rapport ComboFix (supprimer rogue) Résolu/Fermé

Question

Bonjour, 



Configuration: Windows 7 / Internet Explorer 8.0

Bonjour,

J'aurai besoin d'aide pour interpréter ce rapport, j'ai un souci avec un rogue (hdd rescue),j'ai donc télécharger ComboFix.

Merci d'avance


ComboFix 10-12-11.03 - Fatou 2010-12-12   5:35.2.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7600.0.1252.2.1036.18.3894.2528 [GMT -5:00]
Lancé depuis: c:\users\Fatou\Desktop\ComboFix.exe
AV: Norton Internet Security *Enabled/Updated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
FW: Norton Internet Security *Enabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
SP: Norton Internet Security *Enabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-11-12 au 2010-12-12  ))))))))))))))))))))))))))))))))))))
.

2010-12-12 10:39 . 2010-12-12 10:39	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-12-12 01:38 . 2010-12-12 01:38	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins
pqtplugin7.dll
2010-12-09 07:00 . 2010-12-09 07:00	0	----a-w-	c:\users\Fatou\AppData\Local\Dtojanedevacu.bin
2010-12-02 19:03 . 2010-12-02 19:03	--------	d-----w-	C:\5d2b48df9de8ecc3792410d86980
2010-11-29 22:38 . 2010-11-29 22:38	94208	----a-w-	c:\windows\SysWow64\QuickTimeVR.qtx
2010-11-29 22:38 . 2010-11-29 22:38	69632	----a-w-	c:\windows\SysWow64\QuickTime.qts
2010-11-23 20:11 . 2010-10-19 08:47	7680	----a-w-	c:\program files\Internet Explorer\iecompat.dll
2010-11-23 20:11 . 2010-10-19 08:10	7680	----a-w-	c:\program files (x86)\Internet Explorer\iecompat.dll
2010-11-13 05:28 . 2010-11-13 05:28	--------	d-----w-	c:\program files\iPod
2010-11-13 05:28 . 2010-11-13 05:29	--------	d-----w-	c:\program files\iTunes
2010-11-13 05:28 . 2010-11-13 05:29	--------	d-----w-	c:\program files (x86)\iTunes
2010-11-13 05:23 . 2010-11-21 07:40	--------	d-----w-	c:\program files (x86)\Safari

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-28 20:44 . 2010-09-28 20:44	51712	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2010-09-28 20:44 . 2010-09-28 20:44	4184352	----a-w-	c:\windows\system32\usbaaplrc.dll
2010-09-23 04:47 . 2010-09-23 04:47	49016	----a-w-	c:\windows\SysWow64\sirenacm.dll
2010-09-23 04:32 . 2010-09-23 04:32	301936	----a-w-	c:\windows\WLXPGSS.SCR
2010-09-21 18:49 . 2010-09-21 18:49	252800	----a-w-	c:\windows\system32\LIVESSP.DLL
2010-09-21 18:03 . 2010-09-21 18:03	208768	----a-w-	c:\windows\SysWow64\LIVESSP.DLL
.

(((((((((((((((((((((((((((((   SnapShot@2010-12-12_10.15.56   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-14 05:10 . 2010-12-12 10:30	37396              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-03-23 00:16 . 2010-12-12 10:30	10920              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1762512548-1924441072-2714376172-1000_UserData.bin
- 2010-03-23 00:16 . 2010-12-12 09:56	10920              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1762512548-1924441072-2714376172-1000_UserData.bin
- 2010-03-24 02:49 . 2010-12-12 09:55	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-24 02:49 . 2010-12-12 10:29	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-24 02:49 . 2010-12-12 10:29	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-24 02:49 . 2010-12-12 09:55	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-24 02:49 . 2010-12-12 09:55	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-24 02:49 . 2010-12-12 10:29	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-23 01:02 . 2010-12-12 10:29	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-03-23 01:02 . 2010-12-12 09:55	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-03-23 01:02 . 2010-12-12 10:29	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-03-23 01:02 . 2010-12-12 09:55	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-12 09:54 . 2010-12-12 09:54	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-12-12 09:54 . 2010-12-12 10:27	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-12-12 09:54 . 2010-12-12 10:27	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-12-12 09:54 . 2010-12-12 09:54	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2010-03-23 11:47 . 2010-12-12 10:26	253092              c:\windows\system32\wdi\SuspendPerformanceDiagnostics_SystemData_S3.bin
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files (x86)\Windows Live\Messenger\msnmsgr.exe" [2010-09-23 4240760]
"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-03-24 39408]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
"ares"="c:\program files (x86)\Ares\Ares.exe" [2010-02-08 1015808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"HWSetup"="c:\program files\TOSHIBA\Utilities\HWSetup.exe" [2009-06-02 423936]
"KeNotify"="c:\program files (x86)\TOSHIBA\Utilities\KeNotify.exe" [2009-01-14 34088]
"ToshibaServiceStation"="c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2009-10-06 1294136]
"TWebCamera"="c:\program files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2009-11-21 2454840]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2010-11-11 421160]
"AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]

