Attaque par Antimalware doctor

juju28 -  
 gen-hackman -
Bonjour,

J'ai récolté un joli cadeau hier soir : apparition d'un logiciel bidon antimalware doctor + une barre qui s'est installée dans IE. J'ai nettoyé avec Anti-Malware et Spybot. J'ai fait du Hijackthis et aujourd'hui tout semble clean pour ces outils mais je reste persuadé que quelque chose est toujours là :
explorer.exe pèse 100 Mo
svchost.exe pèse aussi 100 Mo
et j'ai des fenêtres Web qui apparaissent alors que je ne les ai pas demandées
je n'arrive pas à faire analyser mes log Hijackthis depuis ce PC (la page ne s'affiche pas), alors que ça marche si je passe par un autre PC.
sans activité réseau, je vois passer des paquets de données par le Wifi

Bref comment faire un check up complet pour finir le nettoyage ?

29 réponses

  • 1
  • 2
  1. gen-hackman
     
    salut tu peux remettre ton rapport Malwarebytes ?
    0
  2. juju28
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4424

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    13/08/2010 15:04:55
    mbam-log-2010-08-13 (15-04-55).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 150218
    Temps écoulé: 12 minute(s), 58 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  3. gen-hackman
     
    Télécharge ici :OTL de OLDTimer

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  4. juju28
     
    Merci pour la prise en charge..

    Résultats
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijzByDVNH.txt
    http://www.cijoint.fr/cjlink.php?file=cj201008/cij26SFMUr.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    desinstalle spybot


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


    --
    ?G3?-?@¢??@?(TM)©®?
    0
  7. juju28
     
    Tout c'est bien passé mais impossible de poursuivre le message et de coller le CR..
    0
  8. juju28
     
    Je vais essayer en deux parties : le début
    ComboFix 10-08-12.03 - Juju-et-nath 13/08/2010 17:27:42.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.438 [GMT 2:00]
    Lancé depuis: C:\Documents and Settings\Juju-et-nath\Bureau\Julien.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\drivers\mkstextc.sys
    C:\WINDOWS\system32\drivers\yqpntkze.sys
    C:\WINDOWS\system32\tmp.reg
    C:\WINDOWS\system32\txlukgw.dll
    C:\WINDOWS\system32\xsqiknh.dll

    Une copie infectée de C:\WINDOWS\system32\drivers\redbook.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_DYPDJLJR
    -------\Legacy_MKSTEXTC
    -------\Service_dypdjljr
    -------\Service_mkstextc

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-07-13 au 2010-08-13 ))))))))))))))))))))))))))))))))))))
    .

