Infection par le trojan TR/Crypt.XPACK.Gen

Ayme12 -  
 afideg -
Bonjour,

Je suis infecté par le trojan cité dans le titre. Il est apparu il y a 3 jours environ, et après une analyse et suppression par antivir et malwarebytes je pensais m'en être débarrassé. Sauf qu'aujourd'hui il a réapparu, et antivir arrête pas de gueuler, je mets sois "quarantaine" soit "supprimer" soit "refuser accès" mais il revient sans cesse.
Je suis en train de faire une analyse Malwarebytes, je vous poste le rapport ensuite? Sinon j'attends votre aide, je ne sais pas si je dois télécharger HijackThis et suivre des turoriaux?

26 réponses

  • 1
  • 2
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    poste ce rapport de Malwarebytes stp
    0
  2. Ayme12
     
    Re bonjour, désolé je n'ai pas pu m'en occuper hier. Alors voilà le rapport de MB :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6110

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    25/03/2011 21:50:42
    mbam-log-2011-03-25 (21-50-37).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 372855
    Temps écoulé: 2 heure(s), 7 minute(s), 53 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\users\elsa\appdata\local\temp\9571.tmp (Heuristics.Shuriken) -> No action taken.
    c:\users\elsa\appdata\local\temp\b485.tmp (Heuristics.Shuriken) -> No action taken.
    c:\Users\elsa\AppData\Local\Temp\CDB0.tmp (Heuristics.Shuriken) -> No action taken.
    c:\Users\elsa\AppData\Local\Temp\D8C7.tmp (Heuristics.Shuriken) -> No action taken.
    0
  3. Ayme12
     
    A noter qu'aujourd'hui dès que j'ai allumé mon ordi, antivir s'est directement mis à gueuler (je sais pas si ça a de l'importance mais bon)
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    No action taken.

    les as tu supprimés ?

    ______

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Ayme12
     
    MB m'a dit qu'il n'a pas pu les supprimer... Je fais tout ça
    0
  7. Ayme12
     
    Voilà le rapport : http://pjjoint.malekal.com/files.php?id=10941c24cf10711
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    rien de méchant

    1)

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Program Files\jeux\jeux.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.


    Copie le lien de Virus Total dans ta réponse.(l'url de la page des résultats)


    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK

    ...........................

    2)

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (.Pas de propriétaire - MetaStream 3 Plugin r4.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
    O42 - Logiciel: Viewpoint Media Player - (.Pas de propriétaire.) [HKLM] -- ViewpointMediaPlayer
    [HKLM\Software\MetaStream]
    [HKLM\Software\Viewpoint]
    O43 - CFD: 09/03/2008 - 06:58:00 - [7558675] ----D- C:\Program Files\Viewpoint
    O43 - CFD: 09/03/2008 - 06:58:00 - [3991] ----D- C:\ProgramData\Viewpoint
    [HKLM\Software\Classes\axmetastream.metastreamctl]
    [HKLM\Software\Classes\axmetastream.metastreamctl.1]
    [HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary]
    [HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer]


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
    0
  9. Ayme12
     
    Rapport virus total :

    http://www.virustotal.com/...
    0
  10. Ayme12
     
    Rapport ZHP : http://pjjoint.malekal.com/files.php?id=63c61371fb15159

    (je n'arrivais pas à poster le message autrement)
    0
  11. Ayme12
     
    Je ne sais pas si vous pouvez voir le lien de virus total en entier, seul le début s'enregistre quand je valide le post....
    0
  12. Ayme12
     
    Je re essaie en 2 bouts :

    http://www.virustotal.com/file-scan/report.html?

    id=2509647b10d57b1034c04d38390aa12103fe66d4fb7b29f465e6465d700c1e36-1301232217
    0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il faut t'enregistrer sur CCM

    le fichier est bon

    refais un MBAM en rapide stp
    0
  14. Ayme12
     
    L'analyse est en train de se faire, mais même pour faire une analyse rapide il faut bien plus d'une heure.... Sinon je ne sais pas si c'est normal ou pas mais le trojan se manifeste toujours, je lui refuse l'accès et tout de suite ça revient, antivir rebipe, etc etc...
    0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    peux tu poster le rapport de ces alertes d'antivir
    0
  16. Ayme12
     
    Il y a deux jours c'était :

    Dans le fichier 'C:\Users\elsa\AppData\Local\Temp\2nwvzo60.exe'
    un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
    Action exécutée : Déplacer le fichier en quarantaine

    Ce matin c'était :

    Dans le fichier 'C:\Users\elsa\AppData\Local\Temp\uqqdojis.exe'
    un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
    Action exécutée : Déplacer le fichier en quarantaine

    Et là (alerte survenue après l'analyse MBAM dont le rapport est après) :

    Dans le fichier 'C:\Users\elsa\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\7b82bd97-62ae53f7'
    un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
    Action exécutée : Refuser l'accès

    Et voici le rapport de MBAM :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6183

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    27/03/2011 17:45:10
    mbam-log-2011-03-27 (17-45-10).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 157156
    Temps écoulé: 44 minute(s), 42 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\elsa\AppData\Local\Temp\qef1e32n.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  17. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    (clic droit sur le lien ...enregistrer la cible du lien sous )

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
  18. Ayme12
     
    Je dois m'arrêter là pour aujourd'hui car la procédure a l'air assez longue, et malheureusement je ne pourrai pas m'en occuper dans les deux prochaines semaines, je reprendrai donc à ce point là dans deux semaines environ (je n'aurai pas mon ordinateur avec moi, il restera donc éteint jusqu'à ce que je me re-penche sur le problème).
    En tout cas merci beaucoup pour votre aide jusqu'à présent, je sais "qu'en désinfection, c'est la fin le plus important", j'espère donc l'atteindre la prochaine fois!
    (Je posterai à la suite de ce topic donc merci de ne pas le clôturer).
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      ok

      à dans deux semaines...
      0
  19. Ayme12
     
    Comme promis me voilà de retour. Donc je n'ai pas touché mon ordinateur depuis la dernière fois, là je viens de l'allumer et antivir n'arrête pas de biper. Je vais donc exécuter toutes ces instructions et je vous poste le rapport
    0
  20. Ayme12
     
    Voilà le rapport Combofix. Je viens de voir que j'ai oublié de désactiver Windows Defender, et antivir me signale toujours que le trojan est là... Faut il que je le refasse en désactivant Windows Defender

    ComboFix 11-04-08.02 - elsa 09/04/2011 11:37:10.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3070.1927 [GMT 2:00]
    Lancé depuis: c:\users\elsa\Desktop\ComboFix.exe
    AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
    SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    C:\Install.exe
    c:\windows\system32\KBL.LOG
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-03-09 au 2011-04-09 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-04-09 09:45 . 2011-04-09 09:45 -------- d-----w- c:\users\Default\AppData\Local\temp
    2011-03-27 12:44 . 2011-03-27 12:44 512 ----a-w- C:\PhysicalDisk0_MBR.bin
    2011-03-27 12:39 . 2011-03-27 13:42 -------- d-----w- c:\program files\ZHPDiag
    2011-03-25 07:44 . 2011-03-15 04:05 6792528 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B7CFFA42-079F-4B63-8DB2-3BA2451F6FF2}\mpengine.dll
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-02-24 13:51 . 2011-02-24 13:51 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
    2011-02-02 17:11 . 2009-10-02 20:12 222080 ------w- c:\windows\system32\MpSigStub.exe
    2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
    "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
    "Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
    "Software Suite"="c:\program files\Packard Bell\Software Suite\PBSoftSuite.exe" [2009-10-01 3144736]
    "Packard Bell Software Suite"="c:\program files\Packard Bell\Software Suite\PBSoftSuite.exe" [2009-10-01 3144736]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
    "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-17 634880]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-10-09 4702208]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-10-24 178712]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-12-19 468264]
    "OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
    "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
    "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-03 13826664]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-04-07 673616]
    "Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
    .
    c:\users\elsa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "AntiVirusOverride"=dword:00000001
    .
    R0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-07-03 136176]
    R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
    S2 PowerSave;PowerSave Service;c:\program files\Packard Bell\Software Suite\PowerSave\PSPBSSS.exe [2009-04-06 1002016]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2007-08-23 15:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-04-09 c:\windows\Tasks\Epson Printer Software Downloader.job
    - c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-05-26 09:43]
    .
    2011-04-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-07-03 20:54]
    .
    2011-04-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-07-03 20:54]
    .
    2011-04-09 c:\windows\Tasks\User_Feed_Synchronization-{B5149D72-DA8C-4D35-A0D7-BC7DAFAC51B0}.job
    - c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://home.neuf.fr/
    mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Pavilion&pf=laptop
    uInternet Settings,ProxyOverride = *.local
    IE: &Download by Orbit
    IE: &Grab video by Orbit
    IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
    IE: Do&wnload selected by Orbit
    IE: Down&load all by Orbit
    FF - ProfilePath - c:\users\elsa\AppData\Roaming\Mozilla\Firefox\Profiles\mxd418xd.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    FF - user.js: yahoo.homepage.dontask - true
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    HKCU-Run-HPAdvisor - c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
    HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
    AddRemove-ViewpointMediaPlayer - c:\program files\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-04-09 11:45
    Windows 6.0.6001 Service Pack 1 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    Heure de fin: 2011-04-09 11:49:01
    ComboFix-quarantined-files.txt 2011-04-09 09:48
    .
    Avant-CF: 175 709 749 248 octets libres
    Après-CF: 177 431 662 592 octets libres
    .
    - - End Of File - - 73D826176BE5B3ADADBC5E42303E4006
    0
  21. Ayme12
     
    Personne peut me dire si je dois le refaire?
    0
  • 1
  • 2