Infection loop.exe

Résolu/Fermé

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011 - 13 févr. 2011 à 17:51
Utilisateur anonyme - 4 avril 2011 à 00:41

Bonjour,

Après un crash, et quelques analyses (comodo, avast, ad aware) il se touve que mon pc était infecté par loop.exe.
Pour savoir si tout était bien parti, j'ai fait une analyse par spybot qui m'a retruové d'autres choses.
Nettoyage effectué, j'ai fait une analyse par malwarebytes car j'ai lu sur ce forum qu'il falait en passer par là. Mais je ne sais pas lire le rapport d'analyse pour savor si tout est ok maintenant.

Je dois me servir de mon portable pour un important travail de lundi à mercredi.
Merci de l'attention porté à ma demande.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5753

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

13/02/2011 17:37:18
mbam-log-2011-02-13 (17-37-09).txt

Type d'examen: Examen complet (C:\|D:\|Z:\|)
Elément(s) analysé(s): 356541
Temps écoulé: 1 heure(s), 27 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\SEARCH@SEARCHSETTINGS.COM\COMPONENTS\SEARCHSETTINGSFF.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSFF.DLL -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGSRES409.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSRES409.DLL -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\mozilla firefox\extensions\search@searchsettings.com\components\searchsettingsff.dll (PUP.Dealio) -> No action taken.
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.
d:\dwnld\all rkchimaira keygens\adobe cs4 keygens\adobe photoshop cs4 keygen [rkchimaira].exe (Trojan.Agent.CK) -> No action taken.
z:\program files\propellerheads.reason.4.0.hybrid.dvdr-airiso\KEYGEN.EXE (RiskWare.Tool.CK) -> No action taken.
z:\Sound\vst\Filtres\aarpeg.exe (Malware.Packer.Gen) -> No action taken.
z:\Sound\vst\Filtres\scratchi.exe (Malware.Packer.Gen) -> No action taken.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5753

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

13/02/2011 17:48:44
mbam-log-2011-02-13 (17-48-44).txt

Type d'examen: Examen complet (C:\|D:\|Z:\|)
Elément(s) analysé(s): 356541
Temps écoulé: 1 heure(s), 27 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Not selected for removal.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\SEARCH@SEARCHSETTINGS.COM\COMPONENTS\SEARCHSETTINGSFF.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSFF.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGSRES409.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSRES409.DLL -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\mozilla firefox\extensions\search@searchsettings.com\components\searchsettingsff.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> Quarantined and deleted successfully.
d:\dwnld\all rkchimaira keygens\adobe cs4 keygens\adobe photoshop cs4 keygen [rkchimaira].exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
z:\program files\propellerheads.reason.4.0.hybrid.dvdr-airiso\KEYGEN.EXE (RiskWare.Tool.CK) -> Not selected for removal.
z:\Sound\vst\Filtres\aarpeg.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
z:\Sound\vst\Filtres\scratchi.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

A voir également:

81 réponses

Réponse 21 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 01:22

Voilà le rapport d'OTL

http://www.cijoint.fr/cjlink.php?file=cj201102/cijtyK3LgM.txt

Moi je m'y remettrai demain.
Merci
bonne nuit à toi

Réponse 22 / 81

Utilisateur anonyme
14 févr. 2011 à 01:41

ok pour comodo tu n'as que le parefeu ou l'antivirus avec ?

Réponse 23 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 08:42

que le pare feu...
Ce serait mieux que je garde ça avec l'antivir et que je me passe d'Avast ?

Mais sinon ça dis quoi le rapport. Y'a encore quelque chose ?

Merci encore de toute ces disponibilité.

Réponse 24 / 81

Utilisateur anonyme
14 févr. 2011 à 09:48

bonjour

sincèrement ? garde Avast !

ca à l'air bon.

ca te dit quelque chose ca ? :

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\Windows\System32\acovcnt.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 15:42

ok.
Je connais pas virus total.
Je pourrais le faire ce soir.
Là je dois bosser, mais mon portable à l'air d'être redevenu stable, et nettement plus rapide.

Et donc tu pense que Comodo en pare feu et Avast en antivirus, c'est plutôt sure comme protection avec un scan régulier de Malware.

Encore Merci. Je te posterai le résultat de virus total ce soir.
C'est qu'il y a encore un doute sur ce .exe ?

Utilisateur anonyme
14 févr. 2011 à 16:45

non je pense pas

on finalisera ce soir :)

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 22:37

salut

J'ai finis un peu tard...

Le lien du résultat d'analyse de virus total c'est l'url de la page
http://www.virustotal.com/file-scan/report.html?id=aaf659e3d38ad04848a9c3ed6250b30dc13acc8ac9f527a11f0c14e6ec8735b2-1297719101

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 81

Utilisateur anonyme
14 févr. 2011 à 22:47

tu peux le poster zippé via cijoint.fr ce fichier ?

Réponse 26 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 23:25

J'ai copié collé le résultat dans le bloc note car je ne trouvais pas d'autres solutions...
J'espère que c'est bien cela que vous attendiez...

http://www.cijoint.fr/cjlink.php?file=cj201102/cijERgsbRN.txt

Réponse 27 / 81

Utilisateur anonyme
14 févr. 2011 à 23:28

non clic droit sur le fichier => envoyer vers => dossiers compressés puis envoie l'archive

Réponse 28 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 23:39

Le fichier bloc note, je le compresse ?
Je ne crois pas que ce soit ça...
Mais je ne vois pas où cliquer pour sur la page de virus total pour zipper le fichier...

Réponse 29 / 81

Utilisateur anonyme
14 févr. 2011 à 23:42

non :) , ca :

C:\Windows\System32\acovcnt.exe

Réponse 30 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 23:46

Ha... ok

Réponse 31 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 23:50

accès refusé à l'archive... je ne peux pas le compressé... je le déplace sur le bureau pour le compresser??

Réponse 32 / 81

Utilisateur anonyme
14 févr. 2011 à 23:59

copie-le oui

Réponse 33 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 23:59

voici
C:\Windows\System32\acovcnt.exe
zipper c'est ça que je dois t'envoyer?

je l'ai déposé là
http://www.cijoint.fr/cjlink.php?file=cj201102/cijKK1TJAT.zip

Réponse 34 / 81

Utilisateur anonyme
15 févr. 2011 à 00:05

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer"

choisis l'option Search

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

▶ Poste les rapports qui apparaitront sur ton bureau

▶▶▶ NE LES POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau

Réponse 35 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
15 févr. 2011 à 00:50

voici les rapport :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijY3GAFlS.txt

http://www.cijoint.fr/cjlink.php?file=cj201102/cijCqycEbm.txt

Alors. Qu'est-ce que ça dit ?

Réponse 36 / 81

Utilisateur anonyme
15 févr. 2011 à 02:10

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

=====================================

▶ Relance List&Kill'em(soit en clic droit pour vista / 7),avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Tools puis Command Lines

un document texte va s'ouvrir à l'apparition de : Text Please

▶copie/colle le texte en gras ci-dessous :

MBR\MBRFix.exe /Drive 0 fixmbr /Vista /yes
shutdown -r

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil

Ton pc va redemarrer

======================================

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :

SIGN:C:\Windows\System32\pQVr.fxb
FILE:C:\Windows\System32\temp.000
FILE:C:\Windows\System32\temp.001

▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

▶ poste le resultat

▶ Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

==========================================

▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Clean

▶▶▶ Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse

▶ envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr

Réponse 37 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
15 févr. 2011 à 08:48

Bonjour

Voici les rapports kill'em :

Script 32073

User : Aher (Administrateurs)
Update on 14/02/2011 by g3n-h@ckm@n ::::: 15.30
Start at: 08:08:26 | 15/02/2011

Intel(R) Core(TM)2 Duo CPU P8600 @ 2.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 77,11 Go (21,97 Go free) [VistaOS] | NTFS
D:\ -> Disque fixe local | 139,28 Go (57,06 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
Z:\ -> Disque fixe local | 71,93 Go (22,19 Go free) [Nouveau nom] | NTFS

¤¤¤¤¤¤¤¤¤¤ Processes :

¤¤¤¤¤¤¤¤¤¤ Added Keys :

¤¤¤¤¤¤¤¤¤¤ Removed Keys :

¤¤¤¤¤¤¤¤¤¤ Ports closed :

¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :

Deleted !! : C:\Windows\System32\temp.000
Deleted !! : C:\Windows\System32\temp.001

¤¤¤¤¤¤¤¤¤¤ Drivers deleted :

¤¤¤¤¤¤¤¤¤¤ Object Restored :

¤¤¤¤¤¤¤¤¤¤ Folder List :

¤¤¤¤¤¤¤¤¤¤ Read File :

¤¤¤¤¤¤¤¤¤¤ Sign control :

c:\windows\system32\pQVr.fxb:
Verified: Unsigned
File date: 00:32 20/04/1999
Publisher: n/a
Description: n/a
Product: n/a
Version: n/a
File version: n/a

¤¤¤¤¤¤¤¤¤¤ Key Look :

End at 8:10:31

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

RAPPORT KILL'EM
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.5 ¤¤¤¤¤¤¤¤¤¤

User : Aher (Administrateurs)
Update on 14/02/2011 by g3n-h@ckm@n ::::: 15.30
Start at: 08:12:04 | 15/02/2011

Intel(R) Core(TM)2 Duo CPU P8600 @ 2.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 77,11 Go (21,97 Go free) [VistaOS] | NTFS
D:\ -> Disque fixe local | 139,28 Go (57,06 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
Z:\ -> Disque fixe local | 71,93 Go (22,19 Go free) [Nouveau nom] | NTFS

Killed : PID 2988 'explorer.exe'

