Sujet Précédent Sujet Suivant

Infection trojan

Fermé
amaury - 17 févr. 2011 à 12:02
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 23 févr. 2011 à 11:59
Bonjour,
Je suis actuellement sous Vista , et ait été infecté il y a quelques jours par un puis plusieurs malware type trojan.J'ai donc dl malwarebytes qui me les a eliminés avec succés.Cependant ma navigation sur internet a u n probleme ma souris est constamment en train de charger sur le screen (cf petit rond bleu qui apparait en tournant) et je ne peux installer aucun antivirus (je les ai tous assayé avg, antivir,Kpure,...)

J'ai donc Ccleané et dl ZHP diag dont vous trouverez à ce lien le rapport.
http://www.cijoint.fr/cjlink.php?file=cj201102/cij74Qmnag.txt

Je pense etre tjr infecté ; quelqun peut-il m'aider?
a BIENTOT

Rapport MBMA
Module(s) mémoire infecté(s):
c:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Metropolis (Trojan.FakeAlert) -> Value: Metropolis -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Users\amaury\local settings\application data\a.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
c:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
A voir également:

43 réponses

Réponse 1 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
20 févr. 2011 à 08:42
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore

tu as un ? ou ! jaune dans tes périphériques ?
1
Réponse 2 / 43
amaury
17 févr. 2011 à 13:13
Tout commentaire est le bienvenu
A++
0
Réponse 3 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
17 févr. 2011 à 14:32
bonjour

gros bazar dans le pc

1)

quel est réellement ton antivirus ?

.........

2)

utilise tu un proxy ?

............

3)

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html

ou

http://teamxscript.changelog.fr/UsbFix.html

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

Double clic sur le raccourci UsbFix présent sur le bureau .

Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.





UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.


................

4)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
0
Réponse 4 / 43
amaury
17 févr. 2011 à 18:00
Salut,

Merci de répondre si vite,

Aucun AV vu que j'ai désinstallé Kapersky et que je n'arrive pas à en installer un autre.J'ai fouillé dans C mais bon...

Aucun proxy je suis en wifi chez moi.

Controle compte utilisateurs désactivé

Quant à USB fix tout se passe bien jusqu'à la création du fichier txt bloc note qui marque error
Meme si je suis quand meme dirigé vers la page AD-R
Rien non plus dans C: Usb fix


Voici le rapport AD-R

A bientot

======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 16/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:36:51 le 16/02/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium (X86)
amaury@PC-AMAURY (Hewlett-Packard HP Pavilion dv6000 (GT475EA#ABF))

============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
Fichier supprimé: C:\Windows\system32\ConduitEngine.tmp
Dossier supprimé: C:\Program Files\Fast Browser Search
Dossier supprimé: C:\Program Files\Common Files\Spigot
Dossier supprimé: C:\Users\amaury\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\amaury\AppData\Roaming\Mozilla\FireFox\Profiles\dy5vwfga.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
Ligne supprimée: user_pref("browser.search.defaultenginename", "Fast Browser Search");
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&...
Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search");
Ligne supprimée: user_pref("browser.search.selectedEngine", "Fast Browser Search");
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={29D1...
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{F4BE6FC1-4990-4D86-9948-19CA9F51AEDC}
Clé supprimée: HKLM\Software\Classes\AppID\BHO.dll
Clé supprimée: HKLM\Software\Classes\AppID\{055069F3-F78B-4BD1-A277-FE66648D3300}
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7B7230DE-6969-4abd-9E0D-1A586A792467}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Search Guard Plus
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Search Guard Plus Updater
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}


============== SCAN ADDITIONNEL ==============

-- C:\Users\amaury\AppData\Roaming\Mozilla\FireFox\Profiles\dy5vwfga.default --
Extensions\DTToolbar@toolbarnet.com (?)
Extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB} (?)
Extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1} (?)
Prefs.js - browser.download.lastDir, C:\\Users\\amaury\\Desktop
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
17 févr. 2011 à 18:08
Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message



0
Réponse 6 / 43
amaury
17 févr. 2011 à 18:20
Impossible de le dl now

Virtual device driver format invalid

De plus mon port casque ne marche plus ; si je branche mon casque le son sort tjr des enceintes pc !!??
0
Réponse 7 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
Modifié par moment de grace le 17/02/2011 à 18:38
bon on procède par ordre

1)

Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton 'ProxyFix' situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport
Redémarre le pc pour prendre en compte les modifications.

__________

2)

supprimer les restes de norton et de avast avec ca

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#norton-antivirus-et-norton-internet-security

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#avast

__________

3)

retente ensuite ZHP
CONTRIBUTEUR SECURITE

En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
0
amaury
17 févr. 2011 à 18:54
ZHP fix s'est desinstallé
Aurais tu un lien parce que sur zebulon il faut s'enregistrer!!
A de suite
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
17 févr. 2011 à 18:56
https://www.commentcamarche.net/download/s/ZHPDiag
0
amaury
17 févr. 2011 à 19:15
Virtual device drive format in registry invalid.
+
L'ecran noir apparait mais aucun proxyfix
0
amaury
17 févr. 2011 à 19:18
J'avais pu le dl sans probleme la premiere fois je comprends pas
0
Réponse 8 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
17 févr. 2011 à 19:24
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide puis fais l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
0
Réponse 9 / 43
amaury
17 févr. 2011 à 19:27
RogueKiller V3.10.2 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows Vista (6.0.6000 ) 32 bits version
Started in : Normal mode
User: amaury [Admin rights]
Mode: Remove -- Time : 16/02/2011 19:26:58

Bad processes:

Deregistred:
HKCU\...\Internet Settings\ ProxyEnable : 1 ...NOT REMOVED, USE PROXYFIX
HKCU\...\Internet Settings\ ProxyServer : WIFI--ISACO:80 ...NOT REMOVED, USE PROXYFIX

HOSTS File:
127.0.0.1 localhost
::1 localhost


Finished
0
Réponse 10 / 43
amaury
17 févr. 2011 à 19:31
Ah au fait mon port audio remarche!!
:) juste à redemarer!!
0
Réponse 11 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
17 févr. 2011 à 19:34
refait l'option 4

et tente zhp ensuite
0
Réponse 12 / 43
amaury
17 févr. 2011 à 19:53
Option 4 réaliséé

ZHP still not work
0
Réponse 13 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
17 févr. 2011 à 20:03

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Fais de même avec more.txt qui se trouve sur ton bureau
0
Réponse 14 / 43
amaury
18 févr. 2011 à 00:35
Fichier killem installé avec succes
Deux fichiers st apparus ; le fichier text d'install et un fichier nommé Proc_end
Quand je l'exécute un ecran noir apparait puis disparait aussitot.
Puis ma session se ferme.
???
0
Réponse 15 / 43
amaury
18 févr. 2011 à 00:42
ah et j'ai deco mon pare feu par contre centre de sécu m'indique que norton est tjr activé mais je n'arrive pas à le desactiver.
A bientot et encore merci
0
Réponse 16 / 43
amaury
18 févr. 2011 à 00:44
et introuvable dans Panneau dde config tous mes programmes ni dans C:
0
Réponse 17 / 43
amaury
18 févr. 2011 à 00:53
j'ai trouvé dans C: et ait effacé tous les doss mais tjr present!!
0
Réponse 18 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
18 févr. 2011 à 05:58
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt



0
Réponse 19 / 43
amaury
18 févr. 2011 à 14:46
ComboFix 11-02-17.02 - amaury 18/02/2011 14:32:26.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2046.1434 [GMT 0:00]
Lancé depuis: c:\users\amaury\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\sysogg.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2011-01-18 au 2011-02-18 ))))))))))))))))))))))))))))))))))))
.

2011-02-16 17:36 . 2011-02-16 17:36 -------- d-----w- c:\program files\Ad-Remover
2011-02-16 17:24 . 2011-02-16 17:56 -------- d-----w- C:\UsbFix
2011-02-16 11:49 . 2011-02-16 11:51 -------- d-----w- c:\program files\ZHPDiag
2011-02-16 11:11 . 2011-02-16 11:11 -------- d-----w- c:\program files\Schweser2011
2011-02-16 02:10 . 2011-01-13 09:41 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AA14271D-AF63-4AD5-92CC-9DCA84FBF0EE}\mpengine.dll
2011-02-14 23:59 . 2011-02-14 23:59 -------- d-----w- C:\Schweser CFA 2011 Level 1
2011-02-14 03:30 . 2011-02-14 03:30 -------- d-----w- c:\users\amaury\AppData\Roaming\Malwarebytes
2011-02-14 03:30 . 2011-02-14 03:30 -------- d-----w- c:\programdata\Malwarebytes
2011-02-14 03:30 . 2010-12-20 18:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-14 03:30 . 2011-02-14 03:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-02-14 03:30 . 2010-12-20 18:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-14 01:53 . 2011-02-14 01:53 -------- d-----w- c:\users\amaury\AppData\Local\Apps
2011-02-14 01:53 . 2011-02-14 01:53 -------- d-----w- c:\users\amaury\AppData\Local\Deployment
2011-02-14 01:43 . 2011-02-14 01:43 -------- d-----w- c:\users\amaury\AppData\Local\Threat Expert
2011-02-14 01:33 . 2011-02-14 03:19 -------- d-----w- C:\eca7a1636738c8ba8d643d5093
2011-02-14 00:07 . 2011-02-15 22:57 -------- d-----w- c:\program files\Enigma Software Group
2011-02-13 01:53 . 2011-02-16 10:13 -------- d-----w- c:\users\Public
2011-02-12 21:44 . 2011-02-12 21:44 -------- d-----w- C:\kleaner.tmp
2011-02-12 21:41 . 2011-02-12 21:41 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
2011-02-12 21:40 . 2011-02-12 21:40 -------- d-----w- c:\programdata\MFAData
2011-02-12 21:02 . 2011-02-14 04:33 -------- d-----w- c:\programdata\Alwil Software
2011-02-08 17:17 . 2011-02-08 17:17 -------- d-----w- c:\users\amaury\AppData\Roaming\Antares
2011-02-08 15:47 . 2011-02-08 15:47 6500352 ----a-w- c:\windows\system32\PSP VintageWarmer2.dll
2011-02-08 15:47 . 2011-02-08 15:47 6492160 ----a-w- c:\windows\system32\PSP VintageWarmer.dll
2011-02-08 01:44 . 2011-02-08 01:44 -------- d-----w- c:\program files\Antares Audio Technologies
2011-02-08 01:43 . 2003-06-20 13:28 1777664 ----a-w- c:\windows\system32\gdiplus.dll
2011-02-06 13:28 . 2011-02-06 13:28 -------- d-----w- C:\found.003
2011-02-03 22:44 . 2011-02-03 22:51 -------- d-----w- c:\program files\GoldWave
2011-01-26 23:49 . 2011-01-26 23:49 -------- d-----w- c:\users\amaury\AppData\Roaming\iZotope
2011-01-26 23:39 . 2011-01-26 23:39 -------- d-----w- c:\programdata\iZotope
2011-01-26 20:12 . 2011-01-26 20:12 -------- d-----w- c:\programdata\Syncrosoft
2011-01-26 19:55 . 2011-01-26 20:12 -------- d-----w- c:\programdata\eLicenser
2011-01-26 19:55 . 2011-01-26 19:55 -------- d-----w- c:\program files\eLicenser
2011-01-26 19:55 . 2009-09-17 17:20 1261568 ----a-w- c:\windows\system32\SYNSOACC.dll
2011-01-26 19:55 . 2009-05-19 16:21 86016 ----a-w- c:\windows\system32\SYNSOPOS.exe
2011-01-26 15:10 . 2006-11-29 13:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2011-01-26 15:06 . 2011-01-26 15:06 84621672 ----a-w- c:\program files\Common Files\Windows Live\.cache\wlc760B.tmp
2011-01-25 09:28 . 2011-01-30 21:45 -------- d-----w- c:\users\amaury\AppData\Roaming\skypePM
2011-01-25 09:22 . 2011-01-25 09:22 -------- d-----w- c:\program files\Common Files\Skype

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 17:11 . 2009-10-07 05:01 222080 ------w- c:\windows\system32\MpSigStub.exe
2009-10-06 22:59 . 2008-11-18 17:15 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2009-10-06 22:59 . 2008-11-18 17:15 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2009-10-06 22:59 . 2009-08-23 23:40 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2009-10-06 22:59 . 2009-08-23 23:40 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2009-10-06 22:59 . 2008-11-18 17:15 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-12 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-01-03 15028104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-05-01 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-01 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-11 148888]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-11-18 185872]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

c:\users\amaury\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2009-08-28 17408]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-05-21 721904]
S1 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20080116.003\IDSvix86.sys [2007-11-06 180272]
S3 SYMNDISV;SYMNDISV;c:\windows\System32\Drivers\SYMNDISV.SYS [2007-01-09 38200]
S3 TotRec7;Total Recorder WDM audio driver;c:\windows\system32\drivers\TotRec7.sys [2009-03-02 127496]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - COMHOST
.
Contenu du dossier 'Tâches planifiées'

2011-02-18 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-01-10 17:44]
.
.
------- Examen supplémentaire -------
.
LSP: c:\windows\system32\wpclsp.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{31C322DC-5878-452E-A2D8-C4AAB9973C9A} - (no file)
HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
HKLM-Run-hpWirelessAssistant - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
HKLM-Run-WAWifiMessage - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-18 14:40
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d
.
Heure de fin: 2011-02-18 14:43:45
ComboFix-quarantined-files.txt 2011-02-18 14:43

Avant-CF: 18 318 069 760 octets libres
Après-CF: 18 443 800 576 octets libres

- - End Of File - - AF58CB6B531E53BCE4D36EAD6B1CAFA9
0
Réponse 20 / 43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
18 févr. 2011 à 15:01
as tu fais le ménage dans les antivirus

je vois du kapersky, du avast, du norton encore
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses