Sujet Précédent Sujet Suivant

Besoin d'aide pour éliminer crypt.zpack.gen

Fermé
adlinoute - 5 juil. 2010 à 22:54
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 9 juil. 2010 à 12:57
Bonjour,


Je suis malheureusement infectée par crypt.zpack.gen.

J'ai pu voir le sauvetage de plusieurs personnes dans le même cas, alors je me tourne vers vous.
Si j'ai bien compris je dois télécharger hi jack this ou combo fix. J'attends vos instructions et je vous remercie par avance de me sortir de ce pétrin !

Thanx
Adeline
A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
5 juil. 2010 à 23:44
Bonsoir,

On va entamer une procédure de désinfection adaptée à ta situation.

*********

Désactive l'UAC (User Account Control) le temps de la désinfection.
Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).

************

Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =

* Clique droit sur RSIT.exe puis sélectionne `Exécuter en tant qu'administrateur` pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt et de info.txt.

Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr.

Aide en images.
2
Réponse 2 / 30
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
7 juil. 2010 à 00:25
Envoie-moi le contenu de ce fichier stp :
c:\Qoobox\ComboFix-quarantined-files.txt

********

/!\ Procédure réservée à Adlinoute. Ne tentez pas de la reproduire si vous avez un problème similaire sous peine de planter votre machine /!\
Télécharge OTM (de Old_Timer) sur ton Bureau.
= = = = >>> En cliquant ici <<< = = = =
Une fois installé sur le bureau, clique droit sur OTM.exe puis `Exécuter en tant qu'administrateur`pour le lancer.
Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :
Paste Instructions for Items to be moved.

:Procedure is :

:files
c:\Windows\System32\drivers\hmqgafb.sys

:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HMQGAFB]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HMQGAFB]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HMQGAFB]

:Services
hmqgafb

:Commands
[purity]
[emptytemp]
[Reboot]

Clique sur MoveIt! pour lancer la suppression.
Après avoir fait Moveit!, une fenêtre s'affiche :
"The system requires a reboot to finish removing files. Do you want to reboot now ?"
Réponds Yes.
Le résultat apparaîtra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
1
Adlinoute
7 juil. 2010 à 00:29
2010-07-06 21:17:03 . 2010-07-06 21:17:04 119 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-cfFncEnabler.exe.reg.dat
2010-07-06 21:17:02 . 2010-07-06 21:17:02 155 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-mcagent_exe.reg.dat
2010-07-06 21:10:51 . 2010-07-06 21:10:51 7,007 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-07-06 21:04:13 . 2010-07-06 21:06:01 62 ----a-w- C:\Qoobox\Quarantine\catchme.log
0
Adlinoute
7 juil. 2010 à 00:37
All processes killed
Error: Unable to interpret <:Procedure is :> in the current context!
========== FILES ==========
File move failed. c:\Windows\System32\drivers\hmqgafb.sys scheduled to be moved on reboot.
========== REGISTRY ==========
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HMQGAFB\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HMQGAFB\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HMQGAFB\ scheduled to be deleted on reboot.
========== SERVICES/DRIVERS ==========
Error: No service named hmqgafb was found to stop!
Service\Driver key hmqgafb not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Adeline
->Temp folder emptied: 181398 bytes
->Temporary Internet Files folder emptied: 135531 bytes
->Java cache emptied: 71891185 bytes
->FireFox cache emptied: 93518216 bytes
->Flash cache emptied: 61119 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1882771 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 3385726 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 3442723 bytes
RecycleBin emptied: 338 bytes

Total Files Cleaned = 166,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 07072010_003220

Files moved on Reboot...
File c:\Windows\System32\drivers\hmqgafb.sys not found!

Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HMQGAFB\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HMQGAFB\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HMQGAFB\ scheduled to be deleted on reboot.
0
Adlinoute
7 juil. 2010 à 00:46
Si j'ai bien compris, c'est un échec...
bon... ya plus qu'à réinstaller windows ? :o/
0
Réponse 3 / 30
jawaad35 Messages postés 90 Date d'inscription dimanche 4 juillet 2010 Statut Membre Dernière intervention 2 mai 2013 10
5 juil. 2010 à 23:03
bonjour,

