 60570829BF9331208F35B159998CC085
671B81004FDD1588FA9ED1331C9CECA9

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 


 

Il y a toujours la page d'acceuil google sur FF, pour info.

 

 

Et quelle est ta page habituelle d'accueil sur Firefox? Les outils de désinfection de détournement de navigateurs ont l'habitude de placer Google en page d'accueil: https://support.mozilla.org/fr/kb/comment-definir-page-accueil

 

Perso, je ne réinitialiserais pas mais désinstallerais FF avec RevoUninstaller comme expliqué plus haut.

Rappel:

 


 

Sauvegarde favoris Firefox: http://support.mozilla.org/fr/kb/restaurer-marque-pages-deplacer-ordinateur

Désinstaller le navigateur avec RevoUninstaller: http://theknitter-apollo.xooit.com/p20405.htm

Réinstaller le navigateur. (dernière version pour bien faire).

 

1) SFTGC: (nouveau) > http://theknitter-apollo.xooit.com/p22032.htm

 

 

-------------------

2) Désinstalle MBAM 1.75 et installe la dernière mouture du logiciel.

 

Si tu avais une version Pro (avec licence), celle-ci sera bonne pour conserver le MBAM Premium "à vie".

 

Une nouvelle licence par contre, ne durerait qu'une année. La version Free est aussi performante en désinfection que la Premium tant que le logiciel est tenu à jour.

 

Lire les différents posts à ce sujet dans ce topic: http://theknitter-apollo.xooit.com/t3536-MBAM-2-0-Captures-d-cran.htm

 

Choisir de faire une analyse complète (personnalisée) en n'omettant pas de cocher la case "Recherche de rootkits".

 

En cas de découverte d'objets néfastes, cliquer sur Appliquer les actions (mettre en quarantaine par défaut)

 

Le pc devra sûrement redémarrer; le rapport devra être pris après ce reboot, il se trouve dans l'historique de MBAM.

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci.

La page d'accueil de FF était le moteur de recherche Bing qui est la page d'accueil d'origine de FF.

 

Si ce n'est que cette page est un "faux" : à l'ouverture, ça s'affiche avec google en grand au-dessus du rectangle moteur de recherche, puis en 1 seconde, ça se transorfme en petit google qui se retrouve sur la gauche du rectangle de recherche, avec des animations au-dessus.

 

Pour MBAM, j'avais la version free. J'ai téléchargé la nouvelle version sur Zebulon.

Et à ce propos, le problème des pubs et boutons pour télécharger d'autres logiciels que celui choisi, perdure. Il faut vraiment faire attention où l'on clique, c'est assez vicieux.

 

J'ai été voir la messagerie : toujours le faux message d'alerte d'un logiciel espion. Et toujours les pubs..

J'ai bien noté qu'il fallait réinstaller FF, néanmoins je suis surprise qu'après tout le travail de désinfection, les problèmes d'origine demeurent : ?

Je n'ai pas été voir sur IE8.

 

J'attends ton avis pour changer FF, ou pas encore.

Idem pour MBAM. S'il faut lancer une analyse MBAM, pourrait-on enlever les logiciels que tu m'as fait télécharger ? ça ferait ça en moins de fichiers à analyser.

Modifié par sharleen*

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...