c:\users\Fatou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Outil de d'tection de support Picture Motion Browser.lnk - c:\program files (x86)\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2010-3-23 385024]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-03-25 135664]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-04-03 1255736]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NISx64\1108000.005\SYMDS64.SYS [2009-08-30 433200]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NISx64\1108000.005\SYMEFA64.SYS [2010-04-22 221232]
S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS	os_sps64.sys [2009-07-24 482384]
S1 BHDrvx64;BHDrvx64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20101123.003\BHDrvx64.sys [2010-11-23 953904]
S1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NISx64\1108000.005\ccHPx64.sys [2010-02-26 615040]
S1 IDSVia64;IDSVia64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20101210.001\IDSvia64.sys [2010-11-09 476792]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NISx64\1108000.005\Ironx64.SYS [2010-04-29 150064]
S1 SYMTDIv;Symantec Vista Network Dispatch Driver;c:\windows\System32\Drivers\NISx64\1108000.005\SYMTDIV.SYS [2010-05-06 451120]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 NIS;Norton Internet Security;c:\program files (x86)\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe [2010-02-26 126392]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [2009-06-19 14472]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-09-30 2314240]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-05-27 132656]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 151936]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-30 244736]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 35008]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-11-06 291328]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERStl8192se.sys [2010-01-29 1089056]
S3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-10-06 51512]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-11-05 137560]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-10-30 824176]

.
Contenu du dossier 'Tâches planifiées'

2010-12-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-03-25 16:38]

2010-12-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-03-25 16:38]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-11-13 166424]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-13 390168]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-13 408600]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-10-22 8306208]
"TPwrMain"="%ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE" [BU]
"HSON"="%ProgramFiles%\TOSHIBA\TBS\HSON.exe" [BU]
"SmoothView"="%ProgramFiles%\Toshiba\SmoothView\SmoothView.exe" [BU]
"00TCrdMain"="%ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe" [BU]
"SynTPEnh"="%ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe" [BU]
"SmartFaceVWatcher"="%ProgramFiles%\Toshiba\SmartFaceV\SmartFaceVWatcher.exe" [BU]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2009-11-05 709976]
"TosWaitSrv"="%ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe" [BU]
"TosReelTimeMonitor"="%ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exe" [BU]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://www.toshiba.ca/fr/bienvenue
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
FF - ProfilePath - c:\users\Fatou\AppData\Roaming\Mozilla\Firefox\Profiles
ll7o14m.default\
FF - prefs.js: browser.startup.homepage - hxxp://ca.msn.com/iat/us_ca.aspx
FF - component: c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files (x86)\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\program files (x86)\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files (x86)\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\windows\SysWOW64\Macromed\Flash\NPSWF32.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Norton IPS: {BBDA0591-3099-440a-AA10-41764D9DB4DB} - c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn
FF - Extension: Norton Toolbar: {2D3F3651-74B9-4795-BDEC-6DA2F431CB62} - c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NIS]
"ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files (x86)\Norton Internet Security\Engine\17.8.0.5\diMaster.dll\" /prefetch:1"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1762512548-1924441072-2714376172-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"

[HKEY_USERS\S-1-5-21-1762512548-1924441072-2714376172-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\windows\SysWOW64\Macromed\Flash\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\windows\SysWOW64\Macromed\Flash\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\windows\SysWOW64\Macromed\Flash\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\windows\SysWOW64\Macromed\Flash\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\windows\SysWOW64\Macromed\Flash\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\windows\SysWOW64\Macromed\Flash\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2010-12-12  05:41:16
ComboFix-quarantined-files.txt  2010-12-12 10:41
ComboFix2.txt  2010-12-12 10:17

Avant-CF: 422 160 273 408 octets libres
Après-CF: 422 120 460 288 octets libres

- - End Of File - - 41802D9200CB20C52909EFC41825F4C2

glops · Answer

bonjour

Combofix n'est pas vraiment le log à utiliser pour le moment et surtout sur un win7 64bits => incompatible

fais un diagnostic avec ce logiciel Stp?

