Sujet Précédent Sujet Suivant

Digital Protection

Résolu/Fermé
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010 - Modifié par ANGST06 le 11/04/2010 à 13:13
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010 - 11 avril 2010 à 22:25
Bonjour, ce matin j'ai eu l'agréable surprise d'être infecté par le rogue Digital Protection, comme prescrit dans le tuto, je vous poste le rapport.
D'avance merci.
Cordialement.

SmitFraudFix v2.424

Scan done at 12:34:38,56, 11/04/2010
Run from C:\Users\hp\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6002] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\STacSV.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\Hpservice.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\Explorer.EXE
C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Cliquer pour appeler\Bin\C2PA_Agent.exe
C:\Users\hp\AppData\Local\Temp\davclnt.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\aestsrv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\SMINST\BLService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\conime.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\hp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\hp\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\hp\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\hp\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000000


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR5007 802.11b/g WiFi Adapter
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{73838BEE-C6BC-4463-A676-17A2D43588AF}: NameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D10EFFD9-171D-4370-A135-6A7AD28ED967}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{73838BEE-C6BC-4463-A676-17A2D43588AF}: NameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D10EFFD9-171D-4370-A135-6A7AD28ED967}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



18 réponses

Réponse 1 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 13:21
Bonjour,

Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante. 

 netsvcs 
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
CREATERESTOREPOINT


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+
0
Réponse 2 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
11 avril 2010 à 13:55
Merci pour ta réponse voici les rapports.

OTL.txt:

http://www.cijoint.fr/cjlink.php?file=cj201004/cijNjaud8d.txt

EXTRAS.txt:

http://www.cijoint.fr/cjlink.php?file=cj201004/cijopF1NHZ.txt
0
Réponse 3 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 14:15
Re,

Relance OTL.exe.

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant : 

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Fast Browser Search Toolbar Helper) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll ()
O3 - HKLM\..\Toolbar: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll ()
O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll ()
O4 - HKCU..\Run: [davclnt.exe] C:\Users\hp\AppData\Local\Temp\davclnt.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Digital Protection] C:\Users\hp\AppData\Local\Temp\Digital Protection\digprot.exe ()
O16 - DPF: CabBuilder http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: TaskMan - (C:\Users\hp\csrss.exe) - C:\Users\hp\csrss.exe ()
O20 - HKCU Winlogon: Shell - (C:\Users\hp\csrss.exe) - C:\Users\hp\csrss.exe ()
[2010/04/11 13:27:11 | 000,002,620 | ---- | M] () -- C:\ProgramData\fiosejgfse.dll
[2010/04/11 12:34:42 | 000,006,436 | ---- | M] () -- C:\Windows\System32\tmp.reg


:Files
C:\Program Files\Fast Browser Search
C:\Users\hp\AppData\Local\Temp\Digital Protection

:reg
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"=0

:Commands
[emptytemp]



* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

A+
0
Réponse 4 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
11 avril 2010 à 14:24
Bon et bien apparemment il est plus là. Mais j'attends quand même ta confirmation.

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ deleted successfully.
C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{1BB22D38-A411-4B13-A746-C2A4F4EC7344} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}\ deleted successfully.
File C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{1BB22D38-A411-4B13-A746-C2A4F4EC7344} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}\ not found.
File C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\davclnt.exe deleted successfully.
C:\Users\hp\AppData\Local\Temp\davclnt.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Digital Protection deleted successfully.
C:\Users\hp\AppData\Local\Temp\Digital Protection\digprot.exe moved successfully.
Starting removal of ActiveX control CabBuilder
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\CabBuilder\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\CabBuilder\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\CabBuilder\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\Users\hp\csrss.exe deleted successfully.
C:\Users\hp\csrss.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\hp\csrss.exe deleted successfully.
File C:\Users\hp\csrss.exe not found.
C:\ProgramData\fiosejgfse.dll moved successfully.
C:\Windows\System32\tmp.reg moved successfully.
========== FILES ==========
C:\Program Files\Fast Browser Search\IE folder moved successfully.
C:\Program Files\Fast Browser Search folder moved successfully.
C:\Users\hp\AppData\Local\Temp\Digital Protection folder moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: hp
->Temp folder emptied: 31506970 bytes
->Temporary Internet Files folder emptied: 122955612 bytes
->Java cache emptied: 56489914 bytes
->FireFox cache emptied: 33319250 bytes
->Flash cache emptied: 6856 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 22726 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 12524 bytes

Total Files Cleaned = 233,00 mb


OTL by OldTimer - Version 3.2.1.1 log created on 04112010_141706

Files\Folders moved on Reboot...
C:\Users\hp\AppData\Local\Temp\ehmsas.txt moved successfully.
C:\Users\hp\AppData\Local\Temp\PRAGMA859.tmp moved successfully.
File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 14:37
Re,

Oui, pour le rogue ( faux antivirus ), cela a marché.
On va faire quelques vérifications.

1/ Relance OTL et copie/colle le texte suivant sous Personnalisation : 

C:\Windows\PRAGMAtnrdsxiwvn\*.* /s
C:\Windows\PRAGMArtveqatsue\*.* /s


Poste le rapport en utilisant le site http://www.cijoint.fr

2/ Télécharge USBFix ( par Chiquitine29 ) sur ton bureau.

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

* Double clic sur UsbFix.exe présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

A+
0
Réponse 6 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
11 avril 2010 à 14:59
Rapport OTL :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijRBItFby.txt

_______________________________________________________________



############################## | UsbFix V6.102 |

User : hp (Administrateurs) # COZETTE
Update on 10/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:52:28 | 11/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) X2 Dual-Core QL-64
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled
AV : Digital Protection 1.0 [ Enabled | (!) Outdated ]

C:\ -> Disque fixe local # 287,53 Go (186,86 Go free) # NTFS
D:\ -> Disque fixe local # 10,55 Go (1,78 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 249,58 Mo (57,16 Mo free) [CLEF USB BV] # FAT

################## | Elements infectieux |

C:\Users\hp\wlsetup-custom.exe
G:\autorun.inf -> fichier appelé : "G:\IVANA/bovan.exe" ( Absent ! )
G:\autorun.inf -> fichier appelé : "G:\IVANA/bovan.exe" ( Absent ! )
G:\autorun.inf
G:\IVANA\desktop.ini
G:\IVANA

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{7ab2b2ff-c32f-11de-a208-00238b5425f7}
shell\AutoRun\command =F:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{a9f3d45f-c32c-11de-a64c-00238b5425f7}
shell\AutoRun\command =IVANA/bovan.exe
shell\open\command =IVANA/bovan.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.102 ! |
0
Réponse 7 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 15:19
ANGSTO6,

1/ Je remarque ceci dans le rapport d'USBFix : 

AV : Digital Protection 1.0 [ Enabled | (!) Outdated ]

Le rogue a bien été supprimé mais il reste quelques traces.
regarde dans le centre de sécurité ( panneau de configuration) et dans la partie programmes contre les logiciels malveillants.

2/ (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectées sans les ouvrir

* Double clic sur usbfix.exe présent sur ton bureau
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
* Ton bureau disparaitra et le pc redémarrera .
* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
* Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

A+
0
Réponse 8 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
11 avril 2010 à 15:47
Encore une fois merci.
J'ai lancé le window defender qui m'indique que mon pc s'exécute correctement et voici pour le rapport USBFIX (envoyé à l'adresse indiquée)

############################# | UsbFix V6.102 |

User : hp (Administrateurs) # COZETTE
Update on 10/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:35:33 | 11/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) X2 Dual-Core QL-64
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled
AV : Digital Protection 1.0 [ Enabled | (!) Outdated ]

C:\ -> Disque fixe local # 287,53 Go (186,77 Go free) # NTFS
D:\ -> Disque fixe local # 10,55 Go (1,78 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\Users\hp\wlsetup-custom.exe
Supprimé ! C:\$Recycle.Bin\S-1-5-20
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1106465231-353655327-60150735-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1607345543-413786726-1390949375-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1607345543-413786726-1390949375-500
Supprimé ! C:\Recycler\S-1-5-21-2855101969-8650970115-301066977-4378
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1607345543-413786726-1390949375-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1607345543-413786726-1390949375-500

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{7ab2b2ff-c32f-11de-a208-00238b5425f7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a9f3d45f-c32c-11de-a64c-00238b5425f7}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[11/04/2009 08:36|-rahs----|333257] C:\bootmgr
[18/09/2006 23:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[?|?|?] C:\pagefile.sys
[11/04/2010 12:35|--a------|6458] C:\rapport.txt
[11/04/2010 15:39|--a------|1920] C:\UsbFix.txt
[21/01/2009 14:59|---hs----|13] D:\BLOCK.RIN
[04/10/2006 01:02|---hs----|438328] D:\bootmgr
[12/09/2008 20:00|---hs----|1199] D:\Desktop.ini
[10/09/2002 18:14|---hs----|8134] D:\Folder.htt
[11/04/2010 15:34|--ahs----|196] D:\MASTER.LOG
[12/09/2008 19:17|---hs----|381873] D:\protect.arabic
[15/09/2008 17:57|---hs----|182624] D:\protect.bulgarian
[16/09/2002 16:37|---hs----|181898] D:\protect.chinese hong kong
[16/09/2002 16:37|---hs----|181916] D:\protect.chinese simplified
[16/09/2002 16:37|---hs----|181898] D:\protect.chinese traditional
[27/04/2006 18:19|---hs----|181865] D:\protect.czech
[03/11/2005 17:21|---hs----|181726] D:\protect.danish
[10/09/2002 15:56|---hs----|181605] D:\protect.dutch
[10/09/2002 15:50|---hs----|181651] D:\protect.ed
[22/11/2004 17:28|---hs----|181648] D:\protect.english
[03/11/2005 17:20|---hs----|181673] D:\protect.finnish
[03/11/2005 17:19|---hs----|181736] D:\protect.french
[03/11/2005 17:18|---hs----|181669] D:\protect.german
[23/11/2005 17:56|---hs----|182689] D:\protect.greek
[23/01/2006 11:18|---hs----|182605] D:\protect.hebrew
[28/08/2007 16:58|---hs----|181696] D:\protect.hungarian
[03/11/2005 17:17|---hs----|181554] D:\protect.italian
[19/06/2007 17:22|---hs----|182351] D:\protect.japanese
[24/11/2005 13:24|---hs----|218295] D:\protect.korean
[03/11/2005 17:15|---hs----|181578] D:\protect.norwegian
[25/04/2006 16:44|---hs----|181789] D:\protect.polish
[03/11/2005 17:13|---hs----|181624] D:\protect.portuguese
[27/10/2005 21:24|---hs----|181882] D:\protect.portuguese brazilian
[15/09/2008 17:57|---hs----|181735] D:\protect.romanian
[28/06/2004 10:52|---hs----|211936] D:\protect.russian
[04/07/2007 13:46|---hs----|181954] D:\protect.slovak
[03/11/2005 17:11|---hs----|181586] D:\protect.spanish
[10/09/2002 16:15|---hs----|181602] D:\protect.swedish
[12/08/2003 12:37|---hs----|181783] D:\protect.turkish

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_COZETTE.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.102 ! |
0
Réponse 9 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 15:56
Re,

A la fin du rapport d'USBFix : 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_COZETTE.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

Peux-tu envoyer ce fichier comme indiqué ? Merci.

-------------------------------------------------------------------------------------

Tu vas utiliser Malwarebytes, un antimalware que tu pourras garder.
C'est un bon complément à un antivirus ( et gratuit ).

Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

Le scan dure environ 50 mn.

A+
0
Réponse 10 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
Modifié par ANGST06 le 11/04/2010 à 17:21
Yep, j'ai bien envoyé le fichier .rar à l'adresse indiqué en précisant que j'avais utilisé usbfix

Scan terminé voici le résultat :

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Digital Protection\digext.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Digital Protection\dighook.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Digital Protection\digprot.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Digital Protection\Uninstall.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\04112010_141706\C_Users\hp\AppData\Local\Temp\Digital Protection\digext.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\04112010_141706\C_Users\hp\AppData\Local\Temp\Digital Protection\dighook.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\04112010_141706\C_Users\hp\AppData\Local\Temp\Digital Protection\digprot.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\_OTL\MovedFiles\04112010_141706\C_Users\hp\AppData\Local\Temp\Digital Protection\Uninstall.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\hp\Favorites\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 11 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 18:09
Re,

Vu que tu avais édité ton message, je n'avais pas remarqué que tu avais posté le rapport de Malwarebytes.

La bestiole s'accroche.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
0
Réponse 12 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
11 avril 2010 à 18:59
Hop rapport Combofix:

ComboFix 10-04-10.02 - hp 11/04/2010 18:43:30.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3069.2342 [GMT 2:00]
Lancé depuis: c:\users\hp\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\SGPSA
c:\program files\SGPSA\mtwb3sh.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-11 au 2010-04-11 ))))))))))))))))))))))))))))))))))))
.