    2010-08-13 09:46:12 . 2009-06-30 07:37:16 28552 ----a-w- C:\WINDOWS\system32\drivers\pavboot.sys
    2010-08-13 09:45:59 . 2010-08-13 09:45:59 -------- d-----w- C:\Program Files\Panda Security
    2010-08-13 09:00:53 . 2010-08-13 09:00:53 -------- d-sh--w- C:\Documents and Settings\LocalService\PrivacIE
    2010-08-13 08:14:10 . 2010-08-13 08:14:10 -------- d--h--w- C:\WINDOWS\PIF
    2010-08-13 07:35:37 . 2010-08-13 15:03:28 -------- d-----w- C:\Program Files\Spybot - Search & Destroy
    2010-08-13 07:35:37 . 2010-08-13 14:59:27 -------- d-----w- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2010-08-12 23:24:34 . 2010-08-12 23:24:34 -------- d-----r- C:\Documents and Settings\NetworkService\Favoris
    2010-08-12 21:46:03 . 2010-08-12 21:46:03 -------- d-----w- C:\Documents and Settings\Juju-et-nath\Application Data\Malwarebytes
    2010-08-12 21:45:54 . 2010-04-29 13:39:38 38224 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2010-08-12 21:45:52 . 2010-08-12 21:45:52 -------- d-----w- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2010-08-12 21:45:52 . 2010-04-29 13:39:26 20952 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys
    2010-08-12 21:45:51 . 2010-08-12 21:45:58 -------- d-----w- C:\Program Files\Malwarebytes' Anti-Malware
    2010-08-12 21:26:19 . 2010-08-13 15:39:11 784384 ----a-w- C:\WINDOWS\system32\drivers\kgmtbr.sys
    2010-08-12 21:26:17 . 2010-08-12 22:06:37 -------- d-----w- C:\Documents and Settings\Juju-et-nath\Local Settings\Application Data\orqyrhcuy
    2010-08-12 21:26:14 . 2010-08-12 22:04:59 -------- d-----w- C:\Documents and Settings\Juju-et-nath\Local Settings\Application Data\xrjyroccw
    2010-08-12 16:47:01 . 2010-08-12 16:47:01 -------- d-----w- C:\Program Files\Fichiers communs\Elecard
    2010-08-12 16:47:01 . 2010-08-12 16:47:01 -------- d-----w- C:\Program Files\Elecard
    2010-08-12 16:43:20 . 2010-08-12 16:43:21 -------- d-----w- C:\Program Files\Xvid
    2010-08-12 16:43:20 . 2009-06-07 14:24:04 180224 ----a-w- C:\WINDOWS\system32\xvidvfw.dll
    2010-08-12 16:43:20 . 2009-06-07 14:16:12 819200 ----a-w- C:\WINDOWS\system32\xvidcore.dll
    2010-07-15 06:08:41 . 2010-06-14 14:31:20 744448 -c----w- C:\WINDOWS\system32\dllcache\helpsvc.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-12 15:52:00 . 2005-12-13 12:34:03 -------- d-----w- C:\Program Files\Sony
    2010-08-12 15:52:00 . 2005-12-12 17:51:26 -------- d--h--w- C:\Program Files\InstallShield Installation Information
    2010-08-12 11:08:07 . 2008-10-22 19:40:01 -------- d-----w- C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2010-08-12 11:06:47 . 2005-12-12 07:54:19 555208 ----a-w- C:\WINDOWS\system32\perfh00C.dat
    2010-08-12 11:06:47 . 2005-12-12 07:54:19 104846 ----a-w- C:\WINDOWS\system32\perfc00C.dat
    2010-07-25 19:42:39 . 2007-05-26 12:38:42 -------- d-----w- C:\Documents and Settings\Juju-et-nath\Application Data\XnView
    2010-07-15 05:58:06 . 2010-05-26 11:38:57 -------- d-----w- C:\Program Files\Fichiers communs\Adobe AIR
    2010-07-15 05:57:23 . 2010-07-15 06:14:18 53632 ----a-w- C:\Documents and Settings\Juju-et-nath\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
    2010-07-04 12:24:57 . 2006-12-16 16:03:52 -------- d-----w- C:\Program Files\Babar et la chasse aux pieces d'or
    2010-06-30 12:32:14 . 2005-12-12 07:53:43 149504 ----a-w- C:\WINDOWS\system32\schannel.dll
    2010-06-24 12:25:24 . 2005-12-12 07:53:51 916480 ----a-w- C:\WINDOWS\system32\wininet.dll
    2010-06-24 09:02:32 . 2005-12-12 07:53:51 1852032 ----a-w- C:\WINDOWS\system32\win32k.sys
    2010-06-21 15:27:11 . 2005-12-12 07:53:47 354304 ----a-w- C:\WINDOWS\system32\drivers\srv.sys
    2010-06-17 14:03:10 . 2005-12-12 07:53:23 80384 ----a-w- C:\WINDOWS\system32\iccvid.dll
    2010-06-14 14:31:20 . 2005-12-12 16:08:03 744448 ----a-w- C:\WINDOWS\pchealth\helpctr\binaries\helpsvc.exe
    2010-06-14 07:42:25 . 2005-12-12 07:53:32 1172480 ----a-w- C:\WINDOWS\system32\msxml3.dll
    2006-03-01 20:46:34 . 2006-03-01 20:46:24 278528 ----a-w- C:\Program Files\Fichiers communs\FDEUnInstaller.exe
    .
    0
  9. gen-hackman
     
    j'ai pas compris tu peux preciser ?
    0
  10. juju28
     
    Je veux dire que quand je colle le CR complet sur le forum, il ne me prend pas mon message (ce doit être sans rapport avec mon pb...)
    En 2 morceaux c'est passé
    0
  11. juju28
     
    Ah non il ne m'a pas pris la deuxième partie du CR...il doit y avoir un truc qui le gène...
    As-tu assez d'info ?
    0
  12. juju28
     
    Pour l'instant tout semble marcher mieux, j'arrive de nouveau à obtenir l'évaluation de mon log hijackthis, le site web n'est plus bloqué.
    Le wifi s'active sans que le pare-feu soit désactivé.
    Explorer.exe et svchost.exe tournent avec 30 Mo....
    Il ne me reste plus qu'à vérifier qu'internet explorer fonctionne...
    0
  13. juju28
     
    ci-joint le fichier :
    http://www.cijoint.fr/cjlink.php?file=cj201008/cij6MvxCUw.txt
    0
  14. gen-hackman
     

    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    Rootkit::
    C:\WINDOWS\system32\drivers\kgmtbr.sys

    Folder::
    C:\Documents and Settings\Juju-et-nath\Local Settings\Application Data\orqyrhcuy
    C:\Documents and Settings\Juju-et-nath\Local Settings\Application Data\xrjyroccw

    Driver::
    MKSTEXTC
    kgmtbr
    mkstextc

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  15. juju28
     
    le log final :
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijzsoYBNV.txt
    0
  16. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge ici :List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    ▶ laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau
    0
  17. juju28
     
    Le tout en mangeant...

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijIjDManx.txt

    http://www.cijoint.fr/cjlink.php?file=cj201008/cij3DfJ3C6.txt
    0
  18. juju28
     
    Pour Gen-Hackman, peut-on considérer le problème résolu ?
    Merci en tout cas tout fonctionne normalement.

