Sujet Précédent Sujet Suivant

Win32 patched-RP[trj] réSOLU MAIS NON...

Fermé
doudouzeb Messages postés 21 Date d'inscription jeudi 24 août 2006 Statut Membre Dernière intervention 26 avril 2011 - Modifié par doudouzeb le 26/04/2011 à 17:03
 Utilisateur anonyme - 26 avril 2011 à 20:39
Bonjour,

Pb détécté avec avast: Patched [RP]

j'ai téléchargé combo fix:

C:\WINDOWS\system32\winlogon.exe . . . est infecté!!

Une copie infectée de C:\WINDOWS\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe


((((((((((((((((((((((((((((( Fichiers créés du 2011-03-26 au 2011-04-26 ))))))))))))))))))))))))))))))))))))


2011-03-30 12:40:36 . 2010-02-12 10:03:04 293376 ------w- C:\WINDOWS\system32\browserchoice.exe
2011-03-29 03:50:24 . 2011-03-29 03:50:48 102400 ----a-w- C:\WINDOWS\RegBootClean.exe
2011-03-27 19:59:42 . 2011-03-27 19:59:44 -------- d-----w- C:\Documents and Settings\fabrice\Application Data\VSRevoGroup
2011-03-27 19:19:14 . 2011-03-27 19:19:16 -------- d-----w- C:\Program Files\VS Revo Group
.


(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

2007-01-25 01:52:26 . 2007-01-25 01:52:26 65536 ----a-w- C:\Program Files\Fichiers communs\NMSAccessU.exe


------- Sigcheck -------

[-] 2008-04-14 02:34:28 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512 (xpsp.080413-2113)] . . C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
[-] 2004-08-05 03:00:00 . C55B0A71DC731454749FAAF146303DC6 . 506368 . . [5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOWS\system32\winlogon.exe

[-] 2008-04-14 02:34:04 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512 (xpsp.080413-2105)] . . C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
[-] 2007-06-13 13:22:28 . 00DEDC3D1F1BE10AB642B5E06F81D06A . 1037312 . . [6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)] . . C:\WINDOWS\explorer.exe
[7] 2007-06-13 13:22:28 . D0288319660EDCFED07C7E74C4EA38A5 . 1037312 . . [6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)] . . C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
[7] 2007-06-13 13:10:54 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156 (xpsp_sp2_qfe.070613-1311)] . . C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-05 03:00:00 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] . . C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "C:\Program Files\free-downloads.net\tbfre1.dll" [2010-09-25 10:23:20 2735200]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-07-17 15:20:16 279944 ----a-w- C:\Program Files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2010-09-25 10:23:20 2735200 ----a-w- C:\Program Files\free-downloads.net\tbfre1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "C:\Program Files\AskBarDis\bar\bin\askBar.dll" [2008-07-17 15:20:16 279944]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "C:\Program Files\free-downloads.net\tbfre1.dll" [2010-09-25 10:23:20 2735200]
"{9ec204df-0e48-4c32-816e-2e928a4fd9c2}"= "mscoree.dll" [2009-11-06 23:07:04 297808]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CLASSES_ROOT\clsid\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}]
[HKEY_CLASSES_ROOT\IEToolbar.Toolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "C:\Program Files\AskBarDis\bar\bin\askBar.dll" [2008-07-17 15:20:16 279944]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "C:\Program Files\free-downloads.net\tbfre1.dll" [2010-09-25 10:23:20 2735200]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 18:22:26 68856]
"AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2008-12-24 14:45:14 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Device Detector"="DevDetect.exe -autorun" [X]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 03:00:00 59392]
"LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" [2005-07-25 08:45:00 241664]
"LManager"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2005-06-06 09:52:10 69632]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2005-07-25 11:36:40 32768]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 03:00:00 208952]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-10-31 17:05:56 385024]
"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2003-09-16 12:28:26 20480]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 08:44:44 35760]
"Adobe ARM"="C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 18:37:42 932288]
"avast5"="C:\Program Files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 07:47:34 3396624]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-10-26 14:18:52 212992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 03:00:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=xgusb.cpl
"midi2"=xgusb.cpl
"midi3"=xgusb.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avguard.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avscan.exe]
"Debugger"=ntsd -d

