Infection trojan

amaury -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Je suis actuellement sous Vista , et ait été infecté il y a quelques jours par un puis plusieurs malware type trojan.J'ai donc dl malwarebytes qui me les a eliminés avec succés.Cependant ma navigation sur internet a u n probleme ma souris est constamment en train de charger sur le screen (cf petit rond bleu qui apparait en tournant) et je ne peux installer aucun antivirus (je les ai tous assayé avg, antivir,Kpure,...)

J'ai donc Ccleané et dl ZHP diag dont vous trouverez à ce lien le rapport.
http://www.cijoint.fr/cjlink.php?file=cj201102/cij74Qmnag.txt

Je pense etre tjr infecté ; quelqun peut-il m'aider?
a BIENTOT

Rapport MBMA
Module(s) mémoire infecté(s):
c:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Metropolis (Trojan.FakeAlert) -> Value: Metropolis -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Users\amaury\local settings\application data\a.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
c:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une personne sous Windows Vista, victime de plusieurs trojans, a utilisé Malwarebytes puis CCleaner et ZHPdiag, mais éprouve encore des lenteurs et un chargement incessant du curseur, et ne peut pas installer d’antivirus. Le fil réunit des conseils variés pour nettoyer l’ordinateur, notamment lancer des rapports ZHPdiag, supprimer les clés et éléments d’exécution malveillants, puis recourir à des outils comme Combofix, RogueKiller ou GMER. D’autres échanges portent sur l’importance de partager les rapports sur des plateformes comme Cijoint ou Malekal pour obtenir une assistance spécialisée, tout en restant vigilant face aux faux positifs et aux manipulations possibles du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    gros bazar dans le pc

    1)

    quel est réellement ton antivirus ?

    .........

    2)

    utilise tu un proxy ?

    ............

    3)

    Téléchargez USBFIX de El Desaparecido, C_xx

    http://www.teamxscript.org/usbfixTelechargement.html

    ou

    http://teamxscript.changelog.fr/UsbFix.html

    /!\ Utilisateur de vista et windows 7 :
    ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    Double clic sur le raccourci UsbFix présent sur le bureau .

    Choisir l'option suppression
    (d'autres options disponibles, voir le tutoriel).
    Laissez travailler l'outil.
    Le menu démarrer et les icônes vont disparaître.. c'est normal.

    Si un message te demande de redémarrer l'ordinateur fais le ...

    Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

    Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

    Il est enregistré sur ton bureau.

    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    ................

    4)

    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://www.teamxscript.org/adremoverTelechargement.html

    /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

    Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « NETTOYER »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
  2. amaury
     
    Salut,

    Merci de répondre si vite,

    Aucun AV vu que j'ai désinstallé Kapersky et que je n'arrive pas à en installer un autre.J'ai fouillé dans C mais bon...

    Aucun proxy je suis en wifi chez moi.

    Controle compte utilisateurs désactivé

    Quant à USB fix tout se passe bien jusqu'à la création du fichier txt bloc note qui marque error
    Meme si je suis quand meme dirigé vers la page AD-R
    Rien non plus dans C: Usb fix

    Voici le rapport AD-R

    A bientot

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 16/02/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:36:51 le 16/02/2011, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium (X86)
    amaury@PC-AMAURY (Hewlett-Packard HP Pavilion dv6000 (GT475EA#ABF))

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
    Fichier supprimé: C:\Windows\system32\ConduitEngine.tmp
    Dossier supprimé: C:\Program Files\Fast Browser Search
    Dossier supprimé: C:\Program Files\Common Files\Spigot
    Dossier supprimé: C:\Users\amaury\AppData\Roaming\OfferBox

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\amaury\AppData\Roaming\Mozilla\FireFox\Profiles\dy5vwfga.default\Prefs.js --
    Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
    Ligne supprimée: user_pref("browser.search.defaultenginename", "Fast Browser Search");
    Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&...
    Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search");
    Ligne supprimée: user_pref("browser.search.selectedEngine", "Fast Browser Search");
    Ligne supprimée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={29D1...
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    Clé supprimée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
    Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
    Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
    Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{F4BE6FC1-4990-4D86-9948-19CA9F51AEDC}
    Clé supprimée: HKLM\Software\Classes\AppID\BHO.dll
    Clé supprimée: HKLM\Software\Classes\AppID\{055069F3-F78B-4BD1-A277-FE66648D3300}
    Clé supprimée: HKLM\Software\OfferBox
    Clé supprimée: HKCU\Software\OfferBox
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7B7230DE-6969-4abd-9E0D-1A586A792467}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Search Guard Plus
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Search Guard Plus Updater
    Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

    Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}

    ============== SCAN ADDITIONNEL ==============

    -- C:\Users\amaury\AppData\Roaming\Mozilla\FireFox\Profiles\dy5vwfga.default --
    Extensions\DTToolbar@toolbarnet.com (?)
    Extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB} (?)
    Extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1} (?)
    Prefs.js - browser.download.lastDir, C:\\Users\\amaury\\Desktop
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Fais un nouveau rapport ZHPdiag stp

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0
  5. amaury
     
    Impossible de le dl now

    Virtual device driver format invalid

    De plus mon port casque ne marche plus ; si je branche mon casque le son sort tjr des enceintes pc !!??
    0
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bon on procède par ordre

    1)

    Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
    Cliques sur le bouton 'ProxyFix' situé dans la partie droite de l'écran,
    Cliques sur 'Non' au message qui s'affiche à l'écran,
    Laisses travailler l'outil,
    A la fin du traitement, un rapport s'affiche
    Copie ce rapport
    Redémarre le pc pour prendre en compte les modifications.

    __________

    2)

    supprimer les restes de norton et de avast avec ca

    https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#norton-antivirus-et-norton-internet-security

    https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#avast

    __________

    3)

    retente ensuite ZHP
    CONTRIBUTEUR SECURITE

    En désinfection, c'est la fin le plus important !
    "Restez" jusqu'au bout...merci
    0
    1. amaury
       
      ZHP fix s'est desinstallé
      Aurais tu un lien parce que sur zebulon il faut s'enregistrer!!
      A de suite
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      https://www.commentcamarche.net/download/s/ZHPDiag
      0
    3. amaury
       
      Virtual device drive format in registry invalid.
      +
      L'ecran noir apparait mais aucun proxyfix
      0
    4. amaury
       
      J'avais pu le dl sans probleme la premiere fois je comprends pas
      0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide puis fais l'option 4
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
    0
  8. amaury
     
    RogueKiller V3.10.2 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows Vista (6.0.6000 ) 32 bits version
    Started in : Normal mode
    User: amaury [Admin rights]
    Mode: Remove -- Time : 16/02/2011 19:26:58

    Bad processes:

    Deregistred:
    HKCU\...\Internet Settings\ ProxyEnable : 1 ...NOT REMOVED, USE PROXYFIX
    HKCU\...\Internet Settings\ ProxyServer : WIFI--ISACO:80 ...NOT REMOVED, USE PROXYFIX

    HOSTS File:
    127.0.0.1 localhost
    ::1 localhost

    Finished
    0
  9. amaury
     
    Ah au fait mon port audio remarche!!
    :) juste à redemarer!!
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    refait l'option 4

    et tente zhp ensuite
    0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)


    Télécharge ici :List_Kill'em et enregistre le sur ton bureau

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Fais de même avec more.txt qui se trouve sur ton bureau
    0
  12. amaury
     
    Fichier killem installé avec succes
    Deux fichiers st apparus ; le fichier text d'install et un fichier nommé Proc_end
    Quand je l'exécute un ecran noir apparait puis disparait aussitot.
    Puis ma session se ferme.
    ???
    0
  13. amaury
     
    ah et j'ai deco mon pare feu par contre centre de sécu m'indique que norton est tjr activé mais je n'arrive pas à le desactiver.
    A bientot et encore merci
    0
  14. amaury
     
    et introuvable dans Panneau dde config tous mes programmes ni dans C:
    0
  15. amaury
     
    j'ai trouvé dans C: et ait effacé tous les doss mais tjr present!!
    0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
  17. amaury
     
    ComboFix 11-02-17.02 - amaury 18/02/2011 14:32:26.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2046.1434 [GMT 0:00]
    Lancé depuis: c:\users\amaury\Desktop\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\sysogg.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-01-18 au 2011-02-18 ))))))))))))))))))))))))))))))))))))
    .

