security tools Fermé

Question

Bonjour, 

Configuration: Windows Vista / Firefox 3.6.10

Je viens d'attraper security tool. J'ai téléchargé malwarebytes, et je l'ai lancé , j'ai fait les mises à jour et lancé l'examen complet.

Que dois-je faire désormais maintenant ?

Merci

gen-hackman · Answer

salut poste ton rapport de malwarebytes stp pour commencer

damien · Answer

Je fais un copier coller de tout le rapport ?

gen-hackman · Answer

oui

damien · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4793

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

11/10/2010 13:17:13
mbam-log-2010-10-11 (13-17-13).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 297044
Temps écoulé: 1 heure(s), 55 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\43131718 (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Morgane\AppData\Local\43131718.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\Morgane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3TLCBPKH\err.log (Extension.Mismatch) -> Quarantined and deleted successfully.
C:\Users\Morgane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GGYDHMSY\ix[1].exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\Morgane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\Morgane\downloads\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

damien · Answer

Le lien pour le fichier List'em.txt

http://www.cijoint.fr/cjlink.php?file=cj201010/cijMkGnjTZ.txt

et celui du fichier more.txt

http://www.cijoint.fr/cjlink.php?file=cj201010/cijhRTqsFj.txt

gen-hackman · Answer

1/......

&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.     

=============

2/.......

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

damien · Answer

le premier rapport de ad-remover : 

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 01/09/10 à 16:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:45:51 le 11/10/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 1 (X86) 
Morgane@PC-DE-MORGANE (Dell Inc. Inspiron 1525) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
0,Dossier supprimé: C:\Users\Morgane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ask Search Assistant
0,Dossier supprimé: C:\Program Files\Ask Search Assistant
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Users\Morgane\AppData\LocalLow\AskToolbar
0,Dossier supprimé: C:\Users\Morgane\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
3,Fichier supprimé: C:\Windows\Installer\3829e9.msi  

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT1460988
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskSearchAsst
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
0,Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Ask Search Assistant
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
0,Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar (Error code: 1)
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Users\Morgane\AppData\Roaming\Mozilla\FireFox\Profiles\l86koca1.default\Prefs.js --
browser.startup.homepage, hxxp://WWW.GOOGLE.FR
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [7.0.6001.18000] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 51 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 11/10/2010 (5627 Octet(s)) 

Fin à: 14:50:42, 11/10/2010 
 
============== E.O.F ==============

gen-hackman · Answer

pour list_kill'em =>

si tu as Vista ou windows 7 => clic droit "executer en tant que...."

damien · Answer

toujours rien, le logiciel s'ouvre mais impossible de sélectionner clean, ça ouvre une fenêtre qui se ferme immédiatement

gen-hackman · Answer

clic droit executer en tant qu'administrateur sur C:\programmes\List_kill'em\del_reg

damien · Answer

ensuite ?

gen-hackman · Answer

ben tu remettras le rapport kill'em.txt qui est sur ton bureau .......

damien · Answer

Voila : 

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.9 ¤¤¤¤¤¤¤¤¤¤ 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\ProgramData\Solegis 
 
Quarantined & Deleted !! : C:\Users\Morgane\Firefox Setup 3.6.10.exe 
Quarantined & Deleted !! : C:\Users\Morgane\AppData\Local\d3d9caps.dat 
Quarantined & Deleted !! : C:\Users\Morgane\AppData\Local\GDIPFONTCACHEV1.DAT 
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar"  
Deleted : HKLM\software\classes\installer\Products\A28B4D68DEBAA244EB686953B7074FEF  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	=      	1 () 
FirstRunDisabled	=      	1 () 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

bien

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

damien · Answer

fichier extra : http://www.cijoint.fr/cjlink.php?file=cj201010/cijwZYs5Ro.txt

fichier OTL : http://www.cijoint.fr/cjlink.php?file=cj201010/cijhrnFAx3.txt

voila, il reste beaucoup de manipulation à faire ?

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\Windows\System32\drivers	fvayomf.sys 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

damien · Answer

voila : 
http://www.virustotal.com/file-scan/report.html?id=3da4f51682e7d42c5569f1fb1adc6295182962e36f748219e1d0c8f2389ba516-1286807857

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

damien · Answer

Voila : 

ComboFix 10-10-10.03 - Morgane 11/10/2010  17:00:48.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2037.1221 [GMT 2:00]
Lancé depuis: c:\users\Morgane\Downloads\morgane.exe
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Morgane\AppData\Roaming\Catalyst
c:\users\Morgane\AppData\Roaming\Catalyst\Aavm4h.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AavmGuih.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AavmRpch.dll
c:\users\Morgane\AppData\Roaming\Catalyst\ACE.dll
c:\users\Morgane\AppData\Roaming\Catalyst\Acrofx32.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AcroIEHelper.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AcroRd32.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AcroRdIF.dll
c:\users\Morgane\AppData\Roaming\Catalyst\adobe_epic.dll
c:\users\Morgane\AppData\Roaming\Catalyst\adobe_eula.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AdobeLinguistic.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AdobeUpdater.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AdobeXMP.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AGM.dll
c:\users\Morgane\AppData\Roaming\Catalyst\ahclient.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AhResMai.dll
c:\users\Morgane\AppData\Roaming\Catalyst\ahResMes.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AhResNS.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AiodLite.dll
c:\users\Morgane\AppData\Roaming\Catalyst\Alcoholx.dll
c:\users\Morgane\AppData\Roaming\Catalyst\atl.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_AR.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_BUL.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_CAT.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_Chs.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_Cht.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_CZ.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_DA.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_ES.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_FI.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_FR.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_GE.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_GR.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_HR.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_HU.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_IT.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_JPN.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_KR.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_MK.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_NL.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_NO.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_PL.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_PT.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_PT_BR.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_RU.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_SK.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_SLV.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_SR.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_SV.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_TR.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AX_UA.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AXE8SharedExpat.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AXShlEx.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AXSLE.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AxSWind.dll
c:\users\Morgane\AppData\Roaming\Catalyst\AxSwindHlp.dll
c:\users\Morgane\AppData\Roaming\Catalyst\BIB.dll
c:\users\Morgane\AppData\Roaming\Catalyst\BIBUtils.dll
c:\users\Morgane\AppData\Roaming\Catalyst\Braddprt.dll
c:\users\Morgane\AppData\Roaming\Catalyst\brccbul.dll
c:\users\Morgane\AppData\Roaming\Catalyst\BrDbgOut.dll
c:\users\Morgane\AppData\Roaming\Catalyst\CatalystHelper.dll
c:\users\Morgane\AppData\Roaming\Catalyst\ccme_base.dll
c:\users\Morgane\AppData\Roaming\Catalyst\ciscoeapfast.dll
c:\users\Morgane\AppData\Roaming\Catalyst\CoolType.dll
c:\users\Morgane\AppData\Roaming\Catalyst\cryptocme2.dll
c:\users\Morgane\AppData\Roaming\Catalyst\ctor.dll
c:\users\Morgane\AppData\Roaming\Catalyst\dao360.dll
c:\users\Morgane\AppData\Roaming\Catalyst\DevSupp.dll
c:\users\Morgane\AppData\Roaming\Catalyst\DPM.dll
c:\users\Morgane\AppData\Roaming\Catalyst\DPMChart.dll
c:\users\Morgane\AppData\Roaming\Catalyst\HWAPI.dll
c:\users\Morgane\AppData\Roaming\Catalyst\hxdsui.dll
c:\users\Morgane\AppData\Roaming\Catalyst\icucnv34.dll
c:\users\Morgane\AppData\Roaming\Catalyst\icudt34.dll
c:\users\Morgane\AppData\Roaming\Catalyst\imgengine.dll
c:\users\Morgane\AppData\Roaming\Catalyst\IScript.dll
c:\users\Morgane\AppData\Roaming\Catalyst\JP2KLib.dll
c:\users\Morgane\AppData\Roaming\Catalyst\mcbrwsr2.dll
c:\users\Morgane\AppData\Roaming\Catalyst\McNaIns.dll
c:\users\Morgane\AppData\Roaming\Catalyst\msgfilt.dll
c:\users\Morgane\AppData\Roaming\Catalyst
ppdf32.dll
c:\users\Morgane\AppData\Roaming\Catalyst\Onix32.dll
c:\users\Morgane\AppData\Roaming\Catalyst\PDFPrevHndlr.dll
c:\users\Morgane\AppData\Roaming\Catalyst\pfctoc.dll
c:\users\Morgane\AppData\Roaming\Catalyst\pidalc.dll
c:\users\Morgane\AppData\Roaming\Catalystt3d.dll
c:\users\Morgane\AppData\Roaming\Catalyst\svgrsrc.dll
c:\users\Morgane\AppData\Roaming\Catalyst\vdk150.dll
c:\users\Morgane\AppData\Roaming\Catalyst\ViewerPS.dll
c:\users\Morgane\AppData\Roaming\wmierr.log
c:\users\Morgane\AppData\Roaming\WmiModules
c:\users\Morgane\AppData\Roaming\WmiModules\localclient.dll
c:\users\Morgane\AppData\Roaming\WmiModules\localfp.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-11 au 2010-10-11  ))))))))))))))))))))))))))))))))))))
.

2010-10-11 15:09 . 2010-10-11 15:09	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-11 12:45 . 2010-10-11 12:50	--------	d-----w-	c:\program files\Ad-Remover
2010-10-11 11:29 . 2010-10-11 13:19	--------	d-----w-	C:\Kill'em
2010-10-11 11:28 . 2010-10-11 13:43	--------	d-----w-	c:\program files\List_Kill'em
2010-10-11 09:19 . 2010-10-11 09:19	--------	d-----w-	c:\users\Morgane\AppData\Roaming\Malwarebytes
2010-10-11 09:19 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 09:19 . 2010-10-11 09:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-11 09:19 . 2010-10-11 09:19	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-11 09:19 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-10 22:10 . 2010-10-10 22:10	--------	d-----w-	c:\users\Morgane\AppData\Roaming\Sql
2010-10-07 10:27 . 2010-10-07 10:27	--------	d-----w-	c:\programdata\ReviverSoft
2010-10-07 10:27 . 2010-10-07 10:30	--------	d-----w-	c:\users\Morgane\AppData\Roaming\FMZilla
2010-10-07 10:27 . 2010-10-07 10:27	--------	d-----w-	C:\downloads
2010-10-07 10:27 . 2010-10-07 10:28	--------	d-----w-	c:\users\Morgane\AppData\Local\OpenCandy
2010-10-07 10:27 . 2010-10-07 10:27	--------	d-----w-	c:\users\Morgane\AppData\Roaming\OpenCandy
2010-10-02 12:43 . 2010-10-02 12:43	--------	d-----w-	C:\found.000
2010-10-01 12:50 . 2010-10-01 12:50	--------	d-----w-	c:\users\Morgane\AppData\Roaming\Leadertech
2010-10-01 12:23 . 2010-10-01 12:23	--------	d-----w-	c:\program files\Alcohol Soft
2010-10-01 11:57 . 2010-10-01 12:19	436792	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-10-01 11:56 . 2010-10-01 11:56	--------	d-----w-	c:\users\Morgane\AppData\Roaming\DAEMON Tools Lite
2010-10-01 11:56 . 2010-10-01 11:56	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2010-10-01 11:54 . 2010-10-01 11:54	--------	d-----w-	c:\programdata\Driver Mender
2010-09-30 16:23 . 2008-07-30 04:20	238088	----a-w-	c:\windows\system32\xactengine3_2.dll
2010-09-30 16:22 . 2005-05-26 13:34	2297552	----a-w-	c:\windows\system32\d3dx9_26.dll
2010-09-29 07:44 . 2010-06-22 12:57	2048	----a-w-	c:\windows\system32	zres.dll
2010-09-28 19:48 . 2010-09-28 19:50	--------	d-----w-	C:\FLP
2010-09-28 16:10 . 2010-10-05 17:27	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2010-09-21 17:16 . 2010-10-10 22:21	--------	d-----w-	c:\programdata\Norton
2010-09-21 17:16 . 2010-10-10 22:21	--------	d-----w-	c:\programdata\Symantec
2010-09-21 14:15 . 2010-09-21 14:15	--------	d-----w-	c:\windows\system32\Adobe
2010-09-17 16:17 . 2010-09-17 16:17	--------	d-----w-	c:\users\Morgane\AppData\Local\Mozilla
2010-09-16 13:50 . 2010-04-16 16:10	501760	----a-w-	c:\windows\system32\usp10.dll
2010-09-16 13:49 . 2010-08-17 13:32	126464	----a-w-	c:\windows\system32\spoolsv.exe
2010-09-16 13:49 . 2010-04-05 16:08	317952	----a-w-	c:\windows\system32\MP4SDECD.DLL
2010-09-16 13:44 . 2010-08-17 10:52	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2010-09-16 13:43 . 2010-05-27 19:16	738816	----a-w-	c:\windows\system32\inetcomm.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "c:\program files\myBabylon_English	bmyB1.dll" [2010-08-01 2515552]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]
2010-08-01 23:23	2515552	----a-w-	c:\program files\myBabylon_English	bmyB1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "c:\program files\myBabylon_English	bmyB1.dll" [2010-08-01 2515552]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}"= "c:\program files\myBabylon_English	bmyB1.dll" [2010-08-01 2515552]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-08 68856]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-04-09 319792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-05-04 167936]
"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2008-03-04 36864]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-11-12 405504]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-06 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-06 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-06 133656]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-05-16 3444736]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-22 30192]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-12-21 184320]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2006-04-19 421888]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"Babylon Client"="c:\program files\Babylon\Babylon-Pro\Babylon.exe" [2010-02-17 3738856]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-7-8 50688]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-2-22 1193240]

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-5-13 1058088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\GoToAssist]
2008-07-08 20:48	10536	----a-w-	c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 135664]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-22 30192]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-01 436792]
S1 aswSP;avast! Self Protection; [x]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-11-12 73728]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2008-07-19 51280]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-04-28 161048]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2008-03-06 111616]

.
Contenu du dossier 'Tâches planifiées'

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 15:22]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 15:22]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
FF - ProfilePath - c:\users\Morgane\AppData\Roaming\Mozilla\Firefox\Profiles\l86koca1.default\
FF - prefs.js: browser.startup.homepage - hxxp://WWW.GOOGLE.FR
FF - plugin: c:\program files\Google\Update\1.2.183.23
pGoogleOneClick8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-Cote dAzur Palace Casino - c:\casino\Cote dAzur Palace Casino\_SetupCasino[1].exe
AddRemove-MSC - c:\program files\McAfee\MSC\mcuninst.exe


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-10-11  17:13:46
ComboFix-quarantined-files.txt  2010-10-11 15:13

Avant-CF: 32 232 558 592 octets libres
Après-CF: 36 119 863 296 octets libres

- - End Of File - - 064A1E6C99F65C5F2480F5E256553E78

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Rootkit:: C:\Windows\System32\drivers fvayomf.sys Driver:: tfvayomf ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

gen-hackman · Answer

fais-le en mode sans echec

damien · Answer

ComboFix 10-10-10.03 - Morgane 11/10/2010  17:55:40.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2037.978 [GMT 2:00]
Lancé depuis: c:\users\Morgane\Downloads\morgane.exe
Commutateurs utilisés :: c:\users\Morgane\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1229 [VPS 091130-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1229 [VPS 091130-0] *disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-11 au 2010-10-11  ))))))))))))))))))))))))))))))))))))
.

2010-10-11 16:02 . 2010-10-11 16:04	--------	d-----w-	c:\users\Morgane\AppData\Local	emp
2010-10-11 16:02 . 2010-10-11 16:02	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-11 15:37 . 2010-09-16 08:24	6084944	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{14EF5342-8EAB-4F68-88E1-184D829D24A3}\mpengine.dll
2010-10-11 15:37 . 2010-05-21 12:14	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-10-11 15:17 . 2008-03-06 07:58	184320	----a-w-	c:\windows\system32\igfxres.dll
2010-10-11 14:57 . 2010-10-11 15:13	--------	d-----w-	C:\morgane
2010-10-11 12:45 . 2010-10-11 12:50	--------	d-----w-	c:\program files\Ad-Remover
2010-10-11 11:29 . 2010-10-11 13:19	--------	d-----w-	C:\Kill'em
2010-10-11 11:28 . 2010-10-11 13:43	--------	d-----w-	c:\program files\List_Kill'em
2010-10-11 09:19 . 2010-10-11 09:19	--------	d-----w-	c:\users\Morgane\AppData\Roaming\Malwarebytes
2010-10-11 09:19 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 09:19 . 2010-10-11 09:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-11 09:19 . 2010-10-11 09:19	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-11 09:19 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-10 22:10 . 2010-10-10 22:10	--------	d-----w-	c:\users\Morgane\AppData\Roaming\Sql
2010-10-07 10:27 . 2010-10-07 10:27	--------	d-----w-	c:\programdata\ReviverSoft
2010-10-07 10:27 . 2010-10-07 10:30	--------	d-----w-	c:\users\Morgane\AppData\Roaming\FMZilla
2010-10-07 10:27 . 2010-10-07 10:27	--------	d-----w-	C:\downloads
2010-10-07 10:27 . 2010-10-07 10:28	--------	d-----w-	c:\users\Morgane\AppData\Local\OpenCandy
2010-10-07 10:27 . 2010-10-07 10:27	--------	d-----w-	c:\users\Morgane\AppData\Roaming\OpenCandy
2010-10-02 12:43 . 2010-10-02 12:43	--------	d-----w-	C:\found.000
2010-10-01 12:50 . 2010-10-01 12:50	--------	d-----w-	c:\users\Morgane\AppData\Roaming\Leadertech
2010-10-01 12:23 . 2010-10-01 12:23	--------	d-----w-	c:\program files\Alcohol Soft
2010-10-01 11:57 . 2010-10-01 12:19	436792	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-10-01 11:56 . 2010-10-01 11:56	--------	d-----w-	c:\users\Morgane\AppData\Roaming\DAEMON Tools Lite
2010-10-01 11:56 . 2010-10-01 11:56	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2010-10-01 11:54 . 2010-10-01 11:54	--------	d-----w-	c:\programdata\Driver Mender
2010-09-30 16:23 . 2008-07-30 04:20	238088	----a-w-	c:\windows\system32\xactengine3_2.dll
2010-09-30 16:22 . 2005-05-26 13:34	2297552	----a-w-	c:\windows\system32\d3dx9_26.dll
2010-09-29 07:44 . 2010-06-22 12:57	2048	----a-w-	c:\windows\system32	zres.dll
2010-09-28 19:48 . 2010-09-28 19:50	--------	d-----w-	C:\FLP
2010-09-28 16:10 . 2010-10-05 17:27	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2010-09-21 17:16 . 2010-10-10 22:21	--------	d-----w-	c:\programdata\Norton
2010-09-21 17:16 . 2010-10-10 22:21	--------	d-----w-	c:\programdata\Symantec
2010-09-21 14:15 . 2010-09-21 14:15	--------	d-----w-	c:\windows\system32\Adobe
2010-09-17 16:17 . 2010-09-17 16:17	--------	d-----w-	c:\users\Morgane\AppData\Local\Mozilla
2010-09-16 13:50 . 2010-04-16 16:10	501760	----a-w-	c:\windows\system32\usp10.dll
2010-09-16 13:49 . 2010-08-17 13:32	126464	----a-w-	c:\windows\system32\spoolsv.exe
2010-09-16 13:49 . 2010-04-05 16:08	317952	----a-w-	c:\windows\system32\MP4SDECD.DLL
2010-09-16 13:44 . 2010-08-17 10:52	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2010-09-16 13:43 . 2010-05-27 19:16	738816	----a-w-	c:\windows\system32\inetcomm.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "c:\program files\myBabylon_English	bmyB1.dll" [2010-08-01 2515552]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]
2010-08-01 23:23	2515552	----a-w-	c:\program files\myBabylon_English	bmyB1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "c:\program files\myBabylon_English	bmyB1.dll" [2010-08-01 2515552]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}"= "c:\program files\myBabylon_English	bmyB1.dll" [2010-08-01 2515552]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-08 68856]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-04-09 319792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-05-04 167936]
"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2008-03-04 36864]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-11-12 405504]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-06 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-06 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-06 133656]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-05-16 3444736]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-22 30192]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-12-21 184320]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2006-04-19 421888]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"Babylon Client"="c:\program files\Babylon\Babylon-Pro\Babylon.exe" [2010-02-17 3738856]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-7-8 50688]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-2-22 1193240]

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-5-13 1058088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\GoToAssist]
2008-07-08 20:48	10536	----a-w-	c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 135664]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-22 30192]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-01 436792]
S1 aswSP;avast! Self Protection; [x]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-11-12 73728]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2008-07-19 51280]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-04-28 161048]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2008-03-06 111616]

.
Contenu du dossier 'Tâches planifiées'

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 15:22]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-04 15:22]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
FF - ProfilePath - c:\users\Morgane\AppData\Roaming\Mozilla\Firefox\Profiles\l86koca1.default\
FF - prefs.js: browser.startup.homepage - hxxp://WWW.GOOGLE.FR
FF - plugin: c:\program files\Google\Update\1.2.183.23
pGoogleOneClick8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\WLANExt.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\progra~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Dell Support Center\bin\sprtsvc.exe
c:\windows\system32\STacSV.exe
c:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\conime.exe
c:\windows\System32\bcmwltry.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Alwil Software\Avast4\ashDisp.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\progra~1\COMMON~1\mcafee\mna\mcnasvc.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-10-11  18:11:57 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-11 16:11
ComboFix2.txt  2010-10-11 15:13

Avant-CF: 34 656 927 744 octets libres
Après-CF: 34 547 273 728 octets libres

- - End Of File - - 53FA7B87099C627FCEAED8C68A5CD54B

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Security tools

24 réponses

Discussions similaires