Security Tool à l'attaque

choisirtoujours Messages postés 25 Statut Membre -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Je vous écris d'un PC de secours car Security Tool est venu faire un petit tour chez moi.

J'ai pu éteindre l'ordinateur qui n'est plus en ligne pour l'instant.

Je viens de prendre connaissance des derniers messages au sujet du monstre et accomplis le secours de premier niveau avant de poster des logs par ici.

Merci par avance à celui (celle) qui prendra le temps de regarder les dégâts.

Bien Cordialement.

34 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par Security Tool sur un PC Windows Vista est en cours et nécessite une désinfection, avec recours à un guide pas-à-pas et des logs pour évaluer les dégâts.
Plusieurs étapes préconisées concernent le démarrage en mode sans échec, puis l'exécution d'outils de détection et de suppression comme rkill et Malwarebytes Anti-Malware, suivi d'un scan en profondeur.
Des guides complémentaires évoquent ensuite l'utilisation de ComboFix et le relevé des rapports d'analyse, avec sauvegarde des résultats et nettoyage des clés de registre et éléments malveillants détectés.
En cas de difficultés d'accès aux outils ou de paramètres système, des conseils couvrent le contournement des proxies et la vérification des tâches planifiées, des éléments qui peuvent freiner le nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    as tu passé déjà des outils et déjà eu des rapports ?
    0
  2. choisirtoujours Messages postés 25 Statut Membre
     
    Je suis en train de télécharger rkill en mode sans échec et préviens de la suite.
    0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    alors je te guide

    redémarrer le pc en mode sans échec avec prise en charge reseau

    https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

    Télécharge rkill

    Enregistre-le sur ton Bureau
    Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
    Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
    change de lien de téléchargement en utilisant le suivant à partir d'ici:
    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.exe

    Rkill COM: Rkill COM:
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.com

    Rkill SCR: Rkill RCS:
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.scr

    une fois qu'il aura terminé lance

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement.
    Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . [b]Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection
    Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller


    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
    0
  4. choisirtoujours Messages postés 25 Statut Membre
     
    Je suis en mode sans échec avec prise en charge réseau mais aucun des liens de téléchargement ne fonctionne. Je me suis même créé un compte sur Bleeping Computer mais ça ne fait rien. Les liens m'amènent vers des pages blanches ou un temps d'attente trop long interrompt l'accès à la page.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs que tu renommes CHOISIR.exe avant de l'enregistrer sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
  7. choisirtoujours Messages postés 25 Statut Membre
     
    Je suis sous Vista et je sais que je dois passer en admin mais là mon souci c'est que je n'arrive même pas à l'appli.
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      tu n'arrives pas à la télécharger , c'est ca ?
      0
    2. choisirtoujours Messages postés 25 Statut Membre
       
      C'est bien ça ;(
      0
  8. choisirtoujours Messages postés 25 Statut Membre
     
    Si je comprends bien cette aide... https://www.bleepingcomputer.com/virus-removal/remove-antivirus-system-pro ...

    Il faut que je redémarre en mode sans échec pour vérifier que l'infection n'est pas allé trop loin ?

    If you are unable to connect to the site to download rkill, please go back and do steps 3-6 again and make sure the infection has not reenabled the proxy settings. You may have to do this quite a few times before you can get the rkill.com file downloaded. If you still cannot download the rkill.com program on the infected computer, you should download it to a clean computer and copy it to the infected one via a USB flash drive or CDROM.
    0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il t'explique ce que je t'ai proposé au départ

    combofix, peux tu le télécharger d'un autre pc, et à l'aide d'une clé usb le copier sur le pc malade
    0
  10. choisirtoujours Messages postés 25 Statut Membre
     
    Ce n'est pas Combofix que j'ai du mal à télécharger mais Rkill. Je m'apprête à aller le récupérer sur un autre PC. C'est bien Rkill que je dois récupérer ?
    0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    laisse tomber rkill et fais combofix stp

    en le téléchargeant de ton pc malade ou d'un autre sain + clé usb
    0
  12. choisirtoujours Messages postés 25 Statut Membre
     
    OK. Merci. Je fais ça. A tt de suite
    0
  13. choisirtoujours Messages postés 25 Statut Membre
     
    Cher Moment de grâce,

    Voici mon rapport Combo.

    ComboFix 10-09-09.04 - lipdubz 10/09/2010 19:43:46.1.2 - x86 NETWORK
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3069.2487 [GMT 2:00]
    Lancé depuis: c:\users\lipdubz\Downloads\ComboFix.exe
    SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\lipdubz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.lnk
    c:\users\lipdubz\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp
    c:\windows\system32\MailBee.dll
    c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
    c:\windows\Temp\_ex-08.exe
    c:\windows\Temp\_ex-68.exe
    c:\windows\UA000106.DLL

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-10 au 2010-09-10 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-10 17:49 . 2010-09-10 17:49 -------- d-----w- c:\users\lipdubz\AppData\Local\temp
    2010-09-10 17:49 . 2010-09-10 17:49 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-09-10 07:11 . 2010-09-10 07:11 1062912 ----a-w- c:\users\lipdubz\AppData\Roaming\20B73154E3B249297343669B02CE9E1A\mediafix70700en02.exe
    2010-09-10 07:11 . 2010-09-10 07:11 -------- d-----w- c:\users\lipdubz\AppData\Roaming\20B73154E3B249297343669B02CE9E1A
    2010-09-09 00:23 . 2010-09-09 00:23 -------- d-----w- c:\program files\iPod
    2010-09-09 00:23 . 2010-09-09 00:24 -------- d-----w- c:\program files\iTunes
    2010-09-09 00:20 . 2010-09-09 00:21 -------- d-----w- c:\program files\QuickTime
    2010-09-09 00:15 . 2010-09-09 00:15 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 10.0.0.68\SetupAdmin.exe
    2010-09-07 08:01 . 2009-08-04 08:02 754688 ----a-w- c:\windows\system32\webservices.dll
    2010-09-07 07:59 . 2010-09-07 07:59 -------- d-----w- c:\users\lipdubz\AppData\Local\Windows Live
    2010-08-22 19:38 . 2010-08-22 19:38 -------- d-----w- c:\program files\Stop Motion Animator
    2010-08-22 14:30 . 2010-09-08 07:03 -------- d-----w- c:\users\lipdubz\Tracing
    2010-08-22 14:29 . 2010-08-22 14:29 -------- d-----w- c:\program files\Microsoft
    2010-08-22 14:29 . 2010-08-22 14:29 -------- d-----w- c:\program files\Windows Live SkyDrive
    2010-08-22 14:29 . 2010-08-22 14:29 -------- d-----w- c:\program files\Windows Live
    2010-08-22 14:27 . 2010-08-22 14:27 -------- d-----w- c:\program files\Common Files\Windows Live
    2010-08-17 20:26 . 2010-05-27 20:08 81920 ----a-w- c:\windows\system32\iccvid.dll
    2010-08-17 20:26 . 2010-06-11 16:16 274944 ----a-w- c:\windows\system32\schannel.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-10 17:40 . 2009-10-19 12:53 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-09-10 17:40 . 2009-10-19 12:53 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-09-10 17:38 . 2010-05-01 21:46 1356 ----a-w- c:\users\lipdubz\AppData\Local\d3d9caps.dat
    2010-09-10 15:12 . 2008-01-21 08:40 693136 ----a-w- c:\windows\system32\perfh00C.dat
    2010-09-10 15:12 . 2008-01-21 08:40 131124 ----a-w- c:\windows\system32\perfc00C.dat
    2010-09-09 06:49 . 2009-11-12 18:28 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-09-09 00:23 . 2009-10-24 17:01 -------- d-----w- c:\program files\Common Files\Apple
    2010-08-18 01:05 . 2009-06-25 14:17 -------- d-----w- c:\program files\Microsoft Works
    2010-08-18 01:02 . 2009-06-25 14:15 -------- d-----w- c:\programdata\Microsoft Help
    2010-08-18 01:01 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-08-06 16:31 . 2010-03-17 19:01 -------- d-----w- c:\users\lipdubz\AppData\Roaming\Skype
    2010-08-06 14:07 . 2010-03-17 19:02 -------- d-----w- c:\users\lipdubz\AppData\Roaming\skypePM
    2010-07-26 15:07 . 2010-07-24 11:20 -------- d-----w- c:\program files\McAfee Security Scan
    2010-07-24 11:20 . 2010-07-24 11:20 -------- d-----w- c:\programdata\McAfee Security Scan
    2010-07-23 09:12 . 2010-03-17 18:59 -------- d-----r- c:\program files\Skype
    2010-07-23 09:12 . 2010-07-23 09:12 -------- d-----w- c:\program files\Common Files\Skype
    2010-07-23 09:12 . 2010-03-17 18:59 -------- d-----w- c:\programdata\Skype
    2010-07-19 13:46 . 2010-07-19 13:46 -------- d-----w- c:\program files\Bonjour
    2010-07-19 13:44 . 2010-04-01 17:31 -------- d-----w- c:\program files\Safari
    2010-07-19 13:42 . 2010-07-19 13:42 71992 ----a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe
    2010-06-29 15:47 . 2010-08-17 20:25 834048 ----a-w- c:\windows\system32\wininet.dll
    2010-06-28 16:13 . 2010-08-17 20:25 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-06-21 13:37 . 2010-08-17 20:25 2037760 ----a-w- c:\windows\system32\win32k.sys
    2010-06-18 17:31 . 2010-08-17 20:25 36864 ----a-w- c:\windows\system32\rtutils.dll
    2010-06-18 15:04 . 2010-08-17 20:25 302080 ----a-w- c:\windows\system32\drivers\srv.sys
    2010-06-18 15:04 . 2010-08-17 20:25 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
    2010-06-16 16:04 . 2010-08-17 20:25 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-06-21 11:39 . 2009-11-13 08:12 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-12-10 435512]
    "TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]
    "Google Update"="c:\users\lipdubz\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-04-01 136176]
    "scheduler_monitor"="c:\program files\ReaConverter 5.5 Pro\init_scheduler.exe" [2007-06-15 27136]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1348904]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-21 30192]
    "Toshiba TEMPRO"="c:\program files\Toshiba TEMPRO\TemproTray.exe" [2009-03-23 1045904]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-21 61440]
    "TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2009-03-06 468320]
    "HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2009-03-09 55160]
    "SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2009-03-31 503808]
    "00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2009-03-23 729088]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-05-15 7514656]
    "NDSTray.exe"="c:\program files\TOSHIBA\ConfigFree\NDSTray.exe" [2009-06-03 304496]
    "cfFncEnabler.exe"="c:\program files\TOSHIBA\ConfigFree\cfFncEnabler.exe" [2009-05-21 21840]
    "Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-09-26 417792]
    "Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2009-03-04 96144]
    "mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2010-02-11 1218008]
    "UVS12 Preload"="c:\program files\Corel\Corel VideoStudio 12\uvPL.exe" [2008-06-09 397456]
    "ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-11-03 86016]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
    "AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-07-13 47904]
    "Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-05-15 1833504]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "GrpConv"="grpconv -o" [X]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

    c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-2-24 391072]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GOEC62~1.DLL

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux2"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-04-21 176128]
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
    R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [2009-01-23 203280]
    R2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-03-23 116104]
    R2 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-04-01 62776]
    R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-21 30192]
    R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
    R3 rcp_service;ReaConverter scheduler service;c:\program files\ReaConverter 5.5 Pro\rcp_scheduler.exe [2007-11-30 558592]
    R3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe [2008-08-25 77824]
    R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
    S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-20 7168]
    S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - ECACHE

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1363155397-4145936558-3493671463-1000Core.job
    - c:\users\lipdubz\AppData\Local\Google\Update\GoogleUpdate.exe [2010-04-01 17:57]

    2010-09-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1363155397-4145936558-3493671463-1000UA.job
    - c:\users\lipdubz\AppData\Local\Google\Update\GoogleUpdate.exe [2010-04-01 17:57]

    2010-08-16 c:\windows\Tasks\McDefragTask.job
    - c:\progra~1\mcafee\mqc\QcConsol.exe [2010-04-01 10:22]

    2010-06-30 c:\windows\Tasks\McQcTask.job
    - c:\progra~1\mcafee\mqc\QcConsol.exe [2010-04-01 10:22]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
    FF - ProfilePath - c:\users\lipdubz\AppData\Roaming\Mozilla\Firefox\Profiles\m04xsrab.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
    FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
    FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll
    FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
    FF - component: c:\users\lipdubz\AppData\Roaming\Mozilla\Firefox\Profiles\m04xsrab.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Picasa2\npPicasa2.dll
    FF - plugin: c:\program files\Virtools\3D Life Player\npvirtools.dll
    FF - plugin: c:\users\lipdubz\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
    FF - plugin: c:\users\lipdubz\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll
    FF - plugin: c:\users\lipdubz\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: general.useragent.extra.ludi - LUDI2

    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-RunOnce-<NO NAME> - (no file)

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-10 19:49
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i??????????6????V???V???V?( V?P
    TOSHIBA Online Product Information = c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe?/i??? V ??

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1363155397-4145936558-3493671463-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{33E9193C-918F-A829-5085-4CB2B6BE2565}*]
    "dachmbee"=hex:64,62,70,61,69,6f,6a,6d,69,61,6c,68,70,6a,64,6c,70,6d,61,6e,6d,
    65,63,70,6e,67,68,63,67,63,67,6f,70,64,6f,67,6e,69,67,6f,00,00
    "iadbgjoceadnppgnnk"=hex:6a,61,68,6f,62,70,63,66,6c,64,6d,63,62,65,65,67,6a,67,
    67,63,00,00
    "hanaeabodeonepgj"=hex:6a,61,68,6f,62,70,63,66,6c,64,6d,63,62,65,65,67,6a,67,
    67,63,00,00

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    Heure de fin: 2010-09-10 19:51:46
    ComboFix-quarantined-files.txt 2010-09-10 17:51

    Avant-CF: 61 979 496 448 octets libres
    Après-CF: 70 338 080 768 octets libres

    - - End Of File - - 17AAE05C2F2B625BA255A3F29A0D5D72
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    en mode normal

    peux tu faire ceci

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    0
  15. choisirtoujours Messages postés 25 Statut Membre
     
    Merci. Ca va mieux ? Du mal à télécharger ZHPdiag... Je persévère.
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      passe par le pc sain à nouveau
      0
    2. choisirtoujours Messages postés 25 Statut Membre
       
      Plus à proximité. Soit un autre moyen, soit demain. Je cherche.
      0
  16. choisirtoujours Messages postés 25 Statut Membre
     
    Voilà, j'ai réussi à machiner et le rapport est là : http://www.cijoint.fr/cjlink.php?file=cj201009/cijg7EegYt.txt
    0
  17. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ? Télécharge List_Kill'em et enregistre le sur ton bureau

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Executer List_Kill'em"


    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport C:\List'em.txt

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    Même opération pour le rapport more.txt qui se trouve sur ton bureau

    si soucis avec ci joint. fr

    => utiliser https://www.cjoint.com/
    => utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html
    0
  18. choisirtoujours Messages postés 25 Statut Membre
     
    Et voici les logs List'em http://www.cijoint.fr/cjlink.php?file=cj201009/cijdU3Dm15.txt

    Cordialement
    0
  19. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    1)

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Users\lipdubz\AppData\Roaming\20B73154E3B249297343669B02CE9E1A\mediafix70700en02.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK

    .............................

    2)

    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option CLEAN

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta reponse

    0
  20. choisirtoujours Messages postés 25 Statut Membre
     
    Argh 2 nouveaux malwares sont apparus Antimalware et un autre ... ;( Impossible de trouver le fichier avec Virus Total. La recherche me renvoie uniquement vers le fichier List'em
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      Argh 2 nouveaux malwares sont apparus Antimalware et un autre

      quels fichiers quel chemin

      as tu le rapport de ca ?
      0
    2. choisirtoujours Messages postés 25 Statut Membre
       
      Je n'arrive pas à trouver le fichier demandé avec Virustotal Je n'ai pas de dénomination Appdata donc pas de rapport ou je n'ai pas compris
      0
  • 1
  • 2