[HKLM\~\startupfolder\C:^Documents and Settings^fabrice^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk]
path=C:\Documents and Settings\fabrice\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk
backup=C:\WINDOWS\pss\Notification de cadeaux MSN.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-05 03:00:00 110592 ------w- C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2005-01-23 08:31:34 126976 ------w- C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2005-01-23 08:36:10 155648 ------w- C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44:52 3883856 ----a-w- C:\Program Files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-05 03:00:00 455168 ------w- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-05 03:00:00 455168 ------w- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2003-10-14 08:22:30 155648 ----a-r- C:\Program Files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-07-17 18:22:26 68856 ----a-w- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\System32\\usmt\\migwiz.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"Windows Update System"= C:\Documents and Settings\fabrice\Application Data\taskeng.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [18/04/2007 17:31:10 721904]
R1 aswSP;aswSP;C:\WINDOWS\system32\drivers\aswSP.sys [15/09/2010 21:14:31 294608]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [30/11/2006 21:57:50 33824]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\drivers\aswFsBlk.sys [15/09/2010 21:14:31 17744]
R2 port_nt;port_nt;C:\WINDOWS\system32\drivers\port_nt.sys [01/04/2006 07:59:00 3608]
R2 WDDMService;WD SmartWare Drive Manager;C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [13/11/2009 11:28:04 110592]
R2 WDSmartWareBackgroundService;WD SmartWare Background Service;C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [16/06/2009 08:58:08 20480]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\drivers\cledx.sys [01/01/2009 14:07:00 33792]
S1 mailKmd;mailKmd; [x]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;C:\Program Files\Avira\AntiVir Desktop\sched.exe [05/02/2010 22:52:00 108289]
S2 gupdate;Service Google Update (gupdate);C:\Program Files\Google\Update\GoogleUpdate.exe [31/01/2010 18:48:31 135664]
S3 DOSMEMIO;MEMIO;\??\E:\MEMIO.SYS --> E:\MEMIO.SYS [?]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\drivers\fbxusb32.sys [26/07/2008 08:34:30 21344]
S3 Netaapl;Apple Mobile Device Ethernet Service;C:\WINDOWS\system32\drivers\netaapl.sys [25/12/2009 10:33:17 17408]
S3 POWERKEY;POWERKEY;C:\Program Files\Launch Manager\POWERKEY.SYS [29/03/2006 21:48:46 2343]
S3 WDC_SAM;WD SCSI Pass Thru driver;C:\WINDOWS\system32\drivers\wdcsam.sys [11/08/2010 10:07:16 11520]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - INT15.SYS

Contenu du dossier 'Tâches planifiées'

2011-04-26 C:\WINDOWS\Tasks\Google Software Updater.job
- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-03 17:33:28 . 2009-03-26 04:08:10]

2011-04-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34:12 . 2008-07-30 10:34:12]

2011-04-26 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2010-01-31 16:48:31 . 2010-01-31 16:48:30]

2011-04-26 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2010-01-31 16:48:31 . 2010-01-31 16:48:30]

j'ai été sur virus total chargé c:windows/explorer.exe et sa a donné sa:
File name:
explorer.exe
Submission date:
2011-04-26 14:44:28 (UTC)
Current status:
queued (#37) queued analysing finished
Result:
28/ 41 (68.3%)

help me please!!

merci par avance

Antivirus Version Last update Result

AhnLab-V3 2011.04.26.06 2011.04.26 -

AntiVir 7.11.7.7 2011.04.25 -

Antiy-AVL 2.0.3.7 2011.04.26 -

Avast 4.8.1351.0 2011.04.26 Win32:Bamital-AQ

Avast5 5.0.677.0 2011.04.26 Win32:Bamital-AQ

AVG 10.0.0.1190 2011.04.26 Win32/Patched

BitDefender 7.2 2011.04.26 Win32.Loader.S

CAT-QuickHeal 11.00 2011.04.26 Trojan.Patched.JW

ClamAV 0.97.0.0 2011.04.25 -

Commtouch 5.3.2.6 2011.04.26 W32/Bamital.E

Comodo 8484 2011.04.26 TrojWare.Win32.Patched.kl

DrWeb 5.0.2.03300 2011.04.26 Win32.Dat.13

eSafe 7.0.17.0 2011.04.25 -

eTrust-Vet 36.1.8290 2011.04.25 Win32/Bamital.AP

F-Prot 4.6.2.117 2011.04.26 W32/Bamital.E

F-Secure 9.0.16440.0 2011.04.26 -

Fortinet 4.2.257.0 2011.04.26 W32/Pached.KL!tr

GData 22 2011.04.26 Win32.Loader.S

Ikarus T3.1.1.103.0 2011.04.26 -

Jiangmin 13.0.900 2011.04.25 -

K7AntiVirus 9.98.4474 2011.04.25 Virus

Kaspersky 9.0.0.837 2011.04.26 Trojan.Win32.Patched.kl

McAfee 5.400.0.1158 2011.04.26 W32/Bamital.a

McAfee-GW-Edition 2010.1D 2011.04.26 W32/Bamital.a

Microsoft 1.6802 2011.04.26 Virus:Win32/Bamital.H

NOD32 6071 2011.04.26 Win32/Bamital.EQ

Norman 6.07.07 2011.04.26 W32/Patched.AE

Panda 10.0.3.5 2011.04.25 W32/Patched.AC

PCTools 7.0.3.5 2011.04.21 Virus.Bamital

Prevx 3.0 2011.04.26 -

Rising 23.55.01.05 2011.04.26 -

Sophos 4.64.0 2011.04.26 Troj/Patched-O

SUPERAntiSpyware 4.40.0.1006 2011.04.26 -

Symantec 20101.3.2.89 2011.04.26 Trojan.Bamital!inf

TheHacker 6.7.0.1.183 2011.04.26 -

TrendMicro 9.200.0.1012 2011.04.26 PE_PATCHED.SMC

TrendMicro-HouseCall 9.200.0.1012 2011.04.26 PE_PATCHED.SMC

VBA32 3.12.16.0 2011.04.26 -

VIPRE 9124 2011.04.26 Virus.Win32.Bamital.d (v)

ViRobot 2011.4.26.4431 2011.04.26 Win32.Patched.AF

VirusBuster 13.6.321.0 2011.04.26 Trojan.Bamital.Gen.3

MD5: 00dedc3d1f1be10ab642b5e06f81d06a

SHA1: 9477df2a642d3106c9bee0f0a360c3a9862e3338

SHA256: b5687677f438d3b2c2dcd0e71c81eda91f189bde000dd170b36a80d70492c3fd

File size: 1037312 bytes

Scan date: 2011-04-26 14:44:28 (UTC)

5 réponses

Réponse 1 / 5
Utilisateur anonyme
26 avril 2011 à 17:25
Bonsoir

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|
-----------------------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------


FCopy::
C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe | C:\WINDOWS\system32\winlogon.exe


-----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes

* Fais un glisser/déposer de ce fichier CFScript sur le fichier asdehi.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+
0
doudouzeb Messages postés 21 Date d'inscription jeudi 24 août 2006 Statut Membre Dernière intervention 26 avril 2011
26 avril 2011 à 18:10
c'est super long, j'ai plus de bureau comme prévu mais aussi plus aucune fenetre meme de scan (la fenetre bleu a disparu) j'ai juste ma photo de bureau et rien.
0
Réponse 2 / 5
doudouzeb Messages postés 21 Date d'inscription jeudi 24 août 2006 Statut Membre Dernière intervention 26 avril 2011
26 avril 2011 à 18:26
tout a replanté...
0
Réponse 3 / 5
Utilisateur anonyme
26 avril 2011 à 20:23
Re

Arrête ton PC .Patiente un peu et redémarre le.

@+
0
Réponse 4 / 5
doudouzeb Messages postés 21 Date d'inscription jeudi 24 août 2006 Statut Membre Dernière intervention 26 avril 2011
26 avril 2011 à 20:31
J'ai refait un combofix:

ComboFix 11-04-25.03 - fabrice 26/04/2011 19:03:36.3.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1014.659 [GMT 2:00]
Lancé depuis: c:\documents and settings\fabrice\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\All Users\Documents\Server\admin.txt
c:\documents and settings\All Users\Documents\Server\server.dat
c:\documents and settings\fabrice\Application Data\install
c:\documents and settings\fabrice\Favoris\Online Security Test.url
c:\windows\AhnRpta.exe
c:\windows\AutoRun.ini
c:\windows\svchost.ini
c:\windows\system32\drivers\str.sys
c:\windows\system32\rnaph.dll
.
-- Exécution préalable --
.
c:\windows\system32\winlogon.exe . . . est infecté!!
.
c:\windows\system32\winlogon.exe . . . est infecté!!
.
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
.
-- Exécution préalable --
.
c:\windows\system32\winlogon.exe . . . est infecté!!
.
c:\windows\system32\winlogon.exe . . . est infecté!!
.
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
.
--------
.
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP215\A0087846.EXE
.
-- Exécution préalable --
.
c:\windows\system32\winlogon.exe . . . est infecté!!
.
c:\windows\system32\winlogon.exe . . . est infecté!!
.
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
.
--------
.
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP215\A0087846.EXE
.
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
.
--------
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-26 au 2011-04-26 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-30 12:40 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-03-29 03:50 . 2011-03-29 03:50 102400 ----a-w- c:\windows\RegBootClean.exe
2011-03-27 19:59 . 2011-03-27 19:59 -------- d-----w- c:\documents and settings\fabrice\Application Data\VSRevoGroup
2011-03-27 19:19 . 2011-03-27 19:19 -------- d-----w- c:\program files\VS Revo Group
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-01-25 01:52 . 2007-01-25 01:52 65536 ----a-w- c:\program files\Fichiers communs\NMSAccessU.exe
.
.
------- Sigcheck -------
.
[-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
[-] 1601-01-01 00:00 . !HASH: COULD NOT OPEN FILE !!!!! . 0 . . [------] . . c:\windows\system32\winlogon.exe
.
[-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
[7] 2007-06-13 . D0288319660EDCFED07C7E74C4EA38A5 . 1037312 . . [6.00.2900.3156] . . c:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
[7] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-05 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
[-] 1601-01-01 00:00 . !HASH: COULD NOT OPEN FILE !!!!! . 0 . . [------] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2010-09-25 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-07-17 15:20 279944 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2010-09-25 10:23 2735200 ----a-w- c:\program files\free-downloads.net\tbfre1.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-07-17 279944]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2010-09-25 2735200]
"{9ec204df-0e48-4c32-816e-2e928a4fd9c2}"= "mscoree.dll" [2009-11-06 297808]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
.
[HKEY_CLASSES_ROOT\clsid\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}]
[HKEY_CLASSES_ROOT\IEToolbar.Toolbar]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-07-17 279944]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2010-09-25 2735200]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 68856]
"AdobeUpdater"="c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2008-12-24 2356088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Device Detector"="DevDetect.exe -autorun" [X]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2005-07-25 241664]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-06-06 69632]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-10-31 385024]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-10-26 212992]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=xgusb.cpl
"midi2"=xgusb.cpl
"midi3"=xgusb.cpl
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avguard.exe]
"Debugger"=ntsd -d
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avscan.exe]
"Debugger"=ntsd -d
.
[HKLM\~\startupfolder\C:^Documents and Settings^fabrice^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk]
path=c:\documents and settings\fabrice\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-05 03:00 110592 ------w- c:\windows\system32\bthprops.cpl
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2005-01-23 08:31 126976 ------w- c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2005-01-23 08:36 155648 ------w- c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\isqghdwugcvgm]
c:\windows\system32\pnvcunnajt.dll [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-05 03:00 455168 ------w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-05 03:00 455168 ------w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
g:\telechargement\qttask.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2003-10-14 08:22 155648 ----a-r- c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-07-17 18:22 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\usmt\\migwiz.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"Windows Update System"= c:\documents and settings\fabrice\Application Data\taskeng.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18/04/2007 17:31 721904]
R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [30/11/2006 21:57 33824]
R2 port_nt;port_nt;c:\windows\system32\drivers\port_nt.sys [01/04/2006 07:59 3608]
R2 WDDMService;WD SmartWare Drive Manager;c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [13/11/2009 11:28 110592]
R2 WDSmartWareBackgroundService;WD SmartWare Background Service;c:\program files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [16/06/2009 08:58 20480]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [01/01/2009 14:07 33792]
S1 mailKmd;mailKmd; [x]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/02/2010 22:52 108289]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/01/2010 18:48 135664]
S3 DOSMEMIO;MEMIO;\??\e:\memio.sys --> e:\MEMIO.SYS [?]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [26/07/2008 08:34 21344]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [25/12/2009 10:33 17408]
S3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [29/03/2006 21:48 2343]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [11/08/2010 10:07 11520]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-26 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-03 04:08]
.
2011-04-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 16:48]
.
2011-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 16:48]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.babylon.com/home?AF=7773
uDefault_Search_URL = hxxp://www.durable.com/recherche
uSearchMigratedDefaultURL = hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
mStart Page = hxxp://fr.yahoo.com
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.durable.com/recherche
uSearchURL,(Default) = hxxp://www.durable.com/recherche
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - d:\office12\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?90853a01efa54c7abcac4be1ddc092b2
IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?90853a01efa54c7abcac4be1ddc092b2
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
FF - ProfilePath - c:\documents and settings\fabrice\Application Data\Mozilla\Firefox\Profiles\y561b126.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://utils.babylon.com/abt/index.php?url=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\program files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-AmazingMIDI - g:\telech~1\AMAZIN~1\UNWISE.EXE
AddRemove-FastStone Image Viewer - g:\telechargement\FastStone Image Viewer\uninst.exe
AddRemove-PhotomatixPro3_is1 - g:\telechargement\PhotomatixPro3\unins000.exe
AddRemove-Steinberg Cubase SX v3.0.2.623 - g:\logici~1\CUBASE~1\UNWISE.EXE
AddRemove-UVI Workstation_is1 - g:\cd de demo\UVI Workstation\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-26 19:14
Windows 5.1.2600 Service Pack 2 FAT NTAPI
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1702589291-2716205707-857401903-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-1702589291-2716205707-857401903-1005\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (S-1-5-21-1702589291-2716205707-857401903-1005)
@Allowed: (Read) (S-1-5-21-1702589291-2716205707-857401903-1005)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Heure de fin: 2011-04-26 19:18:54
ComboFix-quarantined-files.txt 2011-04-26 17:18
.
Avant-CF: 1 233 059 840 octets libres
Après-CF: 1 289 551 872 octets libres
.
Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 5DD761936637C68D5AF0ADBC2F843CD1
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Utilisateur anonyme
26 avril 2011 à 20:39
Re

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|
-----------------------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------


FCopy::
C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe | C:\WINDOWS\system32\winlogon.exe
c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe | c:\windows\explorer.exe


-----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes

* Fais un glisser/déposer de ce fichier CFScript sur le fichier asdehi.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses