Security Suite virus, bien supprimé ?

Résolu
AJ -  
 AJ -
Bonjour,

J'ai choppé hier soir le virus "Security suite"... j'ai galéré pour le supprimer, mais je crois que j'ai presque réussi : avec malwarebytes mis à jour, il a repéré une trentaine de fichiers infectés qu'il a supprimé (j'ai fait une analyse complète en mode sans echec).
Seulement maintenant, mon antivirus (Avira) ne s'affiche plus en bas à droite (dans les petites icones a côté de l'heure), et quand je fais "personnaliser", dans la liste des programmes dont l'icone peut s'afficher, il y a toujours security suite... j'en conclue qu'il encore là qq part!

Pouvez-vous m'aider a m'assurer que mon ordi est clean ?

Merci beaucoup!

AJ

A voir également:

57 réponses

Précédent
Réponse 21 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Désinstalle via ajout/suppression de programmes les anciennes version de Java ( hormis la plus récente que tu as téléchargé via le lien que je t'ai fourni bien sur ) , et passe ensuite à la suite.
0
Réponse 22 / 57
AJ
 
Rapport Delfix :


Rapport DelFix v3.2
Mis à jour le 13/09/10 à 17h30 par Xplode
Lancé le 13/09/2010 à 23h11 et 42 seconde(s)
Utilisateur : Arthur-Jean - PCDEAJ
Système d'exploitation : Windows Seven - 32 bits
Internet Explorer : v8.0.7600.16385
Mode de démarrage : Normal
Option [Suppression]

~~~~~~~~ C:\ ~~~~~~~~

Dossier Supprimé : C:\USBFix

~~~~~~~~ C:\Windows ~~~~~~~~


~~~~~~~~ C:\Windows\System32 ~~~~~~~~


~~~~~~~~ C:\Program Files ~~~~~~~~

Dossier Supprimé : C:\Program Files\ZHPDiag

~~~~~~~~ C:\Users\Arthur-Jean ~~~~~~~~


~~~~~~~~ C:\Users\Arthur-Jean\Desktop ~~~~~~~~

Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\UsbFix.exe
Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\tdsskiller.exe
Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\JavaRa.def
Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\JavaRa.exe
Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\JavaRa.zip
Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\ZHPDiag.exe
Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\ZHPDiag.txt
Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\ZHPDiag2.Txt
Fichier Supprimé : C:\Users\Arthur-Jean\Desktop\ZHPFixReport.txt

~~~~~~~~ C:\Users\Public\Desktop ~~~~~~~~

Fichier Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Fichier Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~~~ C:\ProgramData\Microsoft\Windows\Start Menu\Programs ~~~~~~~~


~~~~~~~~ C:\Users\Arthur-Jean\Downloads ~~~~~~~~


~~~~~~~~ Registre ~~~~~~~~

Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

########## EOF - "C:\DelFixSuppr.txt" - [1649 octets] ##########



Je passe à l'optimisation...
0
Réponse 23 / 57
AJ
 
quand j'ai voulu télécharger defraggler, antivir m'a mis deux alertes... le défragmenteur de windows n'est pas efficace ?
0
Réponse 24 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Defraggler est plus puissant et défragmente mieux que celui intégré à windows. Mais si tu le souhaites, tu peux utiliser celui de windows, c'est au choix.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 57
AJ
 
Hello!
J'ai donc fait tout ce que tu m'as demandé, et voici le rapport security check :

Results of screen317's Security Check version 0.99.5
Windows 7 (UAC is enabled)
Internet Explorer 8
[b]''''''''''''''''''''''''''''''
[u]Antivirus/Firewall Check:[/u][/b]
[color=red][b]Windows Security Center service is not running! This report may not be accurate![/b][/color]
Avira AntiVir Personal - Free Antivirus
[size=1]WMI entry may not exist for antivirus; attempting automatic update.[/size]
Avira successfully updated!
[b]'''''''''''''''''''''''''''''''
[u]Anti-malware/Other Utilities Check:[/u][/b]
Malwarebytes' Anti-Malware
CCleaner
Java(TM) 6 Update 21
Adobe Flash Player 10.1.82.76
Adobe Reader 9.3.4 - Français
[b]''''''''''''''''''''''''''''''''
Process Check:
[u]objlist.exe by Laurent[/u][/b]
Avira Antivir avguard.exe
[b]''''''''''''''''''''''''''''''''
[u]DNS Vulnerability Check:[/u][/b]
GREAT! (Not vulnerable to DNS cache poisoning)

[b]''''''''''End of Log''''''''''''[/b]


Cependant j'ai encore quelques questions sur cette infection :

Dans les icônes de la zone de notification, j'ai toujours plusieurs élément suspects :
- "objectlist", objectlist.exe : je ne sais pas d'où il sort
- "security suite" xarotokuqiw.exe (qu'est-ce qu'il fait encore là! ^^)
- je ne vois plus l'icone d'antivir, alors que ce matin même j'ai encore essayé de l faire réapparaître (c'est pratique de l'avoir là quand j'enlève mon cable internet)

Par ailleurs je n'arrive pas à mettre antivir à jour... ca bug ("une erreur est survenue lors du téléchargement des fichiers") et je ne sais pas pourquoi...

Par ailleurs, est-ce que antivir est bien le meilleur antivirus gratuit ? par rapport à avast !?

Merci
AJ
0
Réponse 26 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
- "objectlist", objectlist.exe : je ne sais pas d'où il sort
- "security suite" xarotokuqiw.exe (qu'est-ce qu'il fait encore là! ^^)

--> En effet, ça c'est pas vraiment normal... On va faire une petite recherche avant de passer au reste.

-+-+-+-+-> SystemLook <-+-+-+-+-


[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc : 

:filefind

xarotokuqiw.exe
objectlist.exe


[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.
0
Réponse 27 / 57
AJ
 
Pardon c'était "objlist"
Voilà le scan

SystemLook 04.09.10 by jpshortstuff
Log created at 18:01 on 14/09/2010 by Arthur-Jean
Administrator - Elevation successful

========== filefind ==========

Searching for "xarotokuqiw.exe"
No files found.

Searching for "objlist.exe"
C:\Users\Arthur-Jean\AppData\Local\Temp\RarSFX0\SecurityCheck\Objlist.exe --a---- 272412 bytes [14:57 14/09/2010] [14:12 21/09/2008] D1F58AEAC19634E39D915C29A098CA01

-= EOF =-
0
Réponse 28 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Ok, fais ceci :

-+-+-+-+-> OtMoveIt <-+-+-+-+-


[x] Télécharge OtMoveIt sur ton bureau.

[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ". 

:files

C:\Users\Arthur-Jean\AppData\Local\Temp\*.*

:commands

[emptytemp]


[x] Clique maintenant sur " MoveIt! "

[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

Note : Le rapport est également sauvegardé sous C:\_OTM\MovedFiles
0
Réponse 29 / 57
AJ
 
J'ai fait ton opération, j'ai du reboot mon pc, et je sais pas ce qu'il supprimme vraiment mais je n'ai pas eu besoin de retaper mon mot de passe pour me connecter à facebook.... j'espère que c'est normal :)

Le rapport :

All processes killed
========== FILES ==========
C:\Users\Arthur-Jean\AppData\Local\Temp\AdobeARM.log moved successfully.
File move failed. C:\Users\Arthur-Jean\AppData\Local\Temp\etilqs_4OoK5nPrCve9uS4ac5Sr scheduled to be moved on reboot.
File move failed. C:\Users\Arthur-Jean\AppData\Local\Temp\etilqs_cA8IU7ze61bFvZJGLQSc scheduled to be moved on reboot.
C:\Users\Arthur-Jean\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Arthur-Jean\AppData\Local\Temp\jusched.log moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Arthur-Jean
->Temp folder emptied: 1129239 bytes
->Temporary Internet Files folder emptied: 5285222 bytes
->Java cache emptied: 125269 bytes
->FireFox cache emptied: 3570576 bytes
->Google Chrome cache emptied: 263227323 bytes
->Flash cache emptied: 4701 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5678 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 261,00 mb


OTM by OldTimer - Version 3.1.16.0 log created on 09142010_181144

Files moved on Reboot...
File C:\Users\Arthur-Jean\AppData\Local\Temp\etilqs_4OoK5nPrCve9uS4ac5Sr not found!
File C:\Users\Arthur-Jean\AppData\Local\Temp\etilqs_cA8IU7ze61bFvZJGLQSc not found!

Registry entries deleted on Reboot...
0
Réponse 30 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
C'est normal.

Tu as toujours les icônes de security suite etc.. dans la barre des tâches ?
0
Réponse 31 / 57
AJ
 
je l'ai dans la liste, mais pas dans les icones... pareil pour avira
0
Réponse 32 / 57
AJ
 
nouvelle alerte... dans C:\windows\system32\wininit.exe
c'est le cheval de troie TR/Spy96256.32

je comprends pas pk je subis toutes ces "attaques" là... je vais que sur une dizaine de sites, tous légaux, depuis samedi...
0
Réponse 33 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Wininit.exe est un fichier légitime, ne le supprime pas.

C'est vraiment bizarre que tu aies toutes ces alertes...

Fais ceci stp :

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

/!\ Ferme toutes les fenêtres de programme ouvertes /!\

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
0
AJ
 
je crois que je l'ai supprimé wininit...
0
AJ
 
je fais combofix quand même ?
0
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
passe quand même à la suite, de toute façon windows fait des sauvegarde de ces fichiers et les restaure de suite ;-)
0
AJ
 
quand je télécharge combofix sur ton lien il me met encore une alerte antivirus... je l'ignore ?
0
AJ
 
excuse moi, les alertes n'avaient rien a voir avec combofix :)
0
Réponse 34 / 57
AJ
 
Alors j'ai lancé combofix.exe, mais après qq secondes (après le message d'avertissement) il m'a mis "erreur", j'ai fait ok (pas le choix), l'ordinateur a alors redémarré et combofix s'est lancé
Pendant que combofix lançait l'analyse, j'ai eu droit a deux nouvelles alertes sur wininit.exe (j'avais désactivé pare feux windows et antivir avant de lancer combofix).
Ensuite il a fait l'analyse, dont voici le compte-rendu



ComboFix 10-09-14.01 - Arthur-Jean 14/09/2010 19:01:52.1.2 - x86
Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.1015.495 [GMT 2:00]
Lancé depuis: c:\users\Arthur-Jean\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\uninstall.exe

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-14 au 2010-09-14 ))))))))))))))))))))))))))))))))))))
.

2010-09-14 16:11 . 2010-09-14 16:11 -------- d-----w- C:\_OTM
2010-09-14 12:21 . 2010-09-14 12:21 -------- d-----w- c:\program files\Defraggler
2010-09-13 21:14 . 2010-09-13 21:14 -------- d-----w- c:\program files\CCleaner
2010-09-13 21:11 . 2010-09-13 21:11 -------- d-----w- c:\windows\system32\wbem\Performance
2010-09-13 21:07 . 2010-09-13 21:07 -------- d-----w- c:\program files\Common Files\Java
2010-09-13 21:07 . 2010-09-13 21:06 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-13 21:02 . 2010-09-13 21:02 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-09-12 13:33 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\dekmuhsfe
2010-09-12 13:33 . 2010-09-12 13:34 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\dekmuhsfe
2010-09-12 13:16 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\usvclneud
2010-09-12 13:16 . 2010-09-12 13:34 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\usvclneud
2010-09-12 13:07 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\xrrktwqjc
2010-09-12 12:57 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\otofxybkl
2010-09-12 12:26 . 2010-09-12 12:26 0 ----a-w- c:\windows\nsreg.dat
2010-09-12 12:26 . 2010-09-12 12:26 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\Mozilla
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\MOF
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\Logs
2010-09-11 23:41 . 2010-09-14 17:10 -------- d-----w- c:\windows\system32\logishrd
2010-09-08 09:10 . 2010-09-12 14:21 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\vlc
2010-08-25 14:48 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll
2010-08-18 04:29 . 2010-08-18 04:29 -------- d-----w- c:\windows\system32\x64
2010-08-18 04:29 . 2009-09-23 17:30 1002008 ----a-w- c:\windows\system32\igxpun.exe
2010-08-17 22:36 . 2010-09-11 19:51 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-17 22:35 . 2010-07-29 06:30 197632 ----a-w- c:\windows\system32\ir32_32.dll
2010-08-17 22:35 . 2010-07-29 06:30 82944 ----a-w- c:\windows\system32\iccvid.dll
2010-08-17 22:35 . 2010-06-19 06:23 37376 ----a-w- c:\windows\system32\rtutils.dll
2010-08-17 22:35 . 2010-06-08 06:02 1233920 ----a-w- c:\windows\system32\msxml3.dll
2010-08-17 22:35 . 2010-06-22 02:47 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-17 22:35 . 2010-06-22 02:47 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-17 22:35 . 2010-06-22 02:47 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-08-17 22:33 . 2010-06-19 04:07 2326016 ----a-w- c:\windows\system32\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 21:11 . 2009-07-14 08:39 699376 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-13 21:11 . 2009-07-14 08:39 129764 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-13 17:50 . 2010-06-20 20:48 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\Skype
2010-09-13 14:05 . 2010-06-20 20:49 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\skypePM
2010-09-13 06:12 . 2010-03-28 13:22 1 ----a-w- c:\users\Arthur-Jean\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-12 20:55 . 2010-06-20 20:46 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-09-11 22:57 . 2010-05-14 11:16 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-08 09:22 . 2010-05-24 16:22 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-04 10:52 . 2010-03-27 12:43 62952 ----a-w- c:\users\Arthur-Jean\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-01 22:03 . 2010-03-28 13:11 -------- d-----w- c:\program files\OpenOffice.org 3
2010-08-27 12:09 . 2010-04-03 12:51 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\dvdcss
2010-07-22 13:21 . 2010-07-12 10:07 -------- d-----w- c:\program files\ZTE HX003ZT UTILITY
2010-07-07 10:38 . 2010-07-07 10:38 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2010-07-07 10:37 . 2010-07-07 10:37 639296 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-06-30 06:25 . 2010-08-17 22:34 978432 ----a-w- c:\windows\system32\wininet.dll
2010-06-20 20:53 . 2010-06-20 20:53 53248 ----a-r- c:\users\Arthur-Jean\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-06-20 20:49 . 2010-06-20 20:49 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-06-19 06:33 . 2010-08-17 22:34 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-17 22:34 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

------- Sigcheck -------

[-] 2009-10-31 . DCF9E97EA9315FC23210F66186A7DC28 . 2614272 . . [6.1.7600.16385] . . c:\windows\explorer.exe

[-] 2009-07-14 01:14 . !HASH: COULD NOT OPEN FILE !!!!! . 96256 . . [------] . . c:\windows\System32\wininit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^Users^Arthur-Jean^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Logitech . Enregistrement du produit.lnk]
path=c:\users\Arthur-Jean\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Enregistrement du produit.lnk
backup=c:\windows\pss\Logitech . Enregistrement du produit.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-27 12:43 136176 ----atw- c:\users\Arthur-Jean\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2010-05-11 14:43 6061400 ----a-w- c:\program files\Logitech\Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid HD]
2010-05-11 14:43 6061400 ----a-w- c:\program files\Logitech\Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWS]
2010-05-07 16:35 165208 ----a-w- c:\program files\Logitech\LWS\Webcam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile Device Center]
2007-05-31 07:21 648072 ----a-w- c:\windows\WindowsMobile\wmdc.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-08 1343400]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-03-29 691696]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Arthur-Jean\AppData\Roaming\Mozilla\Firefox\Profiles\c0pt2tdd.default\
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\users\Arthur-Jean\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Logishrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2010-09-14 19:14:49 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-14 17:14

Avant-CF: 45 633 802 240 octets libres
Après-CF: 45 535 133 696 octets libres

- - End Of File - - DE1FB669BBD9AFD2334C9B9AAE25EBE3



tu sais ce qu'il se passe ?
0
Réponse 35 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Il se passe que tu es infecté par une belle saloperie :))

Tu as wininit.exe et explorer.exe qui ont été patché par l'infection, on va devoir les rétablir.

Pour commencer, relance combofix une seconde fois et poste moi le rapport, ensuite fais ceci :

-+-+-+-+-> SEAF <-+-+-+-+-


[x] Télécharge SEAF ( de C_XX ) sur ton bureau.

[x] Lance le puis dans la partie " Entrez ci dessous[...] " copie/colle ceci : 
wininit.exe, explorer.exe


[x] Coche " Afficher les ADS " ainsi que " Chercher également dans le registre ".

[x] A droite de " Calculer le checksum " , sélectionne " MD5 ".

[x] Clique maintenant sur " Lancer la recherche " puis poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
0
Réponse 36 / 57
AJ
 
Alors, combofix cette fois s'est lancé sans fioriture, mais également sans l'avertissement de l'autre fois (avec les sites qui ne sont pas affiliés, etc...)
voici le rapport :



ComboFix 10-09-14.01 - Arthur-Jean 14/09/2010 19:32:05.2.2 - x86
Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.1015.441 [GMT 2:00]
Lancé depuis: c:\users\Arthur-Jean\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-14 au 2010-09-14 ))))))))))))))))))))))))))))))))))))
.

2010-09-14 17:38 . 2010-09-14 17:38 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-09-14 17:38 . 2010-09-14 17:38 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-14 17:09 . 2010-09-14 17:40 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\temp
2010-09-14 16:11 . 2010-09-14 16:11 -------- d-----w- C:\_OTM
2010-09-14 12:21 . 2010-09-14 12:21 -------- d-----w- c:\program files\Defraggler
2010-09-13 21:14 . 2010-09-13 21:14 -------- d-----w- c:\program files\CCleaner
2010-09-13 21:11 . 2010-09-13 21:11 -------- d-----w- c:\windows\system32\wbem\Performance
2010-09-13 21:07 . 2010-09-13 21:07 -------- d-----w- c:\program files\Common Files\Java
2010-09-13 21:07 . 2010-09-13 21:06 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-13 21:02 . 2010-09-13 21:02 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-09-12 13:33 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\dekmuhsfe
2010-09-12 13:33 . 2010-09-12 13:34 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\dekmuhsfe
2010-09-12 13:16 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\usvclneud
2010-09-12 13:16 . 2010-09-12 13:34 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\usvclneud
2010-09-12 13:07 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\xrrktwqjc
2010-09-12 12:57 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\otofxybkl
2010-09-12 12:26 . 2010-09-12 12:26 0 ----a-w- c:\windows\nsreg.dat
2010-09-12 12:26 . 2010-09-12 12:26 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\Mozilla
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\MOF
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\Logs
2010-09-11 23:41 . 2010-09-14 17:39 -------- d-----w- c:\windows\system32\logishrd
2010-09-08 09:10 . 2010-09-12 14:21 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\vlc
2010-08-25 14:48 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll
2010-08-18 04:29 . 2010-08-18 04:29 -------- d-----w- c:\windows\system32\x64
2010-08-18 04:29 . 2009-09-23 17:30 1002008 ----a-w- c:\windows\system32\igxpun.exe
2010-08-17 22:36 . 2010-09-11 19:51 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-17 22:35 . 2010-07-29 06:30 197632 ----a-w- c:\windows\system32\ir32_32.dll
2010-08-17 22:35 . 2010-07-29 06:30 82944 ----a-w- c:\windows\system32\iccvid.dll
2010-08-17 22:35 . 2010-06-19 06:23 37376 ----a-w- c:\windows\system32\rtutils.dll
2010-08-17 22:35 . 2010-06-08 06:02 1233920 ----a-w- c:\windows\system32\msxml3.dll
2010-08-17 22:35 . 2010-06-22 02:47 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-17 22:35 . 2010-06-22 02:47 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-17 22:35 . 2010-06-22 02:47 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-08-17 22:33 . 2010-06-19 04:07 2326016 ----a-w- c:\windows\system32\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 21:11 . 2009-07-14 08:39 699376 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-13 21:11 . 2009-07-14 08:39 129764 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-13 17:50 . 2010-06-20 20:48 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\Skype
2010-09-13 14:05 . 2010-06-20 20:49 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\skypePM
2010-09-13 06:12 . 2010-03-28 13:22 1 ----a-w- c:\users\Arthur-Jean\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-12 20:55 . 2010-06-20 20:46 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-09-11 22:57 . 2010-05-14 11:16 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-08 09:22 . 2010-05-24 16:22 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-04 10:52 . 2010-03-27 12:43 62952 ----a-w- c:\users\Arthur-Jean\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-01 22:03 . 2010-03-28 13:11 -------- d-----w- c:\program files\OpenOffice.org 3
2010-08-27 12:09 . 2010-04-03 12:51 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\dvdcss
2010-07-22 13:21 . 2010-07-12 10:07 -------- d-----w- c:\program files\ZTE HX003ZT UTILITY
2010-07-07 10:38 . 2010-07-07 10:38 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2010-07-07 10:37 . 2010-07-07 10:37 639296 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-06-30 06:25 . 2010-08-17 22:34 978432 ----a-w- c:\windows\system32\wininet.dll
2010-06-20 20:53 . 2010-06-20 20:53 53248 ----a-r- c:\users\Arthur-Jean\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-06-20 20:49 . 2010-06-20 20:49 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-06-19 06:33 . 2010-08-17 22:34 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-17 22:34 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((( SnapShot@2010-09-14_17.11.08 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-07-14 04:55 . 2010-09-14 17:12 38696 c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 04:55 . 2010-09-14 17:41 38696 c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2010-03-27 12:31 . 2010-09-14 16:38 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:31 . 2010-09-14 17:13 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:31 . 2010-09-14 17:13 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:31 . 2010-09-14 16:38 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:41 . 2010-09-14 16:38 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:41 . 2010-09-14 17:13 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 16:26 . 2010-09-14 17:41 8056 c:\windows\System32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3558156502-4287396569-4183136587-1001_UserData.bin
- 2010-09-14 16:59 . 2010-09-14 17:10 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-09-14 16:59 . 2010-09-14 17:39 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-09-14 16:59 . 2010-09-14 17:39 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-09-14 16:59 . 2010-09-14 17:10 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^Users^Arthur-Jean^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Logitech . Enregistrement du produit.lnk]
path=c:\users\Arthur-Jean\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Enregistrement du produit.lnk
backup=c:\windows\pss\Logitech . Enregistrement du produit.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-27 12:43 136176 ----atw- c:\users\Arthur-Jean\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2010-05-11 14:43 6061400 ----a-w- c:\program files\Logitech\Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid HD]
2010-05-11 14:43 6061400 ----a-w- c:\program files\Logitech\Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWS]
2010-05-07 16:35 165208 ----a-w- c:\program files\Logitech\LWS\Webcam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile Device Center]
2007-05-31 07:21 648072 ----a-w- c:\windows\WindowsMobile\wmdc.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-08 1343400]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-03-29 691696]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Arthur-Jean\AppData\Roaming\Mozilla\Firefox\Profiles\c0pt2tdd.default\
FF - prefs.js: network.proxy.type - 0

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Logishrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2010-09-14 19:44:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-14 17:44
ComboFix2.txt 2010-09-14 17:14

Avant-CF: 45 436 428 288 octets libres
Après-CF: 45 379 760 128 octets libres

- - End Of File - - F614890B5A51A859E6B86D74D63E7779


Pour SEAF aucun problème non plus a le mettre en route, mais quand il tournait j'ai eu une double alerte, toujours pour wininit.exe, mais cette fois pour celui qui était dans c:\Qoobox\Quarantine : je ne sais pas d'où sort ce fichier!!!


1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 19:45:58 le 14/09/2010
4.
5. Valeur(s) recherchée(s):
6.
7. wininit.exe
8. explorer.exe
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Affichage des ADS
12. (!) --- Recherche registre
13.
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15.
16. "c:\Windows\explorer.exe" [ ----A---- | 2614272 ]
17. TC: 28/03/2010,13:37:22 | TM: 31/10/2009,08:00:51 | DA: 14/09/2010,19:38:56
18. MD5: c76153c7eca00fa852bb0c193378f917
19.
20.
21. =========================
22.
23. "c:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe" [ ----A---- | 96256 ]
24. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 14/07/2009,01:36:49
25. MD5: b5c5dcad3899512020d135600129d665
26.
27.
28. =========================
29.
30. "c:\Windows\winsxs\x86_microsoft-windows-wininit.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_e7beb9cc5ed3e31f\wininit.exe.mui" [ ----A---- | 5120 ]
31. TC: 14/07/2009,10:39:05 | TM: 14/07/2009,10:39:05 | DA: 14/07/2009,10:39:32
32. MD5: 5af1fd479961dd493544119b80b52cd1
33.
34.
35. =========================
36.
37. "c:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe" [ ----A---- | 2614272 ]
38. TC: 28/03/2010,13:37:22 | TM: 31/10/2009,08:00:51 | DA: 28/03/2010,13:37:22
39. MD5: c76153c7eca00fa852bb0c193378f917
40.
41.
42. =========================
43.
44. "c:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe" [ ----A---- | 2613248 ]
45. TC: 28/03/2010,13:36:57 | TM: 03/08/2009,07:49:47 | DA: 28/03/2010,13:36:57
46. MD5: 9ff6c4c91a3711c0a3b18f87b08b518d
47.
48.
49. =========================
50.
51. "c:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe" [ ----A---- | 2614272 ]
52. TC: 28/03/2010,13:37:22 | TM: 31/10/2009,07:45:39 | DA: 28/03/2010,13:37:22
53. MD5: 2626fc9755be22f805d3cfa0ce3ee727
54.
55.
56. =========================
57.
58. "c:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe" [ ----A---- | 2613248 ]
59. TC: 28/03/2010,13:36:57 | TM: 03/08/2009,07:35:50 | DA: 28/03/2010,13:36:57
60. MD5: b95eeb0f4e5efbf1038a35b3351cf047
61.
62.
63. =========================
64.
65. "c:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe" [ ----A---- | 2613248 ]
66. TC: 14/07/2009,01:41:14 | TM: 14/07/2009,03:14:20 | DA: 14/07/2009,01:41:14
67. MD5: 15bc38a7492befe831966adb477cf76f
68.
69.
70. =========================
71.
72. "c:\Windows\winsxs\x86_microsoft-windows-explorer.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_a84bb023c7ee686c\explorer.exe.mui" [ ----A---- | 26624 ]
73. TC: 14/07/2009,10:39:07 | TM: 14/07/2009,10:39:07 | DA: 14/07/2009,10:39:08
74. MD5: fd173730e78468962f9af98c274b723b
75.
76.
77. =========================
78.
79. "c:\Windows\winsxs\Backup\x86_microsoft-windows-wininit.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_e7beb9cc5ed3e31f_wininit.exe.mui_997435f5" [ ----A---- | 5120 ]
80. TC: 14/07/2009,10:39:36 | TM: 14/07/2009,10:39:30 | DA: 14/07/2009,10:39:30
81. MD5: 5af1fd479961dd493544119b80b52cd1
82.
83.
84. =========================
85.
86. "c:\Windows\winsxs\Backup\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13_wininit.exe_7a527f28" [ ----A---- | 96256 ]
87. TC: 14/07/2009,04:19:08 | TM: 14/07/2009,04:17:43 | DA: 14/07/2009,04:17:43
88. MD5: b5c5dcad3899512020d135600129d665
89.
90.
91. =========================
92.
93. "c:\Windows\System32\wininit.exe" [ ----A---- | 96256 ]
94. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 14/09/2010,19:38:48
95. MD5: b5c5dcad3899512020d135600129d665
96.
97.
98. =========================
99.
100. "c:\Windows\System32\fr-FR\wininit.exe.mui" [ ----A---- | 5120 ]
101. TC: 14/07/2009,10:39:05 | TM: 14/07/2009,10:39:05 | DA: 14/07/2009,10:39:32
102. MD5: 5af1fd479961dd493544119b80b52cd1
103.
104.
105. =========================
106.
107. "c:\Windows\Prefetch\EXPLORER.EXE-A80E4F97.pf" [ ----A---- | 148954 ]
108. TC: 12/09/2010,13:37:50 | TM: 14/09/2010,19:43:43 | DA: 12/09/2010,13:37:50
109. MD5: c01c56c84a6bedb9842882e62290039a
110.
111.
112. =========================
113.
114. "c:\Windows\fr-FR\explorer.exe.mui" [ ----A---- | 26624 ]
115. TC: 14/07/2009,10:39:07 | TM: 14/07/2009,10:39:07 | DA: 14/07/2009,10:39:08
116. MD5: fd173730e78468962f9af98c274b723b
117.
118.
119. =========================
120.
121. "c:\Windows\ERDNT\cache\explorer.exe" [ ----A---- | 2614272 ]
122. TC: 14/09/2010,19:43:03 | TM: 31/10/2009,08:00:51 | DA: 14/09/2010,19:43:03
123. MD5: c76153c7eca00fa852bb0c193378f917
124.
125.
126. =========================
127.
128. "c:\Windows\ERDNT\cache\wininit.exe" [ ----A---- | 96256 ]
129. TC: 14/09/2010,19:43:03 | TM: 14/07/2009,03:14:45 | DA: 14/09/2010,19:43:03
130. MD5: b5c5dcad3899512020d135600129d665
131.
132.
133. =========================
134.
135. "c:\Qoobox\Quarantine\C\Windows\explorer.exe.vir" [ ----A---- | 2614272 ]
136. TC: 28/03/2010,13:37:22 | TM: 31/10/2009,08:00:51 | DA: 14/09/2010,19:09:30
137. MD5: dcf9e97ea9315fc23210f66186a7dc28
138.
139.
140. =========================
141.
142. "c:\Qoobox\Quarantine\C\Windows\System32\wininit.exe.vir" [ ----A---- | 96256 ]
143. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 14/07/2009,01:36:49
144. MD5: DENIED
145.
146.
147. =========================
148.
149. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
150.
151. Aucun dossier trouvé
152.
153.
154. ====== Entrée(s) du registre ======
155.
156.
157.
158. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{206f6dea-d3c5-4d10-bc72-989f03c8b84b}]
159. "MessageFileName"="%SystemRoot%\system32\wininit.exe"
160.
161. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{206f6dea-d3c5-4d10-bc72-989f03c8b84b}]
162. "ResourceFileName"="%SystemRoot%\system32\wininit.exe"
163.
164. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\Application\Wininit]
165. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
166.
167. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\System\Microsoft-Windows-Wininit]
168. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
169.
170. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
171. "AppFullPath"="C:\Windows\system32\wininit.exe"
172.
173. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\Application\Wininit]
174. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
175.
176. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\System\Microsoft-Windows-Wininit]
177. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
178.
179. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
180. "AppFullPath"="C:\Windows\system32\wininit.exe"
181.
182. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Wininit]
183. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
184.
185. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\System\Microsoft-Windows-Wininit]
186. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
187.
188. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
189. "AppFullPath"="C:\Windows\system32\wininit.exe"
190.
191.
192.
193. [HKEY_CLASSES_ROOT\Applications\WINWORD.EXE\TaskbarExceptionsIcons\WordMail]
194. "IconPath"="explorer.exe,16"
195.
196. [HKEY_CLASSES_ROOT\CABFolder\shell\find\command]
197. ""="%SystemRoot%\Explorer.exe"
198.
199. [HKEY_CLASSES_ROOT\CABFolder\shell\Open\Command]
200. ""="%SystemRoot%\Explorer.exe /idlist,%I,%L"
201.
202. [HKEY_CLASSES_ROOT\CLSID\{0AFACED1-E828-11D1-9187-B532F1E9575D}\shell\find\command]
203. ""="%SystemRoot%\Explorer.exe"
204.
205. [HKEY_CLASSES_ROOT\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\shell\find\command]
206. ""="%SystemRoot%\Explorer.exe"
207.
208. [HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\find\command]
209. ""="%SystemRoot%\Explorer.exe"
210.
211. [HKEY_CLASSES_ROOT\CLSID\{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}]
212. "InfoTip"="@explorer.exe,-7000"
213.
214. [HKEY_CLASSES_ROOT\CLSID\{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}]
215. "LocalizedString"="@%SystemRoot%\explorer.exe,-7020"
216.
217. [HKEY_CLASSES_ROOT\CLSID\{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}]
218. "InfoTip"="@explorer.exe,-7001"
219.
220. [HKEY_CLASSES_ROOT\CLSID\{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}]
221. "LocalizedString"="@%SystemRoot%\explorer.exe,-7021"
222.
223. [HKEY_CLASSES_ROOT\CLSID\{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}]
224. "LocalizedString"="@%SystemRoot%\explorer.exe,-7022"
225.
226. [HKEY_CLASSES_ROOT\CLSID\{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}]
227. "InfoTip"="@explorer.exe,-7003"
228.
229. [HKEY_CLASSES_ROOT\CLSID\{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}]
230. "LocalizedString"="@%SystemRoot%\explorer.exe,-7023"
231.
232. [HKEY_CLASSES_ROOT\CLSID\{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}]
233. "InfoTip"="@explorer.exe,-7005"
234.
235. [HKEY_CLASSES_ROOT\CLSID\{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}]
236. "LocalizedString"="@%SystemRoot%\explorer.exe,-7025"
237.
238. [HKEY_CLASSES_ROOT\CLSID\{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon]
239. ""="%SystemRoot%\explorer.exe,-254"
240.
241. [HKEY_CLASSES_ROOT\CLSID\{3080F90D-D7AD-11D9-BD98-0000947B0257}\DefaultIcon]
242. ""="%SystemRoot%\explorer.exe,-103"
243.
244. [HKEY_CLASSES_ROOT\CLSID\{3080F90E-D7AD-11D9-BD98-0000947B0257}\DefaultIcon]
245. ""="%SystemRoot%\explorer.exe,-258"
246.
247. [HKEY_CLASSES_ROOT\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\shell\find\command]
248. ""="%SystemRoot%\Explorer.exe"
249.
250. [HKEY_CLASSES_ROOT\CLSID\{48e7caab-b918-4e58-a94d-505519c795dc}\shell\find\command]
251. ""="%SystemRoot%\Explorer.exe"
252.
253. [HKEY_CLASSES_ROOT\CLSID\{682159d9-c321-47ca-b3f1-30e36b2ec8b9}\LocalServer32]
254. ""="%SystemRoot%\explorer.exe /factory,{682159d9-c321-47ca-b3f1-30e36b2ec8b9}"
255.
256. [HKEY_CLASSES_ROOT\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b}\LocalServer32]
257. ""="%SystemRoot%\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b}"
258.
259. [HKEY_CLASSES_ROOT\CLSID\{ceff45ee-c862-41de-aee2-a022c81eda92}\LocalServer32]
260. ""="%SystemRoot%\explorer.exe /factory,{ceff45ee-c862-41de-aee2-a022c81eda92}"
261.
262. [HKEY_CLASSES_ROOT\CompressedFolder\shell\find\command]
263. ""="%SystemRoot%\Explorer.exe"
264.
265. [HKEY_CLASSES_ROOT\CompressedFolder\shell\Open\Command]
266. ""="%SystemRoot%\Explorer.exe /idlist,%I,%L"
267.
268. [HKEY_CLASSES_ROOT\DeviceDisplayObject\AllItems\Shell\Microsoft.DxpOpen\command]
269. ""="%SystemRoot%\Explorer.exe"
270.
271. [HKEY_CLASSES_ROOT\DeviceDisplayObject\AllItems\Shell\Microsoft.DxpOpenInNewWindow\command]
272. ""="%SystemRoot%\Explorer.exe"
273.
274. [HKEY_CLASSES_ROOT\DeviceDisplayObject\HardwareId\USB#VID_046D&PID_0804&MI_00\Shell\LogitechLink1\command]
275. ""="explorer.exe "https://www.logitech.fr/fr-fr""
276.
277. [HKEY_CLASSES_ROOT\DeviceDisplayObject\HardwareId\USB#VID_046D&PID_0804&MI_00\Shell\LogitechLink2\command]
278. ""="explorer.exe "https://support.logi.com/hc/en-001""
279.
280. [HKEY_CLASSES_ROOT\Directory\shell\find\command]
281. ""="%SystemRoot%\Explorer.exe"
282.
283. [HKEY_CLASSES_ROOT\Drive\shell\find\command]
284. ""="%SystemRoot%\Explorer.exe"
285.
286. [HKEY_CLASSES_ROOT\Explorer.AssocProtocol.search-ms]
287. "FriendlyTypeName"="@%SystemRoot%\explorer.exe,-6010"
288.
289. [HKEY_CLASSES_ROOT\Explorer.AssocProtocol.search-ms\shell\open\command]
290. ""="%SystemRoot%\Explorer.exe /separate,/idlist,%I,%L"
291.
292. [HKEY_CLASSES_ROOT\Folder\shell\open\command]
293. ""="%SystemRoot%\Explorer.exe"
294.
295. [HKEY_CLASSES_ROOT\Local Settings\MuiCache\5D\D9B7F780]
296. "@C:\Windows\explorer.exe,-7021"="Aide et support"
297.
298. [HKEY_CLASSES_ROOT\Local Settings\MuiCache\5D\D9B7F780]
299. "@explorer.exe,-8243"="Rechercher partout"
300.
301. [HKEY_CLASSES_ROOT\opensearchdescription\shell\open\command]
302. ""="%SystemRoot%\explorer.exe"
303.
304. [HKEY_CLASSES_ROOT\search]
305. "FriendlyTypeName"="@%SystemRoot%\explorer.exe,-6010"
306.
307. [HKEY_CLASSES_ROOT\search\shell\open\command]
308. ""="%SystemRoot%\Explorer.exe /separate,/idlist,%I,%L"
309.
310. [HKEY_CLASSES_ROOT\search-ms]
311. "FriendlyTypeName"="@%SystemRoot%\explorer.exe,-6010"
312.
313. [HKEY_CLASSES_ROOT\search-ms\shell\open\command]
314. ""="%SystemRoot%\Explorer.exe /separate,/idlist,%I,%L"
315.
316. [HKEY_CLASSES_ROOT\SHCmdFile\shell\open\command]
317. ""="%SystemRoot%\explorer.exe"
318.
319. [HKEY_CLASSES_ROOT\SystemFileAssociations\.bmp\Shell\setdesktopwallpaper\Command]
320. ""="%SystemRoot%\Explorer.exe"
321.
322. [HKEY_CLASSES_ROOT\SystemFileAssociations\.dib\Shell\setdesktopwallpaper\Command]
323. ""="%SystemRoot%\Explorer.exe"
324.
325. [HKEY_CLASSES_ROOT\SystemFileAssociations\.gif\Shell\setdesktopwallpaper\Command]
326. ""="%SystemRoot%\Explorer.exe"
327.
328. [HKEY_CLASSES_ROOT\SystemFileAssociations\.jfif\Shell\setdesktopwallpaper\Command]
329. ""="%SystemRoot%\Explorer.exe"
330.
331. [HKEY_CLASSES_ROOT\SystemFileAssociations\.jpe\Shell\setdesktopwallpaper\Command]
332. ""="%SystemRoot%\Explorer.exe"
333.
334. [HKEY_CLASSES_ROOT\SystemFileAssociations\.jpeg\Shell\setdesktopwallpaper\Command]
335. ""="%SystemRoot%\Explorer.exe"
336.
337. [HKEY_CLASSES_ROOT\SystemFileAssociations\.jpg\Shell\setdesktopwallpaper\Command]
338. ""="%SystemRoot%\Explorer.exe"
339.
340. [HKEY_CLASSES_ROOT\SystemFileAssociations\.png\Shell\setdesktopwallpaper\Command]
341. ""="%SystemRoot%\Explorer.exe"
342.
343. [HKEY_CLASSES_ROOT\SystemFileAssociations\.tif\Shell\setdesktopwallpaper\Command]
344. ""="%SystemRoot%\Explorer.exe"
345.
346. [HKEY_CLASSES_ROOT\SystemFileAssociations\.tiff\Shell\setdesktopwallpaper\Command]
347. ""="%SystemRoot%\Explorer.exe"
348.
349. [HKEY_CLASSES_ROOT\SystemFileAssociations\.wdp\Shell\setdesktopwallpaper\Command]
350. ""="%SystemRoot%\Explorer.exe"
351.
352. [HKEY_CURRENT_USER\Software\Microsoft\Direct3D\MostRecentApplication]
353. "Name"="Explorer.exe"
354.
355. [HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\5D\D9B7F780]
356. "@C:\Windows\explorer.exe,-7021"="Aide et support"
357.
358. [HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\5D\D9B7F780]
359. "@explorer.exe,-8243"="Rechercher partout"
360.
361. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\WINWORD.EXE\TaskbarExceptionsIcons\WordMail]
362. "IconPath"="explorer.exe,16"
363.
364. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CABFolder\shell\find\command]
365. ""="%SystemRoot%\Explorer.exe"
366.
367. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CABFolder\shell\Open\Command]
368. ""="%SystemRoot%\Explorer.exe /idlist,%I,%L"
369.
370. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AFACED1-E828-11D1-9187-B532F1E9575D}\shell\find\command]
371. ""="%SystemRoot%\Explorer.exe"
372.
373. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\shell\find\command]
374. ""="%SystemRoot%\Explorer.exe"
375.
376. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\find\command]
377. ""="%SystemRoot%\Explorer.exe"
378.
379. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}]
380. "InfoTip"="@explorer.exe,-7000"
381.
382. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}]
383. "LocalizedString"="@%SystemRoot%\explorer.exe,-7020"
384.
385. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}]
386. "InfoTip"="@explorer.exe,-7001"
387.
388. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}]
389. "LocalizedString"="@%SystemRoot%\explorer.exe,-7021"
390.
391. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}]
392. "LocalizedString"="@%SystemRoot%\explorer.exe,-7022"
393.
394. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}]
395. "InfoTip"="@explorer.exe,-7003"
396.
397. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}]
398. "LocalizedString"="@%SystemRoot%\explorer.exe,-7023"
399.
400. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}]
401. "InfoTip"="@explorer.exe,-7005"
402.
403. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}]
404. "LocalizedString"="@%SystemRoot%\explorer.exe,-7025"
405.
406. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon]
407. ""="%SystemRoot%\explorer.exe,-254"
408.
409. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3080F90D-D7AD-11D9-BD98-0000947B0257}\DefaultIcon]
410. ""="%SystemRoot%\explorer.exe,-103"
411.
412. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3080F90E-D7AD-11D9-BD98-0000947B0257}\DefaultIcon]
413. ""="%SystemRoot%\explorer.exe,-258"
414.
415. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\shell\find\command]
416. ""="%SystemRoot%\Explorer.exe"
417.
418. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48e7caab-b918-4e58-a94d-505519c795dc}\shell\find\command]
419. ""="%SystemRoot%\Explorer.exe"
420.
421. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{682159d9-c321-47ca-b3f1-30e36b2ec8b9}\LocalServer32]
422. ""="%SystemRoot%\explorer.exe /factory,{682159d9-c321-47ca-b3f1-30e36b2ec8b9}"
423.
424. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b}\LocalServer32]
425. ""="%SystemRoot%\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b}"
426.
427. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ceff45ee-c862-41de-aee2-a022c81eda92}\LocalServer32]
428. ""="%SystemRoot%\explorer.exe /factory,{ceff45ee-c862-41de-aee2-a022c81eda92}"
429.
430. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CompressedFolder\shell\find\command]
431. ""="%SystemRoot%\Explorer.exe"
432.
433. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CompressedFolder\shell\Open\Command]
434. ""="%SystemRoot%\Explorer.exe /idlist,%I,%L"
435.
436. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DeviceDisplayObject\AllItems\Shell\Microsoft.DxpOpen\command]
437. ""="%SystemRoot%\Explorer.exe"
438.
439. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DeviceDisplayObject\AllItems\Shell\Microsoft.DxpOpenInNewWindow\command]
440. ""="%SystemRoot%\Explorer.exe"
441.
442. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DeviceDisplayObject\HardwareId\USB#VID_046D&PID_0804&MI_00\Shell\LogitechLink1\command]
443. ""="explorer.exe "https://www.logitech.fr/fr-fr""
444.
445. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DeviceDisplayObject\HardwareId\USB#VID_046D&PID_0804&MI_00\Shell\LogitechLink2\command]
446. ""="explorer.exe "https://support.logi.com/hc/en-001""
447.
448. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\find\command]
449. ""="%SystemRoot%\Explorer.exe"
450.
451. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command]
452. ""="%SystemRoot%\Explorer.exe"
453.
454. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Explorer.AssocProtocol.search-ms]
455. "FriendlyTypeName"="@%SystemRoot%\explorer.exe,-6010"
456.
457. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Explorer.AssocProtocol.search-ms\shell\open\command]
458. ""="%SystemRoot%\Explorer.exe /separate,/idlist,%I,%L"
459.
460. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\open\command]
461. ""="%SystemRoot%\Explorer.exe"
462.
463. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\opensearchdescription\shell\open\command]
464. ""="%SystemRoot%\explorer.exe"
465.
466. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\search]
467. "FriendlyTypeName"="@%SystemRoot%\explorer.exe,-6010"
468.
469. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\search\shell\open\command]
470. ""="%SystemRoot%\Explorer.exe /separate,/idlist,%I,%L"
471.
472. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\search-ms]
473. "FriendlyTypeName"="@%SystemRoot%\explorer.exe,-6010"
474.
475. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\search-ms\shell\open\command]
476. ""="%SystemRoot%\Explorer.exe /separate,/idlist,%I,%L"
477.
478. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SHCmdFile\shell\open\command]
479. ""="%SystemRoot%\explorer.exe"
480.
481. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.bmp\Shell\setdesktopwallpaper\Command]
482. ""="%SystemRoot%\Explorer.exe"
483.
484. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.dib\Shell\setdesktopwallpaper\Command]
485. ""="%SystemRoot%\Explorer.exe"
486.
487. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.gif\Shell\setdesktopwallpaper\Command]
488. ""="%SystemRoot%\Explorer.exe"
489.
490. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.jfif\Shell\setdesktopwallpaper\Command]
491. ""="%SystemRoot%\Explorer.exe"
492.
493. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.jpe\Shell\setdesktopwallpaper\Command]
494. ""="%SystemRoot%\Explorer.exe"
495.
496. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.jpeg\Shell\setdesktopwallpaper\Command]
497. ""="%SystemRoot%\Explorer.exe"
498.
499. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.jpg\Shell\setdesktopwallpaper\Command]
500. ""="%SystemRoot%\Explorer.exe"
501.
502. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.png\Shell\setdesktopwallpaper\Command]
503. ""="%SystemRoot%\Explorer.exe"
504.
505. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.tif\Shell\setdesktopwallpaper\Command]
506. ""="%SystemRoot%\Explorer.exe"
507.
508. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.tiff\Shell\setdesktopwallpaper\Command]
509. ""="%SystemRoot%\Explorer.exe"
510.
511. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.wdp\Shell\setdesktopwallpaper\Command]
512. ""="%SystemRoot%\Explorer.exe"
513.
514. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\DragDrop\{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
515. "AppName"="explorer.exe"
516.
517. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BEHAVIORS]
518. "explorer.exe"=""
519.
520. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_DISABLE_MK_PROTOCOL]
521. "explorer.exe"=""
522.
523. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
524. "explorer.exe"=""
525.
526. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_MAXCONNECTIONSPER1_0SERVER]
527. "explorer.exe"=""
528.
529. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_MAXCONNECTIONSPERSERVER]
530. "explorer.exe"=""
531.
532. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_MIME_HANDLING]
533. "explorer.exe"=""
534.
535. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_MIME_SNIFFING]
536. "explorer.exe"=""
537.
538. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_OBJECT_CACHING]
539. "explorer.exe"=""
540.
541. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN]
542. "explorer.exe"=""
543.
544. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_SAFE_BINDTOOBJECT]
545. "explorer.exe"=""
546.
547. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_WEBOC_POPUPMANAGEMENT]
548. "explorer.exe"=""
549.
550. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_WINDOW_RESTRICTIONS]
551. "explorer.exe"=""
552.
553. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_ZONE_ELEVATION]
554. "explorer.exe"=""
555.
556. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileAssociation]
557. "KillList"="%1;explorer.exe;dvdplay.exe;msohtmed.exe;quikview.exe;rundll.exe;rundll32.exe;taskman.exe;bck32api.dll;"
558.
559. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
560. "Shell"="Explorer.exe"
561.
562. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Capabilities]
563. "ApplicationDescription"="@%SystemRoot%\explorer.exe,-6012"
564.
565. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\Capabilities]
566. "ApplicationName"="@%SystemRoot%\explorer.exe,-6011"
567.
568. [HKEY_USERS\S-1-5-21-3558156502-4287396569-4183136587-1001\Software\Microsoft\Direct3D\MostRecentApplication]
569. "Name"="Explorer.exe"
570.
571. [HKEY_USERS\S-1-5-21-3558156502-4287396569-4183136587-1001\Software\Classes\Local Settings\MuiCache\5D\D9B7F780]
572. "@C:\Windows\explorer.exe,-7021"="Aide et support"
573.
574. [HKEY_USERS\S-1-5-21-3558156502-4287396569-4183136587-1001\Software\Classes\Local Settings\MuiCache\5D\D9B7F780]
575. "@explorer.exe,-8243"="Rechercher partout"
576.
577. [HKEY_USERS\S-1-5-21-3558156502-4287396569-4183136587-1001_Classes\Local Settings\MuiCache\5D\D9B7F780]
578. "@C:\Windows\explorer.exe,-7021"="Aide et support"
579.
580. [HKEY_USERS\S-1-5-21-3558156502-4287396569-4183136587-1001_Classes\Local Settings\MuiCache\5D\D9B7F780]
581. "@explorer.exe,-8243"="Rechercher partout"
582.
583. =========================
584.
585. Fin à: 19:47:45 le 14/09/2010 ( E.O.F )


Le gras souligné c'est pour que tu vois mon écriture au milieu des deux rapports :)
merci encore de m'aider...
0
Réponse 37 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
En gros je t'explique :

L'infection que tu as eu a patché deux fichiers système ( wininit.exe et explorer.exe ) qui normalement son sain et légitimes.

Combofix les a trouvé et a essayé de les restaurer.. le problème c'est qu'il restaure également une copie infectée, donc c'est la boucle infernale.. c'est pour ça que je t'ai demandé de faire SEAF afin de voir où on pourrait prendre une copie saine de ces deux fichiers afin de les remplacer.

L'antivirus a bien détecté le wininit.exe infecté qui a été supprimé par combofix ( le dossier C:\Qoobox correspond à la zone de quarantaine de combofix )