=> Télécharge  ce logiciel: ZHPDiag de Nicolas Coolman
=> clique sur ZHPDiag.exe pour l'installer ! sous vista/win7 => clic droit et "exécuter en tant qu'administrateur !
=> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
=> Clique ensuite sur l'icône représentant une loupe (« Lancer le diagnostic ») 
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
=> Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr

chaki_182002 · Answer

Voici le lien où se trouve le rapport ZHPDiag.txt:

http://www.cijoint.fr/cjlink.php?file=cj201012/cij20ssNdy.txt

glops · Answer

Bonjour

tu vas utiliser un logiciel très efficace sur de nombreux malware et particulièrement sur les "rogues" il s'agit de "MalwareBytes AntiMalwares"

=> Télécharge Malwarebytes antimalware:
=> Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement ici: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
=> Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
=> Lance une analyse complète en cliquant sur "Exécuter un examen complet"
=> Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
=> L'analyse peut durer un bon moment....~2 heures
=> Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
=>Vérifie que tout ce qui est en rouge est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
=> Un rapport va s'ouvrir dans le bloc note... héberge le sur http://www.cijoint.fr/ avant de me poster le lien
=> Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

chaki_182002 · Answer

Voici le rapport demandé:

http://www.cijoint.fr/cjlink.php?file=cj201012/cijgsqnArE.txt

Il n'ya pas eu d'infection détectée, mais comment je m'y prends pour supprimer le rogue hdd rescue

glops · Answer

fais ceci déjà:

=> Lance ZHPFix (via le raccourci sur ton Bureau, soit via ZHPDiag)  
=> Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
=> Copie/colle les lignes suivantes et place les dans ZHPFix :  

O4 - Global Startup: C:\Documents And Settings\Fatou\Desktop\HDD Rescue.lnk . (.Pas de propriétaire.)  -- C:\Users\Fatou\AppData\Local\Temp\39931965.exe (.not file.)
O4 - Global Startup: C:\Users\Fatou\Desktop\HDD Rescue.lnk . (.Pas de propriétaire.)  -- C:\Users\Fatou\AppData\Local\Temp\39931965.exe (.not file.)
O23 - Service:  (NIS) - Clé orpheline
O23 - Service:  (TODDSrv) - Clé orpheline
MD5.00000000000000000000000000000000] [APT] [{C8B55F33-17AA-4DE2-A5CB-B6282652EEE5}] (.Pas de propriétaire.) -- C:\Users\Fatou\AppData\Roaming\6E47A05D097AB3446B58879F0A2087D8	errapoint700x0main      

=>les lignes copiées et seulement celles-là doivent  se placer dans la fenêtre  
=> valide par "OK"  
=> Clique sur « Tous », puis sur « Nettoyer »  
=> Copie/colle la totalité du rapport dans ta prochaine réponse ou héberge le sur cijoint.fr 


Tu vas ensuite analyser un fichier sur Virus total, tu devras afficher les dossiers et fichiers cachés http://www.forum-seven.com/forum/

=> rends toi sur https://www.virustotal.com/gui/
=> clique sur "parcourir" et  dans le champ saisis le chemin vers le fichier possiblement "infecté" soit :

C:\Users\Fatou\AppData\Local\Dtojanedevacu.bin

=> clique sur envoyer le fichier

Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). Demande à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"

=>  poste moi le lien vers le rapport

chaki_182002 · Answer

Rapport de ZHPFix 6.12.3226 par Nicolas Coolman, Update du 06/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-2010-12-13-23-03-33.txt
Run by Fatou at 2010-12-13 23:03:33
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: (NIS) - Clé orpheline  => Clé non supprimée
O23 - Service: (TODDSrv) - Clé orpheline  => Clé absente

========== Fichier(s) ==========
c:\documents and settings\fatou\desktop\hdd rescue.lnk  => Supprimé et mis en quarantaine
c:\users\fatou\appdata\local	emp\39931965.exe  => Supprimé et mis en quarantaine
c:\users\fatou\desktop\hdd rescue.lnk  => Supprimé et mis en quarantaine

========== Autre ==========
[MD5.00000000000000000000000000000000] [APT] [{C8B55F33-17AA-4DE2-A5CB-B6282652EEE5}] (.Pas de propriétaire.) -- C:\Users\Fatou\AppData\Roaming\6E47A05D097AB3446B58879F0A2087D8	errapoint700x0main  => Format Non supporté


========== Récapitulatif ==========
2 : Clé(s) du Registre
3 : Fichier(s)
1 : Autre


End of the scan

chaki_182002 · Answer

Slt,
Je n'ai pas complété tous les applications que tu m'as envoyées.
J'ai eu entre-temps un autre problème sur mon ordi et j'ai dû restaurer mon système. Je ne trouve plus le rogue hdd rescue

glops · Answer

Bonjour 

effectivement la solution est radicale ;) 
as tu fait une simple "restauration sytème" à une date antérieure ou une réinstallation aux paramètres d'usine ?

quel problème as tu rencontré? 

le sujet est donc résolu... 
glops31 /-----------\    Une désinfection inachevée est inutile...   /------------  
 ----------------------/ Qui prend conseil est près de bien faire.\------------

chaki_182002 · Answer

Les icônes de mon bureau avaient toutes l'icône de Microsoft Office. 
J'ai fait une restauration système à une date antérieure.

Merci pour ton aide, vraiment sympa.

Rapport ComboFix (supprimer rogue)

9 réponses

Discussions similaires