Rogue Windows Recovery

Coco -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,

J'ai récemment subi les méfaits de Windows Recovery sur mon autre ordi portable (Vista 32 bits) qui soit dit en passant avait déjà chopé Windows Alert Security (ou quelque chose comme ça).
J'ai donc lancé RogueKiller en mode 2 et 6 (plusieurs fois), a priori le rogue ne se lance plus, mais il apparaissait encore dans certains répértoires, j'ai donc supprimé les fichiers que j'ai reconnu comme lui étant associé par contre je ne sais pas si j'ai tout trouvé. Je ne pense pas puisque tous mes raccourcis bureau ne sont pas revenus, ainsi que ceux de la barre de lancement rapide.
De plus, je ne peux accéder a certains fichiers de mon ordi, il semblerait que je ne soit pas reconnu en tant qu'administrateur.

Quelqu'un aurrait il une solution s'il vous plait?

Merci d'avance

39 réponses

  • 1
  • 2
Résumé de la discussion

La problématique centrale est une infection Windows Recovery et des éléments malveillants sur un PC Windows Vista 32 bits, associant RogueKiller et des droits administratifs limités. Des traces persistantes apparaissent dans les rapports, avec des fichiers et dossiers liés à RogueKiller, des éléments de démarrage et des entrées de registre, suggérant une contamination résiduelle qui peut bloquer l'accès à certains fichiers. Plusieurs éléments recommandent l'utilisation d'outils de décontamination tels que ComboFix et RogueKiller, et de vérifier les programmes au démarrage ou les extensions de navigateur et les paramètres de sécurité. En cas de doute, l'examen des éléments de démarrage et des services, ainsi que l'identification des clés de registre associées, peut nécessiter une analyse plus approfondie sur une machine isolée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    envoie les rapports de RogueKiller

    ---

    Télécharger et enregistrer sur le bureau
    Combofix

    =Desactiver l'antivirus
    =Double-clic sur Combofix
    = Presser 1 si demandé
    = Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
    =Copier/coller le rapport dans la réponse
    Un rapport dans C:\Combofix.txt à mettre dans la réponse
    Réactiver l'antivirus
    0
  2. coco
     
    RogueKiller V5.0.0 [30/04/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Cécilia [Droits d'admin]
    Mode: Suppression -- Date : 02/05/2011 11:06:36

    Processus malicieux: 1
    [APPDT/TMP/DESKTOP] DAT427C.tmp.exe -- c:\users\cécilia\appdata\local\temp\dat427c.tmp.exe -> KILLED

    Entrees de registre: 1
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : DAT427C.tmp.exe (C:\Users\CCILIA~1\AppData\Local\Temp\DAT427C.tmp.exe) -> DELETED

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      ok, la suite
      0
  3. coco
     
    j'arrive pas à te l'envoyer sur le site là pfff
    ça veut pas c'est peut-être trop long
    comment faire ?
    0
  4. coco
     
    ComboFix 11-05-01.02 - Cécilia 02/05/2011 11:28:46.2.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2038.1223 [GMT 2:00]
    Lancé depuis: c:\users\Cécilia\Downloads\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
    SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\program files\BarDiscover
    c:\program files\BarDiscover\bardiscover.dll
    c:\program files\BarDiscover\uninstall.exe
    c:\program files\Mozilla Firefox\extensions\{AC57FCAF-E6FC-4BE9-ADC0-D00129C4C1E7}
    c:\program files\Mozilla Firefox\extensions\{AC57FCAF-E6FC-4BE9-ADC0-D00129C4C1E7}\chrome.manifest
    c:\program files\Mozilla Firefox\extensions\{AC57FCAF-E6FC-4BE9-ADC0-D00129C4C1E7}\defaults\preferences\prefs.js
    c:\program files\Mozilla Firefox\plugins\npclntax_HotbarSA.dll
    c:\program files\ShoppingReport2
    c:\program files\ShoppingReport2\Uninst.exe
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\About Hotbar.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Customer Support Center.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Games!.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Uninstall Instructions.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Videos!.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Reset Cursor.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Weather.lnk
    c:\programdata\xp
    c:\programdata\xp\EBLib.dll
    c:\programdata\xp\TPwSav.sys
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. coco
     
    Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\ERDNT\cache\userinit.exe
    .
    Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-04-02 au 2011-05-02 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-05-02 09:43 . 2011-05-02 09:45 -------- d-----w- c:\users\Cécilia\AppData\Local\temp
    2011-05-02 09:43 . 2011-05-02 09:43 -------- d-----w- c:\users\Public\AppData\Local\temp
    2011-05-02 09:43 . 2011-05-02 09:43 -------- d-----w- c:\users\Default\AppData\Local\temp
    2011-05-02 09:43 . 2011-05-02 09:43 -------- d-----w- c:\users\CCILIA~2\AppData\Local\temp
    2011-05-02 09:06 . 2011-04-10 09:26 38912 ----a-w- c:\program files\Mozilla Firefox\RK_Quarantine\DAT427C.tmp.exe.vir
    2011-05-02 08:24 . 2011-04-18 17:17 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
    2011-05-02 08:23 . 2011-04-18 17:25 40112 ----a-w- c:\windows\avastSS.scr
    2011-05-02 08:23 . 2011-04-18 17:25 199304 ----a-w- c:\windows\system32\asw2D85.tmp
    2011-05-02 08:20 . 2011-03-03 14:56 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
    2011-05-02 08:20 . 2011-03-03 13:01 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
    2011-05-02 08:01 . 2011-04-11 07:04 7071056 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{38E5597B-B86B-4123-8797-6FFB791EB897}\mpengine.dll
    2011-05-01 23:22 . 2011-05-01 23:22 0 ---ha-w- c:\users\Cécilia\AppData\Local\BIT60C.tmp
    2011-05-01 11:23 . 2011-05-01 11:23 -------- d-----w- c:\program files\AVAST Software
    2011-05-01 11:22 . 2011-05-01 11:22 -------- d-----w- c:\programdata\AVAST Software
    2011-05-01 10:29 . 2011-05-01 11:20 -------- d-----w- c:\program files\GridinSoft Trojan Killer
    2011-05-01 09:32 . 2011-05-01 09:32 -------- d-----w- c:\program files\Enigma Software Group
    2011-05-01 08:58 . 2011-05-01 08:58 -------- d-----w- c:\program files\Ad-Remover
    2011-05-01 08:42 . 2011-05-01 08:42 512 ----a-w- C:\PhysicalDisk0_MBR.bin
    2011-04-12 22:32 . 2011-03-10 16:12 1136640 ----a-w- c:\windows\system32\mfc42.dll
    2011-04-12 22:32 . 2011-03-10 16:12 1161728 ----a-w- c:\windows\system32\mfc42u.dll
    2011-04-12 22:32 . 2011-02-18 13:31 304640 ----a-w- c:\windows\system32\drivers\srv.sys
    2011-04-12 22:32 . 2011-02-18 13:31 146432 ----a-w- c:\windows\system32\drivers\srv2.sys
    2011-04-12 22:32 . 2011-02-18 13:31 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys
    2011-04-12 22:32 . 2011-03-02 14:49 86528 ----a-w- c:\windows\system32\dnsrslvr.dll
    2011-04-12 22:32 . 2009-05-04 10:11 25088 ----a-w- c:\windows\system32\dnscacheugc.exe
    2011-04-12 22:32 . 2011-03-03 12:53 2040832 ----a-w- c:\windows\system32\win32k.sys
    2011-04-12 22:32 . 2011-03-03 15:00 738816 ----a-w- c:\windows\system32\inetcomm.dll
    2011-04-12 22:30 . 2011-03-03 10:49 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
    2011-04-07 18:23 . 2011-04-22 12:05 -------- d-----w- c:\program files\Microsoft Silverlight
    .
    0
  7. coco
     
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-05-01 23:22 . 2011-05-01 23:22 0 ---ha-w- c:\users\Cécilia\AppData\Local\BIT60C.tmp
    2011-05-01 23:22 . 2011-05-01 23:22 0 ---ha-w- c:\users\Cécilia\AppData\Local\BIT60C.tmp
    2011-03-03 14:56 . 2011-05-02 08:20 173056 ----a-w- c:\windows\apppatch\AcXtrnal.dll
    2011-03-03 14:56 . 2011-05-02 08:20 459776 ----a-w- c:\windows\apppatch\AcSpecfc.dll
    2011-03-03 14:56 . 2011-05-02 08:20 2153984 ----a-w- c:\windows\apppatch\AcGenral.dll
    2011-03-03 14:56 . 2011-05-02 08:20 541696 ----a-w- c:\windows\apppatch\AcLayers.dll
    2011-02-24 20:06 . 2011-02-24 20:06 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
    2011-02-02 16:11 . 2009-10-30 20:06 222080 ------w- c:\windows\system32\MpSigStub.exe
    2009-08-20 09:03 . 2009-08-20 09:03 9817600 ----a-w- c:\program files\openofficeorg31.msi
    2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe
    2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
    2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2011-04-18 17:25 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
    "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2006-11-13 413696]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-03 39408]
    "Connexion SFR 9props.exe"="c:\program files\Neuf\Kit\9props.exe" [2009-10-15 959808]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HWSetup"="\HWSetup.exe hwSetUP" [X]
    "KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
    "SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 4702208]
    "NDSTray.exe"="NDSTray.exe" [BU]
    "topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
    "Skytel"="Skytel.exe" [2007-08-03 1826816]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-20 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-20 154136]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-20 129560]
    "Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-04-10 413696]
    "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-11 180224]
    "Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
    "Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-04-18 3460784]
    0
  8. coco
     
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001
    .
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 135664]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 135664]
    R3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys [x]
    R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
    R4 CplIR;Embedded IR Driver;c:\windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848]
    S1 aswSnx;aswSnx; [x]
    S1 aswSP;aswSP; [x]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2008-07-19 51280]
    S2 VodafoneConnectorService;Vodafone Connector Service;c:\program files\Vodafone\Via The Phone\VodafoneConnectorService.exe [2009-08-12 233472]
    S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys [2009-06-19 12032]
    S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys [2009-06-19 10496]
    S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys [2009-06-19 12928]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 15:47]
    .
    2011-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 15:47]
    0
  9. coco
     
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
    FF - ProfilePath - c:\users\Cécilia\AppData\Roaming\Mozilla\Firefox\Profiles\jpsd8tkd.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
    FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    0
  10. coco
     
    bon et là même en coupant ça veut plus poster
    0
  11. coco
     
    FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\programdata\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
    0
  12. coco
     
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    0
  13. coco
     
    FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
    FF - user.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
    FF - user.js: yahoo.homepage.dontask - true
    .
    0
  14. coco
     
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    HKLM-Run-TPwrMain - %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
    HKLM-Run-HSON - %ProgramFiles%\TOSHIBA\TBS\HSON.exe
    HKLM-Run-SmoothView - %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
    HKLM-Run-00TCrdMain - %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
    HKLM-Run-Malwarebytes Anti-Malware (reboot) - c:\program files\Malwarebytes' Anti-Malware\mbam.exe
    AddRemove-BarDiscover - c:\program files\BarDiscover\uninstall.exe
    0
  15. coco
     
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-05-02 11:45
    Windows 6.0.6001 Service Pack 1 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i?????p_8S?A??8???'????????????
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    0
  16. coco
     
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    0
  17. coco
     
    Autres processus actifs ------------------------
    .
    c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
    c:\program files\AVAST Software\Avast\AvastSvc.exe
    c:\windows\system32\agrsmsvc.exe
    c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
    c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    c:\program files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
    c:\windows\system32\TODDSrv.exe
    c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
    c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    c:\windows\system32\conime.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\windows\servicing\TrustedInstaller.exe
    c:\program files\Windows Media Player\wmpnscfg.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-05-02 11:56:54 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-05-02 09:56
    ComboFix2.txt 2010-02-28 19:58
    .
    Avant-CF: 13 273 374 720 octets libres
    Après-CF: 13 354 143 744 octets libres
    .
    - - End Of File - - FBE82896BBD308FAF7262F02C1895B28
    0
  18. coco
     
    Voilà !!!
    Ce matin avant de faire toutes ces manip j'ai fais une restauration système antérieure à la date de mon problème.
    J'espère qu'il n'y a plus de soucis là tu me diras.
    J'ai quand même une question j'ai téléchargé le dernier avast et il fonctionne faut que quans je l'ouvre ça me met que mes mails ne sont pas protégés et qu'un agent de fonctionne pas. Quand je clique sur activer il ne se passe rien et j'ai bien fais tous les trucs dans mon pare feu pour qu'il accepte avast.
    une idée de ce qui se passe ?

    Merci infiniment de ton aide en tout cas
    0
  19. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    oula, tout ça.

    Pourquoi avoir restauré? Combofix avait nettoyé l'infection!
    0
  20. coco
     
    j'ai restauré avant de lancer combo !

    donc là c'est bon mon pc est clean ?????? et comment je fais pour avast ?
    0
  21. coco
     
    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 6493

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 8.0.6001.19048

    02/05/2011 23:14:17
    mbam-log-2011-05-02 (23-14-17).txt

    Type d'examen: Examen complet (C:\|E:\|F:\|)
    Elément(s) analysé(s): 298445
    Temps écoulé: 1 heure(s), 40 minute(s), 18 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    0
  • 1
  • 2