j'ai trouvé çà pour toi, notamment la réponse de rrpp
https://forums.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen
0
Réponse 4 / 30
adlinoute
5 juil. 2010 à 23:07
Merci. Oui j'ai bien vu les autres aides, mais il me semblait d'une part que la solution donnée individuellement n'était valable que pour la personne concernée, et qu'ensuite chaque "sauveteur" avait sa méthode.
C'est pourquoi j'attendais des instructions.
Je me trompe ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
adlinoute
5 juil. 2010 à 23:10
je vais essayer la méthode rrpp =) en croisant les doigts !
0
Réponse 6 / 30
jawaad35 Messages postés 90 Date d'inscription dimanche 4 juillet 2010 Statut Membre Dernière intervention 2 mai 2013 10
5 juil. 2010 à 23:32
Peut être as tu raison mais je pense que çà vaut le coup d'essayer, tiens moi au courant...
0
Réponse 7 / 30
adlinoute
5 juil. 2010 à 23:40
J'ai suivi la procédure mais là je viens de scanner le dossier contenant le cheval de troie et il est toujours là... :o(
0
Réponse 8 / 30
adlinoute
6 juil. 2010 à 00:08
Voilà, merci Crapoulou!


http://www.cijoint.fr/cjlink.php?file=cj201007/cijFim6KuX.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijIEKNwf2.txt
0
Réponse 9 / 30
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
6 juil. 2010 à 00:14
Au risque de te décevoir, rien d'inquiétant sur ce rapport.
Quel est le fichier détecté comme infectieux par Antivir ?
Qu'as-tu fait ? (Supprimé, mis en quarantaine,ignoré, .. ?)
Est-ce qu'Antivir détecte toujours des éléments ?
0
Réponse 10 / 30
adlinoute
6 juil. 2010 à 00:19
Voici un extrait du rapport Antivir de ce matin.

Début de la désinfection :
C:\Windows\System32\drivers\hmqgafb.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.

J'ai demandé à Antivir de le supprimer mais il n'y est pas parvenu. Il m'a demandé de relancer un scan au redémarrage, sans plus de succès la deuxième fois. Ni la troisième...
Je peux relancer un scan, mais ça prend une heure.

Comme j'ai dit j'ai scanné le dossier où il est censé être présent après la manip citée plus haut, et il était toujours là.
0
Réponse 11 / 30
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
6 juil. 2010 à 00:25
Je vaios me coucher.
Essaye de voir si le fichier détecté est présent en affichant les fichiers cachés et système :

Affiche les fichiers et dossiers cachés ainsi que les fichiers du système :
- Mes documents
- Outils
- Options des dossiers
- Onglet « Affichage »
- Coche Afficher les fichiers et dossiers cachés
- Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"

************

Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =

- Enregistre le sur le bureau
- Double clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher.
- Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller

Si tu as besoin d'aide regarde ce tutorial ICI

Bonne nuit et à demain (fin d'après-midi).
0
Réponse 12 / 30
adlinoute
6 juil. 2010 à 00:32
Merci, à demain ! Bonne nuit
0
Réponse 13 / 30
adlinoute
6 juil. 2010 à 07:49
et voilà pour Malwarebytes ! Crypt.zpack était toujours là.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4281

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

03/07/2010 07:46:52
mbam-log-2010-07-03 (07-46-52).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 241401
Temps écoulé: 1 heure(s), 23 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\hmqgafb.sys (Backdoor.IEbooot) -> Quarantined and deleted successfully.
C:\Users\Adeline\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 14 / 30
Adlinoute
6 juil. 2010 à 19:07
Re bonjour !

Bon alors ce qui est bizarre, c'est que le mal d'origine (redémarrages inopinés) n'a pas disparu après que Malwarebytes ait fait son travail !

Il y aurait donc un autre pb ?
Je vous transmettrai les captures d'écran des messages d'erreur ce soir.
0
Réponse 15 / 30
Adlinoute
6 juil. 2010 à 21:10
Voici les captures d'écran des alertes qui s'affichent, simultanément, sur mon pc à l'allumage.
http://www.cijoint.fr/cjlink.php?file=cj201007/cij1ONQziY.jpg
http://www.cijoint.fr/cjlink.php?file=cj201007/cijlnyLOBS.jpg

Il redémarre tout seul deux fois puis c'est bon, ça ne le fait plus. Cela fait trois jours que ça dure ;o/

J'avais donc cru que c'était de la faute de crypt.zpack mais il faut croire que non ??
0
Réponse 16 / 30
Adlinoute
6 juil. 2010 à 22:51
Personne n'est là ce soir ?

Bon j'ai lancé Avira et il est toujours là... Que faire ??

Merci par avance


Avira AntiVir Personal
Date de création du fichier de rapport : mardi 6 juillet 2010 21:01

La recherche porte sur 2300671 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-ADELINE

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/05/2010 12:09:13
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:09:12
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:09:12
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 12:09:12
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 12:09:12
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 12:09:12
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 12:09:13
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 20:39:47
VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 20:39:47
VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 20:39:48
VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 20:39:49
VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 20:39:49
VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 20:39:50
VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 20:39:50
VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 21:20:16
VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 19:56:10
VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 20:53:28
VBASE016.VDF : 7.10.8.135 152064 Bytes 21/06/2010 19:39:57
VBASE017.VDF : 7.10.8.163 432128 Bytes 23/06/2010 21:04:20
VBASE018.VDF : 7.10.8.194 133632 Bytes 27/06/2010 20:21:47
VBASE019.VDF : 7.10.8.220 134656 Bytes 29/06/2010 20:21:42
VBASE020.VDF : 7.10.8.252 171520 Bytes 04/07/2010 18:49:32
VBASE021.VDF : 7.10.8.253 2048 Bytes 04/07/2010 18:49:32
VBASE022.VDF : 7.10.8.254 2048 Bytes 04/07/2010 18:49:33
VBASE023.VDF : 7.10.8.255 2048 Bytes 04/07/2010 18:49:33
VBASE024.VDF : 7.10.9.0 2048 Bytes 04/07/2010 18:49:33
VBASE025.VDF : 7.10.9.1 2048 Bytes 04/07/2010 18:49:33
VBASE026.VDF : 7.10.9.2 2048 Bytes 04/07/2010 18:49:33
VBASE027.VDF : 7.10.9.3 2048 Bytes 04/07/2010 18:49:33
VBASE028.VDF : 7.10.9.4 2048 Bytes 04/07/2010 18:49:34
VBASE029.VDF : 7.10.9.5 2048 Bytes 04/07/2010 18:49:34
VBASE030.VDF : 7.10.9.6 2048 Bytes 04/07/2010 18:49:34
VBASE031.VDF : 7.10.9.16 131072 Bytes 06/07/2010 18:49:35
Version du moteur : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 23/05/2010 12:09:13
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 06/07/2010 18:49:38
AESCN.DLL : 8.1.6.1 127347 Bytes 23/05/2010 12:09:13
AESBX.DLL : 8.1.3.1 254324 Bytes 23/05/2010 12:09:13
AERDL.DLL : 8.1.4.6 541043 Bytes 23/05/2010 12:09:13
AEPACK.DLL : 8.2.2.5 430453 Bytes 23/06/2010 21:04:31
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 06/07/2010 18:49:37
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 23/06/2010 21:04:30
AEHELP.DLL : 8.1.11.6 242038 Bytes 23/06/2010 21:04:26
AEGEN.DLL : 8.1.3.13 381300 Bytes 06/07/2010 18:49:36
AEEMU.DLL : 8.1.2.0 393588 Bytes 23/05/2010 12:09:13
AECORE.DLL : 8.1.15.3 192886 Bytes 23/05/2010 12:09:13
AEBB.DLL : 8.1.1.0 53618 Bytes 23/05/2010 12:09:13
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 23/05/2010 12:09:13
AVREP.DLL : 8.0.0.7 159784 Bytes 23/05/2010 12:09:14
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 23/05/2010 12:09:11
RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/05/2010 12:09:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mardi 6 juillet 2010 21:01

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\cr0wnbx2s0
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\p4mcq5
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\ybjj2jl
[INFO] L'entrée d'enregistrement n'est pas visible.
'100134' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OIS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHSP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HCMSoundChanger.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxext.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CFSwMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHid.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosA2dp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtMng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'uTorrent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TOSCDSPD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleEULALauncher.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HDMICtrlMan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NDSTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TemproTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SmartFaceVWatchSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosIPCSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosCoSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TODDSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TNaviSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TemproSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'o2flash.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CFSvcs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PresentationFontCache.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'79' processus ont été contrôlés avec '79' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <Vista>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Program Files\7-Zip\Uninstall.exe
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
C:\Users\Adeline\AppData\Local\Mozilla\Firefox\Profiles\1vqc7bse.default\Cache\5A0898ABd01
[0] Type d'archive: GZ
--> unkwn
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\Windows\System32\drivers\hmqgafb.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'E:\' <Data>
E:\Programmes\7z465.exe
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !

Début de la désinfection :
C:\Users\Adeline\AppData\Local\Mozilla\Firefox\Profiles\1vqc7bse.default\Cache\5A0898ABd01
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c63964c.qua' !
C:\Windows\System32\drivers\hmqgafb.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.



Fin de la recherche : mardi 6 juillet 2010 22:46
Temps nécessaire: 1:06:32 Heure(s)

La recherche a été effectuée intégralement

21054 Les répertoires ont été contrôlés
323042 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
323037 Fichiers non infectés
2450 Les archives ont été contrôlées
5 Avertissements
4 Consignes
100134 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés
0
Réponse 17 / 30
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
Modifié par jfkpresident le 6/07/2010 à 22:59
EDIT : Bonne continuation a vous deux -;)

***Membre Contributeur Sécurité***
0
Adlinoute
6 juil. 2010 à 23:05
thank you !!
0
Réponse 18 / 30
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
6 juil. 2010 à 22:58
Télécharge Combofix :
= = = = >>> En cliquant ici <<< = = = =

* On va enregistrer ce fichier sur le Bureau : pour cela, sur le panneau de gauche, clique sur le Bureau.
* Clique enfin sur le bouton Enregistrer en bas de page à droite.
* Assure toi que tous les programmes sont fermés avant de lancer le fix ! Ne lance pas le fix tout de suite !
* Fais un clic droit sur combofix.exe et sélectionne "Exécuter en mode administrateur".
* Clique sur Oui au message de Limitation de Garantie qui s'affiche.
* Il est possible que ton pare-feu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure : accepte !
Note :
Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
* Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
* Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Adlinoute
6 juil. 2010 à 23:23
L'analyse combofix est finie.
Le problème c'est que je ne peux plus lancer Firefox ni IE : message " tentative d'opération non autorisée sur une clé du registre marquée pour suppression"

Yeurk, c'est normal ???

Du coup je ne peux pas copier le rapport ici...
0
Adlinoute
6 juil. 2010 à 23:25
en fait je ne peux plus rien lancer... (paint, txt, winamp...)
0
Réponse 19 / 30
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
6 juil. 2010 à 23:25
Transfère le rapport sur clé USB depuis un autre PC puis poste le ici.
Essaye de redémarrer le PC.
0
Adlinoute
6 juil. 2010 à 23:33
ComboFix 10-07-06.02 - Adeline 06/07/2010 23:06:01.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2936.1664 [GMT 2:00]
Lancé depuis: c:\users\Adeline\Desktop\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
.

2010-07-06 21:14 . 2010-07-06 21:14 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-03 20:54 . 2010-07-03 20:54 -------- d-----w- c:\program files\ESET
2010-07-02 22:29 . 2010-07-02 22:29 -------- d-----w- c:\users\Adeline\AppData\Roaming\Malwarebytes
2010-07-02 22:29 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-02 22:29 . 2010-07-02 22:29 -------- d-----w- c:\programdata\Malwarebytes
2010-07-02 22:29 . 2010-07-02 22:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-02 22:29 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-02 21:50 . 2010-07-02 21:50 -------- d-----w- c:\program files\trend micro
2010-07-02 21:50 . 2010-07-02 21:50 -------- d-----w- C:\rsit
2010-06-23 22:27 . 2009-11-08 08:55 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2010-06-23 22:27 . 2009-11-08 08:55 49472 ----a-w- c:\windows\system32\netfxperf.dll
2010-06-23 22:27 . 2009-11-08 08:55 297808 ----a-w- c:\windows\system32\mscoree.dll
2010-06-23 22:27 . 2009-11-08 08:55 295264 ----a-w- c:\windows\system32\PresentationHost.exe
2010-06-23 22:27 . 2009-11-08 08:55 1130824 ----a-w- c:\windows\system32\dfshim.dll
2010-06-23 21:10 . 2010-04-16 16:43 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-06-23 21:10 . 2010-04-16 14:39 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2010-06-08 21:36 . 2010-04-05 17:01 67072 ----a-w- c:\windows\system32\asycfilt.dll
2010-06-08 21:36 . 2010-05-26 17:06 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-06-08 21:36 . 2010-05-26 14:47 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-06-08 21:36 . 2010-05-04 19:15 834048 ----a-w- c:\windows\system32\wininet.dll
2010-06-08 21:35 . 2010-05-04 18:37 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-06-08 21:35 . 2010-05-01 14:13 2037248 ----a-w- c:\windows\system32\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 21:15 . 2010-02-12 16:25 -------- d-----w- c:\users\Adeline\AppData\Roaming\uTorrent
2010-07-06 18:24 . 2008-01-21 08:40 673938 ----a-w- c:\windows\system32\perfh00C.dat
2010-07-06 18:24 . 2008-01-21 08:40 125636 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-27 09:43 . 2010-06-27 09:43 16 ----a-w- c:\users\Adeline\AppData\Roaming\qcopjv.dat
2010-06-25 23:17 . 2008-08-05 15:05 -------- d-----w- c:\program files\Microsoft.NET
2010-06-09 20:43 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-06-08 22:16 . 2008-08-05 15:04 -------- d-----w- c:\programdata\Microsoft Help
2010-06-05 22:41 . 2010-02-07 18:25 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-23 12:09 . 2010-05-22 10:49 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-05-22 16:59 . 2009-10-03 15:34 -------- d-----w- c:\program files\Common Files\Apple
2010-05-22 16:59 . 2009-10-03 15:33 -------- d-----w- c:\programdata\Apple Computer
2010-05-22 10:49 . 2010-05-22 10:49 -------- d-----w- c:\programdata\Avira
2010-05-22 10:49 . 2010-05-22 10:49 -------- d-----w- c:\program files\Avira
2010-05-21 12:14 . 2009-10-03 11:42 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-04-23 14:13 . 2010-05-25 20:41 2048 ----a-w- c:\windows\system32\tzres.dll
2010-04-16 16:43 . 2010-06-23 21:10 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
2010-04-16 16:43 . 2010-06-23 21:10 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
2010-04-16 16:43 . 2010-06-23 21:10 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
2010-04-16 16:43 . 2010-06-23 21:10 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
2009-09-12 12:40 . 2009-09-12 12:40 1925024 ----a-w- c:\program files\install_flash_player.exe
2009-08-07 22:52 . 2009-08-07 22:52 1949979 ----a-w- c:\program files\bios-20090806133310.zip
2009-07-25 13:36 . 2009-07-25 13:36 714528 ----a-w- c:\program files\jxpiinstall.exe
2009-05-08 20:35 . 2009-05-08 20:35 1943872 ----a-w- c:\program files\bios-20090430080747.zip
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-04-24 430080]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-04-04 319792]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-03-09 37888]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-01-17 431456]
"Toshiba TEMPRO"="c:\program files\Toshiba TEMPRO\TemproTray.exe" [2009-12-01 1045976]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2008-01-11 574864]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-11-22 198160]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-11-29 1029416]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-21 148888]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-01-25 509816]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-25 145944]
"NDSTray.exe"="NDSTray.exe" [BU]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-25 150040]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2007-10-31 54608]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-25 170520]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-04-26 716800]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-08-05 29744]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-04-29 417792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-03-19 716800]

c:\users\Adeline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-4-14 2979144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):9c,49,cc,f9,91,8d,ca,01

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-08-05 29744]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-05-23 108289]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2008-04-16 40960]
S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-12-01 116176]
S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [2007-12-03 126976]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2008-06-20 112128]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2009-05-28 4233728]
S3 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2008-04-15 51160]
S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [2007-04-09 8192]
S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe [2008-04-24 73728]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - hmqgafb

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA;
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21
FF - ProfilePath - c:\users\Adeline\AppData\Roaming\Mozilla\Firefox\Profiles\1vqc7bse.default\
FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA;
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-mcagent_exe - c:\program files\McAfee.com\Agent\mcagent.exe
HKLM-Run-cfFncEnabler.exe - cfFncEnabler.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-06 23:14
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i?????x?q?_???P?U?x?U???U???U??

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hmqgafb]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-07-06 23:18:23
ComboFix-quarantined-files.txt 2010-07-06 21:18

Avant-CF: 88 586 072 064 octets libres
Après-CF: 88 968 200 192 octets libres

- - End Of File - - E1F24A8B49D59B49626E40D612955C75
0
Réponse 20 / 30
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
6 juil. 2010 à 23:40
Combofix n'a rien supprimé.
Je regarde ça de plus près.
A + tard.
0

Discussions similaires

éliminer phishing
val -
moment de grace -

27 réponses
alexa comment l eliminer
caledonie1 -
badaboum -

12 réponses