    2011-02-16 17:36 . 2011-02-16 17:36 -------- d-----w- c:\program files\Ad-Remover
    2011-02-16 17:24 . 2011-02-16 17:56 -------- d-----w- C:\UsbFix
    2011-02-16 11:49 . 2011-02-16 11:51 -------- d-----w- c:\program files\ZHPDiag
    2011-02-16 11:11 . 2011-02-16 11:11 -------- d-----w- c:\program files\Schweser2011
    2011-02-16 02:10 . 2011-01-13 09:41 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AA14271D-AF63-4AD5-92CC-9DCA84FBF0EE}\mpengine.dll
    2011-02-14 23:59 . 2011-02-14 23:59 -------- d-----w- C:\Schweser CFA 2011 Level 1
    2011-02-14 03:30 . 2011-02-14 03:30 -------- d-----w- c:\users\amaury\AppData\Roaming\Malwarebytes
    2011-02-14 03:30 . 2011-02-14 03:30 -------- d-----w- c:\programdata\Malwarebytes
    2011-02-14 03:30 . 2010-12-20 18:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-02-14 03:30 . 2011-02-14 03:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-02-14 03:30 . 2010-12-20 18:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-02-14 01:53 . 2011-02-14 01:53 -------- d-----w- c:\users\amaury\AppData\Local\Apps
    2011-02-14 01:53 . 2011-02-14 01:53 -------- d-----w- c:\users\amaury\AppData\Local\Deployment
    2011-02-14 01:43 . 2011-02-14 01:43 -------- d-----w- c:\users\amaury\AppData\Local\Threat Expert
    2011-02-14 01:33 . 2011-02-14 03:19 -------- d-----w- C:\eca7a1636738c8ba8d643d5093
    2011-02-14 00:07 . 2011-02-15 22:57 -------- d-----w- c:\program files\Enigma Software Group
    2011-02-13 01:53 . 2011-02-16 10:13 -------- d-----w- c:\users\Public
    2011-02-12 21:44 . 2011-02-12 21:44 -------- d-----w- C:\kleaner.tmp
    2011-02-12 21:41 . 2011-02-12 21:41 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
    2011-02-12 21:40 . 2011-02-12 21:40 -------- d-----w- c:\programdata\MFAData
    2011-02-12 21:02 . 2011-02-14 04:33 -------- d-----w- c:\programdata\Alwil Software
    2011-02-08 17:17 . 2011-02-08 17:17 -------- d-----w- c:\users\amaury\AppData\Roaming\Antares
    2011-02-08 15:47 . 2011-02-08 15:47 6500352 ----a-w- c:\windows\system32\PSP VintageWarmer2.dll
    2011-02-08 15:47 . 2011-02-08 15:47 6492160 ----a-w- c:\windows\system32\PSP VintageWarmer.dll
    2011-02-08 01:44 . 2011-02-08 01:44 -------- d-----w- c:\program files\Antares Audio Technologies
    2011-02-08 01:43 . 2003-06-20 13:28 1777664 ----a-w- c:\windows\system32\gdiplus.dll
    2011-02-06 13:28 . 2011-02-06 13:28 -------- d-----w- C:\found.003
    2011-02-03 22:44 . 2011-02-03 22:51 -------- d-----w- c:\program files\GoldWave
    2011-01-26 23:49 . 2011-01-26 23:49 -------- d-----w- c:\users\amaury\AppData\Roaming\iZotope
    2011-01-26 23:39 . 2011-01-26 23:39 -------- d-----w- c:\programdata\iZotope
    2011-01-26 20:12 . 2011-01-26 20:12 -------- d-----w- c:\programdata\Syncrosoft
    2011-01-26 19:55 . 2011-01-26 20:12 -------- d-----w- c:\programdata\eLicenser
    2011-01-26 19:55 . 2011-01-26 19:55 -------- d-----w- c:\program files\eLicenser
    2011-01-26 19:55 . 2009-09-17 17:20 1261568 ----a-w- c:\windows\system32\SYNSOACC.dll
    2011-01-26 19:55 . 2009-05-19 16:21 86016 ----a-w- c:\windows\system32\SYNSOPOS.exe
    2011-01-26 15:10 . 2006-11-29 13:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
    2011-01-26 15:06 . 2011-01-26 15:06 84621672 ----a-w- c:\program files\Common Files\Windows Live\.cache\wlc760B.tmp
    2011-01-25 09:28 . 2011-01-30 21:45 -------- d-----w- c:\users\amaury\AppData\Roaming\skypePM
    2011-01-25 09:22 . 2011-01-25 09:22 -------- d-----w- c:\program files\Common Files\Skype

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-02-02 17:11 . 2009-10-07 05:01 222080 ------w- c:\windows\system32\MpSigStub.exe
    2009-10-06 22:59 . 2008-11-18 17:15 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
    2009-10-06 22:59 . 2008-11-18 17:15 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
    2009-10-06 22:59 . 2009-08-23 23:40 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
    2009-10-06 22:59 . 2009-08-23 23:40 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
    2009-10-06 22:59 . 2008-11-18 17:15 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-12 39408]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-01-03 15028104]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]
    "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-05-01 86016]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-01 81920]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-11 148888]
    "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-11-18 185872]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

    c:\users\amaury\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2009-08-28 17408]
    S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-05-21 721904]
    S1 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20080116.003\IDSvix86.sys [2007-11-06 180272]
    S3 SYMNDISV;SYMNDISV;c:\windows\System32\Drivers\SYMNDISV.SYS [2007-01-09 38200]
    S3 TotRec7;Total Recorder WDM audio driver;c:\windows\system32\drivers\TotRec7.sys [2009-03-02 127496]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - COMHOST
    .
    Contenu du dossier 'Tâches planifiées'

    2011-02-18 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-01-10 17:44]
    .
    .
    ------- Examen supplémentaire -------
    .
    LSP: c:\windows\system32\wpclsp.dll
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    WebBrowser-{31C322DC-5878-452E-A2D8-C4AAB9973C9A} - (no file)
    HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
    HKLM-Run-hpWirelessAssistant - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
    HKLM-Run-WAWifiMessage - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-02-18 14:40
    Windows 6.0.6000 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:0000003d
    .
    Heure de fin: 2011-02-18 14:43:45
    ComboFix-quarantined-files.txt 2011-02-18 14:43

    Avant-CF: 18 318 069 760 octets libres
    Après-CF: 18 443 800 576 octets libres

    - - End Of File - - AF58CB6B531E53BCE4D36EAD6B1CAFA9
    0
  18. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    as tu fais le ménage dans les antivirus

    je vois du kapersky, du avast, du norton encore
    0
  • 1
  • 2
  • 3