    Julien
    0
  19. gen-hackman
     
    ▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ▶ choisis l'Option Clean

    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse
    0
  20. juju28
     
    Résultat :
    ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.2.7 ¤¤¤¤¤¤¤¤¤¤

    User : Juju-et-nath (Administrateurs)
    Update on 13/08/2010 by g3n-h@ckm@n ::::: 15.00
    Start at: 08:47:05 | 15/08/2010

    Genuine Intel(R) CPU T2300 @ 1.66GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local | 46,57 Go (15,39 Go free) [VAIO] | NTFS
    D:\ -> Disque fixe local | 39,6 Go (10,97 Go free) [VAIO] | NTFS
    F:\ -> Disque CD-ROM
    W:\ -> Disque fixe local | 298,09 Go (125,87 Go free) [DDexterne] | NTFS

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

    C:\WINDOWS\System32\smss.exe ----416 Ko
    C:\WINDOWS\system32\csrss.exe ----3872 Ko
    C:\WINDOWS\system32\winlogon.exe ----3248 Ko
    C:\WINDOWS\system32\services.exe ----3636 Ko
    C:\WINDOWS\system32\lsass.exe ----6356 Ko
    C:\WINDOWS\system32\svchost.exe ----5184 Ko
    C:\WINDOWS\system32\svchost.exe ----4712 Ko
    C:\WINDOWS\System32\svchost.exe ----21076 Ko
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe ----7600 Ko
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe ----4676 Ko
    C:\WINDOWS\system32\svchost.exe ----2976 Ko
    C:\WINDOWS\system32\svchost.exe ----7388 Ko
    C:\WINDOWS\system32\logonui.exe ----1952 Ko
    C:\WINDOWS\system32\spoolsv.exe ----6696 Ko
    C:\WINDOWS\system32\svchost.exe ----3804 Ko
    C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe ----2388 Ko
    C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe ----248 Ko
    C:\WINDOWS\eHome\ehRecvr.exe ----4620 Ko
    C:\WINDOWS\eHome\ehSched.exe ----2672 Ko
    C:\WINDOWS\System32\svchost.exe ----3556 Ko
    C:\Program Files\Java\jre6\bin\jqs.exe ----7940 Ko
    C:\WINDOWS\eHome\ehRec.exe ----16208 Ko
    C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe ----13636 Ko
    C:\WINDOWS\Explorer.EXE ----17028 Ko
    C:\WINDOWS\system32\nvsvc32.exe ----3392 Ko
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe ----3000 Ko
    C:\WINDOWS\system32\svchost.exe ----3944 Ko
    C:\WINDOWS\system32\svchost.exe ----4268 Ko
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe ----968 Ko
    C:\Program Files\Sony\VAIO Event Service\VESMgr.exe ----9404 Ko
    C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe ----8872 Ko
    C:\WINDOWS\system32\WgaTray.exe ----8664 Ko
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe ----5932 Ko
    C:\WINDOWS\system32\cmd.exe ----1892 Ko
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe ----13860 Ko
    C:\Program Files\Windows Media Player\WMPNetwk.exe ----18448 Ko
    C:\WINDOWS\system32\SearchIndexer.exe ----4244 Ko
    C:\WINDOWS\ehome\mcrdsvc.exe ----3092 Ko
    C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe ----8016 Ko
    C:\WINDOWS\system32\wuauclt.exe ----6844 Ko
    C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_Task.exe ----2500 Ko
    C:\WINDOWS\system32\wbem\wmiprvse.exe ----6768 Ko
    C:\Program Files\List_Kill'em\ERUNT.EXE ----3108 Ko
    C:\Program Files\List_Kill'em\pv.exe ----2792 Ko

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\espionServerData
    Quarantined & Deleted !! : C:\WINDOWS\002907_.tmp
    Quarantined & Deleted !! : C:\WINDOWS\tmp9.tmp

    Quarantined & Deleted !! : C:\WINDOWS\Temp\JETC0DF.tmp
    Quarantined & Deleted !! : C:\Documents and Settings\Juju-et-nath\Application Data\wklnhst.dat

    =======
    Hosts :
    =======

    127.0.0.1 localhost

    ========
    Registry
    ========

    Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
    Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
    Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
    Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
    Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

    =================
    Internet Explorer
    =================

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    Local Page = C:\WINDOWS\system32\blank.htm
    Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.google.com/?gws_rd=ssl
    Local Page = C:\WINDOWS\system32\blank.htm
    Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    ===============
    Security Center
    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    FirstRunDisabled = 1 (0x1)
    FirewallDisableNotify = 0 (0x0)
    AntiVirusOverride = 1 (0x1)
    FirewallOverride = 1 (0x1)
    AntiVirusDisableNotify = 0 (0x0)
    UpdatesDisableNotify = 0 (0x0)

    ========
    Services
    =========

    Ndisuio : Start = 3
    EapHost : Start = 2
    Ip6Fw : Start = 2
    SharedAccess : Start = 2
    wuauserv : Start = 2
    wscsvc : Start = 2

    ============
    Disk Cleaned
    anti-ver blaster : OK
    Prefetch cleaned
    ================

    FEATURE_BROWSER_EMULATION | svchost :
    ====================================

    Deleted : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION : svchost.exe

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  • 1
  • 2