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Users\Aher\Documents\cc_20110212_193130.reg
Quarantined & Deleted !! : C:\Users\Aher\AppData\Local\d3d9caps.dat
Quarantined & Deleted !! : C:\Users\Aher\AppData\Local\GDIPFONTCACHEV1.DAT

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
UacDisableNotify = 0 (0x0)
InternetSettingsDisableNotify = 0 (0x0)
AutoUpdateDisableNotify = 0 (0x0)
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
AntispywareOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio -> Start = 3
EapHost -> Start = 2
Wlansvc -> Start = 2
SharedAccess -> Start = 2
windefend -> Start = 2
wuauserv -> Start = 2
wscsvc -> Start = 2

¤¤¤¤¤¤¤¤¤¤ Winlogon

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
System =

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.FB4O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully

Disk trace:
kernel: MBR read successfully
user & kernel MBR OK

End of Scan : 8:14:11

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

ET lien Ci joint du ZIP :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijW9Px5y9.zip

Bonne journée.
Je ne pourrai certainement répondre qu'en fin d'après midi.
Bonne journée
Bien à Vous.

Réponse 38 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
15 févr. 2011 à 08:50

Je dois travailler sur mon portable à partir de 9 h
Une session ableton Live qui est sur la partition Z de mon disc.
Je peux faire Re-enable sur deffogger maintenant.

Réponse 39 / 81

Utilisateur anonyme
15 févr. 2011 à 15:57

si tu as besoin de lecteurs virtuels tu peux reenable defogger sinon ca te sera dit à la fin

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\system32\pQVr.fxb

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

Réponse 40 / 81

boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
15 févr. 2011 à 19:24

salut
voici le lien de resultat d'analyse Virus Total

http://www.virustotal.com/file-scan/report.html?id=2410bba6262db6260420611de17ddc6bb3d7f11877b88dfd69449c4a5e74e468-1297794036

plus le résultat en copie :

Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 -
AntiVir 7.11.3.93 2011.02.15 -
Antiy-AVL 2.0.3.7 2011.02.15 -
Avast 4.8.1351.0 2011.02.15 -
Avast5 5.0.677.0 2011.02.15 -
AVG 10.0.0.1190 2011.02.15 -
BitDefender 7.2 2011.02.15 -
CAT-QuickHeal 11.00 2011.02.15 -
ClamAV 0.96.4.0 2011.02.15 -
Commtouch 5.2.11.5 2011.02.15 -
Comodo 7699 2011.02.15 -
DrWeb 5.0.2.03300 2011.02.15 -
Emsisoft 5.1.0.2 2011.02.15 -
eSafe 7.0.17.0 2011.02.15 -
eTrust-Vet 36.1.8160 2011.02.15 -
F-Prot 4.6.2.117 2011.02.15 -
F-Secure 9.0.16160.0 2011.02.15 -
Fortinet 4.2.254.0 2011.02.15 -
GData 21 2011.02.15 -
Ikarus T3.1.1.97.0 2011.02.15 -
Jiangmin 13.0.900 2011.02.15 -
K7AntiVirus 9.85.3859 2011.02.15 -
Kaspersky 7.0.0.125 2011.02.15 -
McAfee 5.400.0.1158 2011.02.15 -
McAfee-GW-Edition 2010.1C 2011.02.15 -
Microsoft 1.6502 2011.02.15 -
NOD32 5877 2011.02.15 -
Norman 6.07.03 2011.02.15 -
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.02.15 -
PCTools 7.0.3.5 2011.02.15 -
Prevx 3.0 2011.02.15 -
Rising 23.45.01.06 2011.02.15 -
Sophos 4.61.0 2011.02.15 -
SUPERAntiSpyware 4.40.0.1006 2011.02.15 -
Symantec 20101.3.0.103 2011.02.15 -
TheHacker 6.7.0.1.131 2011.02.15 -
TrendMicro 9.200.0.1012 2011.02.15 -
TrendMicro-HouseCall 9.200.0.1012 2011.02.15 -
VBA32 3.12.14.3 2011.02.15 -
VIPRE 8430 2011.02.15 -
ViRobot 2011.2.15.4311 2011.02.15 -
VirusBuster 13.6.202.1 2011.02.15 -
Additional information
Show all
MD5 : 15fcd7d7aa03c0d4fda5fcae6e98ec8d
SHA1 : 77e31839f526a162d97c8ab92b6955b6ec082301
SHA256: 2410bba6262db6260420611de17ddc6bb3d7f11877b88dfd69449c4a5e74e468
ssdeep: 192:wfb2SYQUPtcQvCLSNR7nskFauuuuuuuuuuuuuuuuuuuuuuuuuuuuuI:E2IqDv9NHFc
File size : 17564 bytes
First seen: 2011-02-15 18:20:36
Last seen : 2011-02-15 18:20:36
TrID:
HALion Sampler patch - bank (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Discussions similaires

Infection ?

Infection ou pas ???

infection ou pas?

Infection ad.doubleclick.net

Infection FileRepMetagen