2010-04-11 16:53 . 2010-04-11 16:53 -------- d-----w- c:\users\hp\AppData\Local\temp
2010-04-11 16:53 . 2010-04-11 16:53 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-04-11 14:01 . 2010-04-11 14:01 -------- d-----w- c:\users\hp\AppData\Roaming\Malwarebytes
2010-04-11 14:00 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-11 14:00 . 2010-04-11 14:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-11 14:00 . 2010-04-11 14:00 -------- d-----w- c:\programdata\Malwarebytes
2010-04-11 14:00 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-11 13:39 . 2010-04-11 13:39 609064 ----a-w- C:\UsbFix_Upload_Me_COZETTE.zip
2010-04-11 12:50 . 2010-04-11 13:39 -------- d-----w- C:\UsbFix
2010-04-11 12:17 . 2010-04-11 12:17 -------- d-----w- C:\_OTL
2010-04-11 11:29 . 2010-04-11 11:29 -------- d-----w- c:\windows\PRAGMAtnrdsxiwvn
2010-04-11 10:35 . 2010-04-11 15:18 -------- d-----w- c:\program files\Digital Protection
2010-04-11 10:28 . 2010-04-11 10:28 0 ----a-w- c:\windows\nsreg.dat
2010-04-11 10:28 . 2010-04-11 10:28 -------- d-----w- c:\users\hp\AppData\Local\Mozilla
2010-04-11 10:27 . 2010-04-11 10:27 -------- d-----w- c:\windows\PRAGMArtveqatsue
2010-04-10 22:32 . 2010-04-10 22:32 8851392 ----a-w- c:\users\hp\AppData\Roaming\Azureus\tmp\AZU203306177495555611.tmp\Vuze_4.4.0.0a_win32.exe
2010-03-17 10:24 . 2010-02-12 10:32 293376 ----a-w- c:\windows\system32\browserchoice.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-11 16:45 . 2008-11-07 16:37 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-11 16:45 . 2008-11-07 16:37 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-10 22:38 . 2009-04-26 15:28 -------- d-----w- c:\users\hp\AppData\Roaming\Azureus
2010-04-09 08:38 . 2009-11-23 21:05 -------- d-----w- c:\users\hp\AppData\Roaming\gtk-2.0
2010-04-01 23:33 . 2008-11-07 10:05 -------- d-----w- c:\program files\Common Files\Java
2010-04-01 23:32 . 2008-11-07 10:05 -------- d-----w- c:\program files\Java
2010-03-29 16:45 . 2009-10-24 19:40 -------- d-----w- c:\program files\Steam
2010-03-11 14:16 . 2009-10-24 19:40 -------- d-----w- c:\program files\Common Files\Steam
2010-03-11 13:56 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-11 09:40 . 2008-11-07 09:42 -------- d-----w- c:\programdata\Microsoft Help
2010-03-11 09:31 . 2010-03-11 09:31 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-03-09 10:24 . 2010-02-20 21:27 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-03-09 10:12 . 2010-02-20 21:28 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-03-09 10:12 . 2010-02-20 21:28 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-03-09 10:09 . 2010-02-20 21:28 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-03-09 10:08 . 2010-02-20 21:28 51792 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2010-03-09 10:08 . 2010-02-20 21:28 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-03-09 02:28 . 2009-06-10 07:27 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-04 08:22 . 2008-11-07 10:02 588472 ----a-w- c:\windows\system32\ezsvc7x.dll
2010-02-25 17:55 . 2009-01-21 13:33 76232 ----a-w- c:\users\hp\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 09:16 . 2010-02-20 21:44 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-23 06:39 . 2010-03-31 11:49 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 11:49 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-02-23 06:33 . 2010-03-31 11:49 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-02-23 04:55 . 2010-03-31 11:49 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-02-22 22:38 . 2010-02-22 22:38 329536 ----a-w- c:\users\Public\RemoveSGP.exe
2010-02-20 23:06 . 2010-03-11 09:36 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-02-20 23:05 . 2010-03-11 09:36 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-02-20 21:27 . 2010-02-20 21:27 -------- d-----w- c:\programdata\Alwil Software
2010-02-20 21:27 . 2010-02-20 21:27 -------- d-----w- c:\program files\Alwil Software
2010-02-20 21:20 . 2008-11-07 08:53 -------- d-----w- c:\programdata\Norton
2010-02-20 21:14 . 2010-02-20 21:14 -------- d-----w- c:\program files\CCleaner
2010-02-20 20:53 . 2010-03-11 09:36 411648 ----a-w- c:\windows\system32\drivers\http.sys
2010-02-20 20:43 . 2009-04-26 02:53 680 ----a-w- c:\users\hp\AppData\Local\d3d9caps.dat
2010-02-20 09:16 . 2010-02-20 09:16 -------- d-----w- c:\users\hp\AppData\Roaming\Cliquer pour appeler
2010-02-20 09:16 . 2010-02-20 09:16 -------- d-----w- c:\programdata\Orange
2010-02-20 09:16 . 2010-02-20 09:16 -------- d-----w- c:\program files\Cliquer pour appeler
2010-02-11 18:53 . 2010-02-20 21:27 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-01-25 12:00 . 2010-02-24 17:04 471552 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-25 12:00 . 2010-02-24 17:04 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-25 12:00 . 2010-02-24 17:04 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-25 12:00 . 2010-02-24 17:04 471552 ----a-w- c:\windows\system32\secproc.dll
2010-01-25 11:58 . 2010-02-24 17:04 332288 ----a-w- c:\windows\system32\msdrm.dll
2010-01-25 08:21 . 2010-02-24 17:04 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-25 08:21 . 2010-02-24 17:04 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-25 08:21 . 2010-02-24 17:04 518144 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-25 08:21 . 2010-02-24 17:04 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-23 09:26 . 2010-02-24 17:05 2048 ----a-w- c:\windows\system32\tzres.dll
2008-11-07 17:03 . 2008-11-07 16:41 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{95A7F654-718C-4707-9DAF-21A61CB39489}"= "c:\program files\Cliquer pour appeler\Plugin\Internet Explorer\TAP_IE_CTRL.dll" [2010-02-08 188416]

[HKEY_CLASSES_ROOT\clsid\{95a7f654-718c-4707-9daf-21a61cb39489}]
[HKEY_CLASSES_ROOT\C2PA.C2XIeBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{6A321DC4-85D7-4AFC-9D2E-76DA51339D10}]
[HKEY_CLASSES_ROOT\C2PA.C2XIeBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"C2PA_AGENT"="c:\program files\Cliquer pour appeler\Bin\C2PA_Agent.exe" [2009-12-01 389896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-09-26 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2008-09-24 206120]
"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-09-25 1152296]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-10-03 912688]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-09-05 206128]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-09-26 1148200]
"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-09-25 189736]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-09-11 446556]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-02-20 08:39 1217872 ----a-w- c:\program files\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):36,94,d0,4b,c5,8f,ca,01

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-10-27 721904]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-09-08 193840]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-08-07 97536]
S1 aswSP;aswSP; [x]
S2 {55662437-DA8C-40c0-AADA-2C816A897A49};{55662437-DA8C-40c0-AADA-2C816A897A49};c:\program files\Hewlett-Packard\Media\DVD\000.fcl [2008-09-26 59376]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\aestsrv.exe [2008-06-27 77824]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-03-09 51792]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
S2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [2008-10-06 365952]
S2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [2008-09-24 296320]
S2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [2008-09-24 116096]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-09-04 54784]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2008-05-28 22072]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 09:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-03-26 c:\windows\Tasks\HPCeeScheduleForhp.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-11-07 10:34]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
Trusted Zone: line6.net
TCP: {73838BEE-C6BC-4463-A676-17A2D43588AF} = 192.168.0.1
FF - ProfilePath - c:\users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\nvd8mup3.default\
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-DAEMON Tools Lite - c:\program files\DAEMON Tools Lite\daemon.exe
AddRemove-Digital Protection - c:\program files\Digital Protection\Pklkvqdii+'}'



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-11 18:53
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
.
Heure de fin: 2010-04-11 18:56:43
ComboFix-quarantined-files.txt 2010-04-11 16:56

Avant-CF: 200 366 305 280 octets libres
Après-CF: 200 306 950 144 octets libres

- - End Of File - - 9100FD01ABBE2D8A37DD3F9285EBF998
0
Réponse 13 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 20:04
ANGST06,

Lors de l'utilisation d'USBFix option 2, tu n'avais pas branché ta clé USB , celle-ci n'a donc pas été nettoyé correctement.

Pour la manip suivante, branche la.

1/ Télécharge le fichier CFScript.txt sur ton bureau :
http://senduit.com/d145bf

2/ Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+
0
Réponse 14 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
11 avril 2010 à 20:49
Curieux, la clef semblait pourtant correctement branché lors du premier scan,
espérons que cela ait fonctionné.
____________________________________________________________

ComboFix 10-04-10.02 - hp 11/04/2010 20:20:48.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3069.1908 [GMT 2:00]
Lancé depuis: c:\users\hp\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\hp\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"G:\autorun.inf"
"G:\IVANA/bovan.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Digital Protection
c:\program files\Digital Protection\about.ico
c:\program files\Digital Protection\activate.ico
c:\program files\Digital Protection\buy.ico
c:\program files\Digital Protection\dig.db
c:\program files\Digital Protection\help.ico
c:\program files\Digital Protection\scan.ico
c:\program files\Digital Protection\settings.ico
c:\program files\Digital Protection\splash.mp3
c:\program files\Digital Protection\update.ico
c:\program files\Digital Protection\virus.mp3
c:\windows\PRAGMArtveqatsue
c:\windows\PRAGMAtnrdsxiwvn
G:\autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-11 au 2010-04-11 ))))))))))))))))))))))))))))))))))))
.

2010-04-11 18:28 . 2010-04-11 18:30 -------- d-----w- c:\users\hp\AppData\Local\temp
2010-04-11 18:28 . 2010-04-11 18:28 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-04-11 14:01 . 2010-04-11 14:01 -------- d-----w- c:\users\hp\AppData\Roaming\Malwarebytes
2010-04-11 14:00 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-11 14:00 . 2010-04-11 14:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-11 14:00 . 2010-04-11 14:00 -------- d-----w- c:\programdata\Malwarebytes
2010-04-11 14:00 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-11 13:39 . 2010-04-11 13:39 609064 ----a-w- C:\UsbFix_Upload_Me_COZETTE.zip
2010-04-11 12:50 . 2010-04-11 13:39 -------- d-----w- C:\UsbFix
2010-04-11 12:17 . 2010-04-11 12:17 -------- d-----w- C:\_OTL
2010-04-11 10:28 . 2010-04-11 10:28 0 ----a-w- c:\windows\nsreg.dat
2010-04-11 10:28 . 2010-04-11 10:28 -------- d-----w- c:\users\hp\AppData\Local\Mozilla
2010-03-17 10:24 . 2010-02-12 10:32 293376 ----a-w- c:\windows\system32\browserchoice.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-11 18:18 . 2008-11-07 16:37 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-11 18:18 . 2008-11-07 16:37 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-10 22:38 . 2009-04-26 15:28 -------- d-----w- c:\users\hp\AppData\Roaming\Azureus
2010-04-10 22:32 . 2010-04-10 22:32 8851392 ----a-w- c:\users\hp\AppData\Roaming\Azureus\tmp\AZU203306177495555611.tmp\Vuze_4.4.0.0a_win32.exe
2010-04-09 08:38 . 2009-11-23 21:05 -------- d-----w- c:\users\hp\AppData\Roaming\gtk-2.0
2010-04-01 23:33 . 2008-11-07 10:05 -------- d-----w- c:\program files\Common Files\Java
2010-04-01 23:32 . 2008-11-07 10:05 -------- d-----w- c:\program files\Java
2010-03-29 16:45 . 2009-10-24 19:40 -------- d-----w- c:\program files\Steam
2010-03-11 14:16 . 2009-10-24 19:40 -------- d-----w- c:\program files\Common Files\Steam
2010-03-11 13:56 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-11 09:40 . 2008-11-07 09:42 -------- d-----w- c:\programdata\Microsoft Help
2010-03-11 09:31 . 2010-03-11 09:31 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-03-09 10:24 . 2010-02-20 21:27 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-03-09 10:12 . 2010-02-20 21:28 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-03-09 10:12 . 2010-02-20 21:28 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-03-09 10:09 . 2010-02-20 21:28 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-03-09 10:08 . 2010-02-20 21:28 51792 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2010-03-09 10:08 . 2010-02-20 21:28 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-03-09 02:28 . 2009-06-10 07:27 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-04 08:22 . 2008-11-07 10:02 588472 ----a-w- c:\windows\system32\ezsvc7x.dll
2010-02-25 17:55 . 2009-01-21 13:33 76232 ----a-w- c:\users\hp\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 09:16 . 2010-02-20 21:44 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-23 06:39 . 2010-03-31 11:49 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 11:49 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-02-23 06:33 . 2010-03-31 11:49 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-02-23 04:55 . 2010-03-31 11:49 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-02-22 22:38 . 2010-02-22 22:38 329536 ----a-w- c:\users\Public\RemoveSGP.exe
2010-02-20 23:06 . 2010-03-11 09:36 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-02-20 23:05 . 2010-03-11 09:36 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-02-20 21:27 . 2010-02-20 21:27 -------- d-----w- c:\programdata\Alwil Software
2010-02-20 21:27 . 2010-02-20 21:27 -------- d-----w- c:\program files\Alwil Software
2010-02-20 21:20 . 2008-11-07 08:53 -------- d-----w- c:\programdata\Norton
2010-02-20 21:14 . 2010-02-20 21:14 -------- d-----w- c:\program files\CCleaner
2010-02-20 20:53 . 2010-03-11 09:36 411648 ----a-w- c:\windows\system32\drivers\http.sys
2010-02-20 20:43 . 2009-04-26 02:53 680 ----a-w- c:\users\hp\AppData\Local\d3d9caps.dat
2010-02-20 09:16 . 2010-02-20 09:16 -------- d-----w- c:\users\hp\AppData\Roaming\Cliquer pour appeler
2010-02-20 09:16 . 2010-02-20 09:16 -------- d-----w- c:\programdata\Orange
2010-02-20 09:16 . 2010-02-20 09:16 -------- d-----w- c:\program files\Cliquer pour appeler
2010-02-11 18:53 . 2010-02-20 21:27 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-01-25 12:00 . 2010-02-24 17:04 471552 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-25 12:00 . 2010-02-24 17:04 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-25 12:00 . 2010-02-24 17:04 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-25 12:00 . 2010-02-24 17:04 471552 ----a-w- c:\windows\system32\secproc.dll
2010-01-25 11:58 . 2010-02-24 17:04 332288 ----a-w- c:\windows\system32\msdrm.dll
2010-01-25 08:21 . 2010-02-24 17:04 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-25 08:21 . 2010-02-24 17:04 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-25 08:21 . 2010-02-24 17:04 518144 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-25 08:21 . 2010-02-24 17:04 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-23 09:26 . 2010-02-24 17:05 2048 ----a-w- c:\windows\system32\tzres.dll
2008-11-07 17:03 . 2008-11-07 16:41 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{95A7F654-718C-4707-9DAF-21A61CB39489}"= "c:\program files\Cliquer pour appeler\Plugin\Internet Explorer\TAP_IE_CTRL.dll" [2010-02-08 188416]

[HKEY_CLASSES_ROOT\clsid\{95a7f654-718c-4707-9daf-21a61cb39489}]
[HKEY_CLASSES_ROOT\C2PA.C2XIeBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{6A321DC4-85D7-4AFC-9D2E-76DA51339D10}]
[HKEY_CLASSES_ROOT\C2PA.C2XIeBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"C2PA_AGENT"="c:\program files\Cliquer pour appeler\Bin\C2PA_Agent.exe" [2009-12-01 389896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-09-26 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2008-09-24 206120]
"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-09-25 1152296]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-10-03 912688]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-09-05 206128]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-09-26 1148200]
"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-09-25 189736]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-09-11 446556]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-02-20 08:39 1217872 ----a-w- c:\program files\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):36,94,d0,4b,c5,8f,ca,01

R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-08-07 97536]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-10-27 721904]
S1 aswSP;aswSP; [x]
S2 {55662437-DA8C-40c0-AADA-2C816A897A49};{55662437-DA8C-40c0-AADA-2C816A897A49};c:\program files\Hewlett-Packard\Media\DVD\000.fcl [2008-09-26 59376]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\aestsrv.exe [2008-06-27 77824]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-03-09 51792]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
S2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [2008-10-06 365952]
S2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [2008-09-24 296320]
S2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [2008-09-24 116096]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-09-08 193840]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-09-04 54784]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2008-05-28 22072]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 09:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-03-26 c:\windows\Tasks\HPCeeScheduleForhp.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-11-07 10:34]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
Trusted Zone: line6.net
TCP: {73838BEE-C6BC-4463-A676-17A2D43588AF} = 192.168.0.1
FF - ProfilePath - c:\users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\nvd8mup3.default\
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-11 20:30
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll >>UNKNOWN [0x863301F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x8b0ccd24
\Driver\ACPI -> acpi.sys @ 0x80747d68
\Driver\atapi -> 0x863301f8
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\STacSV.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\WLANExt.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\windows\system32\conime.exe
c:\program files\Alwil Software\Avast5\AvastUI.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-04-11 20:39:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-11 18:39
ComboFix2.txt 2010-04-11 16:56

Avant-CF: 201 292 361 728 octets libres
Après-CF: 201 158 385 664 octets libres

- - End Of File - - 9CBC760A65EAEEBA61C78BB5E49A5A28
0
Réponse 15 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 21:12
Re,

Une dernière chose à nettoyer. 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll >>UNKNOWN [0x863301F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x8b0ccd24
\Driver\ACPI -> acpi.sys @ 0x80747d68
\Driver\atapi -> 0x863301f8
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
user & kernel MBR OK


---------------------------------------------------------------------------------

Télécharge mbr.exe sur le Bureau
http://www2.gmer.net/mbr/mbr.exe

Désactive toutes tes protections résidentes à l'exception du pare-feu (Antivirus, protection du registre etc...)

démarrer --> Dans la zone Rechercher les programmes et les fichiers
Copie/colle le texte suivant puis valide par Entrée : 

 "%userprofile%\Desktop\mbr" -f

Un rapport mbr.log est généré.
Poste-le.

A+
0
Réponse 16 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
11 avril 2010 à 21:25
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


On est bon ?
0
Réponse 17 / 18
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 21:43
Re,

Oui, on est bon.

1/ Pour ta clé USB, il faut que tu la vaccines.
Branche la et lance USBFix --> option 3

2/ Mets à jour le PC. C'est très important car de plus en plus les infections se véhiculent via les pages web ou des documents en pdf.

Va sur le site de Secunia et scanne ton PC.
https://www.flexera.com/products/operations/software-vulnerability-management.html

3/ Ensuite, enlève les outils utilisés.

Ouvre OTL et clique sur Purge Outils.
Ouvre USBFix et choisis l'option de désinstallation.
Supprime mbr.exe, ComboFix ( si présent sur le bureau ) et C:\Qoobox si il n'a pas été supprimé.

4/ il faut recréer un point de restauration propre :

Dans le Panneau de configuration choisis l'affichage classique :
Système --> dans la liste des taches, à gauche, choisis propriétés du système

Dans la même fenêtre, sélectionne le disque c: puis clique ensuite sur créer pour la création d'un point de restauration.
Suis les invites.

----------------------------------------------------------------------------------------

Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/

----------------------------------------------------------------------------------------

/!\ Tu peux aussi dénoncer ton infection /!\
http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10

Lis l'article suivant pour t'aider dans la démarche : http://www.malekal.com/malwarecomplaints.html
Pour ton cas, choisis l'infection Autres infections et précise dans ton message que le PC a été infecté par le rogue Digital Protection.

--------------------------------------------------------------------------------------

Peux-tu mettre le sujet en résolu ? Merci.
bonne lecture et sois prudent dans ton surf.

Salut.
0
Réponse 18 / 18
ANGST06 Messages postés 38 Date d'inscription dimanche 11 avril 2010 Statut Membre Dernière intervention 24 juillet 2010
11 avril 2010 à 22:25
Voilà, j'ai tout bien nettoyé, mise à jour et création d'un nouveau point de restauration.
Le dernier scanner semble ok, tout à l'air propre.

Merci beaucoup pour ton aide précieuse et instructive ainsi que de m'avoir guidé de façon simple et soigné tout au long de la journée.

Excellente soirée.
A+
0

Discussions similaires

Prélèvement frauduleux Digital River Ireland, Ltd.
Audissou -
SIEGBURG -

7 réponses
Amznprime - Débit sur mon compte de 7.99 tous les mois
Pat -
Lina -

22 réponses
Amazon digital prélèvement : se faire rembourser les 49 euros
Amazonophobe -
Luiji -

147 réponses
Rav antivirus
cavalier33 -
cavalier33 -

2 réponses
Débit de 7.99€ sur Amazon Prime
Cafou -
Utilisateur anonyme -

5 réponses