Fais ceci :

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour XXXXX /!\

[x] Copie le texte en gras ci dessous :


SRPeek::

c:\windows\explorer.exe
c:\windows\system32\wininit.exe


[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
0
Réponse 38 / 57
AJ
 
ooooké voilà le rapport !

ComboFix 10-09-14.01 - Arthur-Jean 14/09/2010 20:42:46.3.2 - x86
Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.1015.440 [GMT 2:00]
Lancé depuis: c:\users\Arthur-Jean\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Arthur-Jean\Desktop\CFScript.txt
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-14 au 2010-09-14 ))))))))))))))))))))))))))))))))))))
.

2010-09-14 18:49 . 2010-09-14 18:49 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-09-14 18:49 . 2010-09-14 18:49 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-14 17:45 . 2010-09-14 17:47 -------- d-----w- c:\program files\SEAF
2010-09-14 17:09 . 2010-09-14 18:49 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\temp
2010-09-14 16:11 . 2010-09-14 16:11 -------- d-----w- C:\_OTM
2010-09-14 12:21 . 2010-09-14 12:21 -------- d-----w- c:\program files\Defraggler
2010-09-13 21:14 . 2010-09-13 21:14 -------- d-----w- c:\program files\CCleaner
2010-09-13 21:11 . 2010-09-13 21:11 -------- d-----w- c:\windows\system32\wbem\Performance
2010-09-13 21:07 . 2010-09-13 21:07 -------- d-----w- c:\program files\Common Files\Java
2010-09-13 21:07 . 2010-09-13 21:06 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-13 21:02 . 2010-09-13 21:02 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-09-12 13:33 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\dekmuhsfe
2010-09-12 13:33 . 2010-09-12 13:34 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\dekmuhsfe
2010-09-12 13:16 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\usvclneud
2010-09-12 13:16 . 2010-09-12 13:34 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\usvclneud
2010-09-12 13:07 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\xrrktwqjc
2010-09-12 12:57 . 2010-09-12 14:16 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\otofxybkl
2010-09-12 12:26 . 2010-09-12 12:26 0 ----a-w- c:\windows\nsreg.dat
2010-09-12 12:26 . 2010-09-12 12:26 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\Mozilla
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\MOF
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\Logs
2010-09-11 23:41 . 2010-09-14 17:39 -------- d-----w- c:\windows\system32\logishrd
2010-09-08 09:10 . 2010-09-12 14:21 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\vlc
2010-08-25 14:48 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll
2010-08-18 04:29 . 2010-08-18 04:29 -------- d-----w- c:\windows\system32\x64
2010-08-18 04:29 . 2009-09-23 17:30 1002008 ----a-w- c:\windows\system32\igxpun.exe
2010-08-17 22:36 . 2010-09-11 19:51 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-17 22:35 . 2010-07-29 06:30 197632 ----a-w- c:\windows\system32\ir32_32.dll
2010-08-17 22:35 . 2010-07-29 06:30 82944 ----a-w- c:\windows\system32\iccvid.dll
2010-08-17 22:35 . 2010-06-19 06:23 37376 ----a-w- c:\windows\system32\rtutils.dll
2010-08-17 22:35 . 2010-06-08 06:02 1233920 ----a-w- c:\windows\system32\msxml3.dll
2010-08-17 22:35 . 2010-06-22 02:47 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-17 22:35 . 2010-06-22 02:47 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-17 22:35 . 2010-06-22 02:47 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-08-17 22:33 . 2010-06-19 04:07 2326016 ----a-w- c:\windows\system32\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 21:11 . 2009-07-14 08:39 699376 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-13 21:11 . 2009-07-14 08:39 129764 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-13 17:50 . 2010-06-20 20:48 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\Skype
2010-09-13 14:05 . 2010-06-20 20:49 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\skypePM
2010-09-13 06:12 . 2010-03-28 13:22 1 ----a-w- c:\users\Arthur-Jean\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-12 20:55 . 2010-06-20 20:46 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-09-11 22:57 . 2010-05-14 11:16 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-08 09:22 . 2010-05-24 16:22 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-04 10:52 . 2010-03-27 12:43 62952 ----a-w- c:\users\Arthur-Jean\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-01 22:03 . 2010-03-28 13:11 -------- d-----w- c:\program files\OpenOffice.org 3
2010-08-27 12:09 . 2010-04-03 12:51 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\dvdcss
2010-07-22 13:21 . 2010-07-12 10:07 -------- d-----w- c:\program files\ZTE HX003ZT UTILITY
2010-07-07 10:38 . 2010-07-07 10:38 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2010-07-07 10:37 . 2010-07-07 10:37 639296 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-06-30 06:25 . 2010-08-17 22:34 978432 ----a-w- c:\windows\system32\wininet.dll
2010-06-20 20:53 . 2010-06-20 20:53 53248 ----a-r- c:\users\Arthur-Jean\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-06-20 20:49 . 2010-06-20 20:49 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-06-19 06:33 . 2010-08-17 22:34 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-17 22:34 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

(((((((((((((((((((((((((((((((((((((((((( SR_Search ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
((((((((((((((((((((((((((((( SnapShot@2010-09-14_17.11.08 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-07-14 04:55 . 2010-09-14 17:12 38696 c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 04:55 . 2010-09-14 17:41 38696 c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2010-03-27 12:31 . 2010-09-14 16:38 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:31 . 2010-09-14 17:43 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:31 . 2010-09-14 17:43 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:31 . 2010-09-14 16:38 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:41 . 2010-09-14 16:38 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:41 . 2010-09-14 17:43 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-03-30 13:02 . 2010-09-14 17:08 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
+ 2010-03-30 13:02 . 2010-09-14 18:07 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
- 2010-03-30 13:02 . 2010-09-14 17:08 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
+ 2010-03-30 13:02 . 2010-09-14 18:07 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
+ 2010-03-30 13:02 . 2010-09-14 18:07 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
- 2010-03-30 13:02 . 2010-09-14 17:08 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 18:07 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 17:42 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 16:26 . 2010-09-14 17:41 8056 c:\windows\System32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3558156502-4287396569-4183136587-1001_UserData.bin
- 2010-09-14 16:59 . 2010-09-14 17:10 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-09-14 16:59 . 2010-09-14 17:39 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-09-14 16:59 . 2010-09-14 17:39 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-09-14 16:59 . 2010-09-14 17:10 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^Users^Arthur-Jean^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Logitech . Enregistrement du produit.lnk]
path=c:\users\Arthur-Jean\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Enregistrement du produit.lnk
backup=c:\windows\pss\Logitech . Enregistrement du produit.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-27 12:43 136176 ----atw- c:\users\Arthur-Jean\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2010-05-11 14:43 6061400 ----a-w- c:\program files\Logitech\Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid HD]
2010-05-11 14:43 6061400 ----a-w- c:\program files\Logitech\Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWS]
2010-05-07 16:35 165208 ----a-w- c:\program files\Logitech\LWS\Webcam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile Device Center]
2007-05-31 07:21 648072 ----a-w- c:\windows\WindowsMobile\wmdc.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-08 1343400]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-03-29 691696]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Arthur-Jean\AppData\Roaming\Mozilla\Firefox\Profiles\c0pt2tdd.default\
FF - prefs.js: network.proxy.type - 0

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2010-09-14 20:51:32
ComboFix-quarantined-files.txt 2010-09-14 18:51
ComboFix2.txt 2010-09-14 17:44
ComboFix3.txt 2010-09-14 17:14

Avant-CF: 45 277 724 672 octets libres
Après-CF: 45 227 257 856 octets libres

- - End Of File - - C405F4A85CB28730D20B8020746FEAEB
0
Réponse 39 / 57
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Niquel, les fichiers patchés ont bien été restaurés. On va maintenant supprimer le reste de l'infection :

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour AJ /!\

[x] Copie le texte en gras ci dessous :


KillAll::

SysRst::

DirLook::

c:\windows\system32\x64

DDS::

uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
uInternet Settings,ProxyOverride = *.local

Folder::

c:\users\Arthur-Jean\AppData\Roaming\dekmuhsfe
c:\users\Arthur-Jean\AppData\Local\dekmuhsfe
c:\users\Arthur-Jean\AppData\Local\usvclneud
c:\users\Arthur-Jean\AppData\Roaming\usvclneud
c:\users\Arthur-Jean\AppData\Local\xrrktwqjc
c:\users\Arthur-Jean\AppData\Local\otofxybkl


[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
0
Réponse 40 / 57
AJ
 
Voici le rapport :

ComboFix 10-09-14.01 - Arthur-Jean 14/09/2010 22:52:43.4.2 - x86
Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.1015.466 [GMT 2:00]
Lancé depuis: c:\users\Arthur-Jean\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Arthur-Jean\Desktop\CFScript.txt
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Arthur-Jean\AppData\Local\dekmuhsfe
c:\users\Arthur-Jean\AppData\Local\otofxybkl
c:\users\Arthur-Jean\AppData\Local\usvclneud
c:\users\Arthur-Jean\AppData\Local\xrrktwqjc
c:\users\Arthur-Jean\AppData\Roaming\dekmuhsfe
c:\users\Arthur-Jean\AppData\Roaming\usvclneud

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-14 au 2010-09-14 ))))))))))))))))))))))))))))))))))))
.

2010-09-14 21:00 . 2010-09-14 21:00 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-09-14 21:00 . 2010-09-14 21:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-14 17:45 . 2010-09-14 17:47 -------- d-----w- c:\program files\SEAF
2010-09-14 17:09 . 2010-09-14 21:02 -------- d-----w- c:\users\Arthur-Jean\AppData\Local\temp
2010-09-14 16:11 . 2010-09-14 16:11 -------- d-----w- C:\_OTM
2010-09-14 12:21 . 2010-09-14 12:21 -------- d-----w- c:\program files\Defraggler
2010-09-13 21:14 . 2010-09-13 21:14 -------- d-----w- c:\program files\CCleaner
2010-09-13 21:11 . 2010-09-13 21:11 -------- d-----w- c:\windows\system32\wbem\Performance
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\MOF
2010-09-11 23:41 . 2010-09-11 23:41 -------- d-----w- c:\windows\system32\wbem\Logs
2010-09-11 23:41 . 2010-09-14 21:01 -------- d-----w- c:\windows\system32\logishrd
2010-09-08 09:10 . 2010-09-12 14:21 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\vlc
2010-08-25 14:48 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll
2010-08-18 04:29 . 2010-08-18 04:29 -------- d-----w- c:\windows\system32\x64
2010-08-18 04:29 . 2009-09-23 17:30 1002008 ----a-w- c:\windows\system32\igxpun.exe
2010-08-17 22:36 . 2010-09-11 19:51 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-17 22:35 . 2010-07-29 06:30 197632 ----a-w- c:\windows\system32\ir32_32.dll
2010-08-17 22:35 . 2010-07-29 06:30 82944 ----a-w- c:\windows\system32\iccvid.dll
2010-08-17 22:35 . 2010-06-19 06:23 37376 ----a-w- c:\windows\system32\rtutils.dll
2010-08-17 22:35 . 2010-06-08 06:02 1233920 ----a-w- c:\windows\system32\msxml3.dll
2010-08-17 22:35 . 2010-06-22 02:47 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-17 22:35 . 2010-06-22 02:47 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-17 22:35 . 2010-06-22 02:47 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-08-17 22:33 . 2010-06-19 04:07 2326016 ----a-w- c:\windows\system32\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 21:11 . 2009-07-14 08:39 699376 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-13 21:11 . 2009-07-14 08:39 129764 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-13 21:07 . 2010-09-13 21:07 -------- d-----w- c:\program files\Common Files\Java
2010-09-13 21:06 . 2010-09-13 21:07 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-13 21:02 . 2010-09-13 21:02 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-09-13 17:50 . 2010-06-20 20:48 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\Skype
2010-09-13 14:05 . 2010-06-20 20:49 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\skypePM
2010-09-13 06:12 . 2010-03-28 13:22 1 ----a-w- c:\users\Arthur-Jean\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-12 20:55 . 2010-06-20 20:46 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-09-12 12:26 . 2010-09-12 12:26 0 ----a-w- c:\windows\nsreg.dat
2010-09-11 22:57 . 2010-05-14 11:16 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-08 09:22 . 2010-05-24 16:22 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-04 10:52 . 2010-03-27 12:43 62952 ----a-w- c:\users\Arthur-Jean\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-01 22:03 . 2010-03-28 13:11 -------- d-----w- c:\program files\OpenOffice.org 3
2010-08-27 12:09 . 2010-04-03 12:51 -------- d-----w- c:\users\Arthur-Jean\AppData\Roaming\dvdcss
2010-07-22 13:21 . 2010-07-12 10:07 -------- d-----w- c:\program files\ZTE HX003ZT UTILITY
2010-07-07 10:38 . 2010-07-07 10:38 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2010-07-07 10:37 . 2010-07-07 10:37 639296 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-06-30 06:25 . 2010-08-17 22:34 978432 ----a-w- c:\windows\system32\wininet.dll
2010-06-20 20:53 . 2010-06-20 20:53 53248 ----a-r- c:\users\Arthur-Jean\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-06-20 20:49 . 2010-06-20 20:49 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-06-19 06:33 . 2010-08-17 22:34 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-17 22:34 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\windows\system32\x64 ----



((((((((((((((((((((((((((((( SnapShot@2010-09-14_17.11.08 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-07-14 04:55 . 2010-09-14 17:12 38696 c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 04:55 . 2010-09-14 21:03 38696 c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2010-03-27 12:31 . 2010-09-14 16:38 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:31 . 2010-09-14 17:43 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:31 . 2010-09-14 17:43 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:31 . 2010-09-14 16:38 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:41 . 2010-09-14 16:38 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:41 . 2010-09-14 17:43 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 21:04 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:38 . 2010-09-14 21:04 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 21:04 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-27 12:38 . 2010-09-14 21:04 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-30 13:02 . 2010-09-14 20:04 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
- 2010-03-30 13:02 . 2010-09-14 17:08 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
- 2010-03-30 13:02 . 2010-09-14 17:08 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
+ 2010-03-30 13:02 . 2010-09-14 20:04 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
- 2010-03-30 13:02 . 2010-09-14 17:08 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
+ 2010-03-30 13:02 . 2010-09-14 20:04 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 21:04 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-03-27 12:38 . 2010-09-14 21:04 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-03-27 12:38 . 2010-09-14 17:13 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-27 16:26 . 2010-09-14 21:03 8104 c:\windows\System32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3558156502-4287396569-4183136587-1001_UserData.bin
+ 2010-09-14 16:59 . 2010-09-14 21:01 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2010-09-14 16:59 . 2010-09-14 17:10 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-09-14 16:59 . 2010-09-14 21:01 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-09-14 16:59 . 2010-09-14 17:10 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2010-03-31 15:01 . 2010-09-14 18:59 320196 c:\windows\System32\wdi\SuspendPerformanceDiagnostics_SystemData_S3.bin
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKLM\~\startupfolder\C:^Users^Arthur-Jean^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Logitech . Enregistrement du produit.lnk]
path=c:\users\Arthur-Jean\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Enregistrement du produit.lnk
backup=c:\windows\pss\Logitech . Enregistrement du produit.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-27 12:43 136176 ----atw- c:\users\Arthur-Jean\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2010-05-11 14:43 6061400 ----a-w- c:\program files\Logitech\Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid HD]
2010-05-11 14:43 6061400 ----a-w- c:\program files\Logitech\Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWS]
2010-05-07 16:35 165208 ----a-w- c:\program files\Logitech\LWS\Webcam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile Device Center]
2007-05-31 07:21 648072 ----a-w- c:\windows\WindowsMobile\wmdc.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-08 1343400]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-03-29 691696]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\Arthur-Jean\AppData\Roaming\Mozilla\Firefox\Profiles\c0pt2tdd.default\
FF - prefs.js: network.proxy.type - 0

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Logishrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2010-09-14 23:05:39 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-14 21:05
ComboFix2.txt 2010-09-14 18:51
ComboFix3.txt 2010-09-14 17:44
ComboFix4.txt 2010-09-14 17:14

Avant-CF: 45 254 025 216 octets libres
Après-CF: 45 207 273 472 octets libres

- - End Of File - - 8B63F3F0F95EFA379A2A8674CFAD3113
0

Discussions similaires

SecurityHealth est a désactiver ou pas au démarrage de W10 Pro 64 ?
Walti55 -
Walti55 -

2 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
cette phrase est elle correcte
Jo -
Raymond PENTIER -

10 réponses
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse