W32 blaster worm??
natura
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Mon ordi a depuis quelques jours un virus. Ca a commencé par me bloquer toutes les applications, en ouvrant l'antivirus windows de facon intempestive. J'ai suite à ca téléchargé sur un autre ordi avast, malwarebytes, fixblast, et le patch windows qu'ils donnent dans d'autres forums pour ce virus. Avast détecte des virus, mais je les supprime à chaque scan et ça ne change rien (les virus qu'il trouve ont tous les noms des programmes nommés ci-après, j'imagine donc que c'est plus de l'incompatibilité entre différents antivirus qu'il détecte). Malwarebytes ne détecte rien, fixblast non plus, et le patch windows ne s'installe pas (je suis sous vista, il correspond peut être à des versions antérieures de windows? Il me signale une version incompatible). Maintenant, le demarrage se fait et atterri sur un ecran bleu, erreur 0X0000007F. Je démarre en mode sans échec.
Si quelqu'un pouvait m'aider ça serait chouette, je suis assez nulle en info et ai vraiment besoin des docs non sauvegardés ailleurs...
Merci d'avance
Mon ordi a depuis quelques jours un virus. Ca a commencé par me bloquer toutes les applications, en ouvrant l'antivirus windows de facon intempestive. J'ai suite à ca téléchargé sur un autre ordi avast, malwarebytes, fixblast, et le patch windows qu'ils donnent dans d'autres forums pour ce virus. Avast détecte des virus, mais je les supprime à chaque scan et ça ne change rien (les virus qu'il trouve ont tous les noms des programmes nommés ci-après, j'imagine donc que c'est plus de l'incompatibilité entre différents antivirus qu'il détecte). Malwarebytes ne détecte rien, fixblast non plus, et le patch windows ne s'installe pas (je suis sous vista, il correspond peut être à des versions antérieures de windows? Il me signale une version incompatible). Maintenant, le demarrage se fait et atterri sur un ecran bleu, erreur 0X0000007F. Je démarre en mode sans échec.
Si quelqu'un pouvait m'aider ça serait chouette, je suis assez nulle en info et ai vraiment besoin des docs non sauvegardés ailleurs...
Merci d'avance
A voir également:
- W32 blaster worm??
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Mru blaster - Télécharger - Confidentialité
- W32.malware.gen - Forum Virus
- Détection d'un virus Win32.Malware.gen ✓ - Forum Virus
- Alerte Win32:MalwareX-gen [Trj] à chaque démarrage de l'ordinateur - Forum Virus
51 réponses
redémarre le PC.
refais ComboFix.
L'avais tu renommé AVANT qu'il n'arrive sur ton bureau ?
Il t'a informé que ton pc était infesté de ZAccess quand tu l'as lancé ?
refais ComboFix.
L'avais tu renommé AVANT qu'il n'arrive sur ton bureau ?
Il t'a informé que ton pc était infesté de ZAccess quand tu l'as lancé ?
d'ailleurs, je n'ai toujours pas répondu à la question:
l'application a généré une exception non gérée
ID de processus=0x934(2356), ID de thread=0x938(2360)
cliquer sur ok pr terminer l'application
cliquer sur annuler pour déboguer l'application
l'application a généré une exception non gérée
ID de processus=0x934(2356), ID de thread=0x938(2360)
cliquer sur ok pr terminer l'application
cliquer sur annuler pour déboguer l'application
je l'avais nommé tout juste en le téléchargeant. et il m'avait informé que mon pc était infesté, de quoi je ne peux pas dire exactement je n'ai pas été assez attentive... Désolée...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
alors en redémarrant il me laisse ouvrir le rapport, et j'ai redémarré combofix:
ComboFix 11-09-08.03 - Natura 08/09/2011 20:49:16.1.2 - x86
Microsoft Windows+7 ...dition IntÈgrale 6.1.7600.0.1252.33.1036.18.2046.1483 [GMT 2:00]
LancÈ depuis: c:\users\Natura\Desktop\natura.exe
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a ÈtÈ crÈÈ
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\users\Natura\AppData\Local\bqtgrqcc.log
c:\users\Natura\AppData\Local\cnjypxfv.log
c:\users\Natura\AppData\Local\fjhqbmla.log
c:\users\Natura\AppData\Local\mpnwpgch.log
c:\users\Natura\AppData\Local\oletciky.log
c:\users\Natura\AppData\Local\swwjhohw.log
c:\users\Natura\winrar-393fr-01net.exe
c:\windows\$NtUninstallKB34111$
c:\windows\$NtUninstallKB34111$\227505999\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
c:\windows\$NtUninstallKB34111$\227505999\L\xadqgnnk
c:\windows\$NtUninstallKB34111$\6900854
c:\windows\system32\c_43085.nls
.
Une copie infectÈe de c:\windows\system32\drivers\tdx.sys a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - The cat found it :)
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe . . . est infectÈ!!
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe . . . was deleted!! You should re-install the program it pertains to
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
-------\Service_d8f774f
.
.
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2011-08-08 au 2011-09-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-08 19:00 . 2011-09-08 19:02 -------- d-----w- c:\users\Natura\AppData\Local\temp
2011-09-08 19:00 . 2011-09-08 19:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-09-08 18:47 . 2011-09-08 18:22 74240 ----a-w- c:\windows\system32\drivers\tdx.sys
2011-09-08 18:23 . 2011-09-08 18:23 43408 --sha-w- c:\windows\system32\c_43085.nl_
2011-09-06 19:46 . 2011-09-07 18:12 -------- d-----w- c:\users\Natura\AppData\Local\ElevatedDiagnostics
2011-09-06 13:48 . 2011-09-08 18:40 -------- d-----w- c:\programdata\AVAST Software
2011-09-06 13:48 . 2011-09-06 13:48 -------- d-----w- c:\program files\AVAST Software
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\users\Natura\AppData\Roaming\Malwarebytes
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\programdata\Malwarebytes
2011-09-05 22:51 . 2011-09-08 06:16 -------- d-----w- c:\users\Natura\AppData\Local\NPE
2011-09-05 22:51 . 2011-09-06 12:19 -------- d-----w- c:\programdata\Norton
2011-09-01 10:06 . 2011-09-01 10:06 4194304 ----a-w- c:\windows\system32\xadqgnnk.dll
2011-09-01 09:54 . 2011-09-06 20:34 -------- d-----w- c:\programdata\iB04903DaEmB04903
2011-09-01 09:42 . 2011-09-06 12:55 -------- d-----w- c:\users\Natura\AppData\Local\qsuokrgs
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-16 04:38 . 2011-06-25 08:28 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
c:\users\Natura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:2451d56e0
.
R3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 NETwLv32; Pilote de carte de la sÈrie Intel(R) Wireless WiFi Link 5000 pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETwLv32.sys [2010-10-07 6639616]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
TCP: DhcpNameServer = 193.54.188.33
FF - ProfilePath - c:\users\Natura\AppData\Roaming\Mozilla\Firefox\Profiles\5dwvyqtg.default\
FF - prefs.js: browser.search.selectedEngine - Creative Commons
FF - prefs.js: browser.startup.homepage - google.fr
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-uTorrent - c:\program files\uTorrent\uTorrent.exe
HKLM-Run-Malwarebytes' Anti-Malware (reboot) - c:\program files\Malwarebytes' Anti-Malware\mbam.exe
SafeBoot-58645097.sys
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2011-09-08 21:05:57 - La machine a redÈmarrÈ
ComboFix-quarantined-files.txt 2011-09-08 19:05
.
Avant-CF: 58+332+250+112 octets libres
AprËs-CF: 58+393+665+536 octets libres
.
- - End Of File - - 66B76C93CC654FAE64215A1ADB674098
ComboFix 11-09-08.03 - Natura 08/09/2011 20:49:16.1.2 - x86
Microsoft Windows+7 ...dition IntÈgrale 6.1.7600.0.1252.33.1036.18.2046.1483 [GMT 2:00]
LancÈ depuis: c:\users\Natura\Desktop\natura.exe
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a ÈtÈ crÈÈ
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\users\Natura\AppData\Local\bqtgrqcc.log
c:\users\Natura\AppData\Local\cnjypxfv.log
c:\users\Natura\AppData\Local\fjhqbmla.log
c:\users\Natura\AppData\Local\mpnwpgch.log
c:\users\Natura\AppData\Local\oletciky.log
c:\users\Natura\AppData\Local\swwjhohw.log
c:\users\Natura\winrar-393fr-01net.exe
c:\windows\$NtUninstallKB34111$
c:\windows\$NtUninstallKB34111$\227505999\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
c:\windows\$NtUninstallKB34111$\227505999\L\xadqgnnk
c:\windows\$NtUninstallKB34111$\6900854
c:\windows\system32\c_43085.nls
.
Une copie infectÈe de c:\windows\system32\drivers\tdx.sys a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - The cat found it :)
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe . . . est infectÈ!!
c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe . . . was deleted!! You should re-install the program it pertains to
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
-------\Service_d8f774f
.
.
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2011-08-08 au 2011-09-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-08 19:00 . 2011-09-08 19:02 -------- d-----w- c:\users\Natura\AppData\Local\temp
2011-09-08 19:00 . 2011-09-08 19:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-09-08 18:47 . 2011-09-08 18:22 74240 ----a-w- c:\windows\system32\drivers\tdx.sys
2011-09-08 18:23 . 2011-09-08 18:23 43408 --sha-w- c:\windows\system32\c_43085.nl_
2011-09-06 19:46 . 2011-09-07 18:12 -------- d-----w- c:\users\Natura\AppData\Local\ElevatedDiagnostics
2011-09-06 13:48 . 2011-09-08 18:40 -------- d-----w- c:\programdata\AVAST Software
2011-09-06 13:48 . 2011-09-06 13:48 -------- d-----w- c:\program files\AVAST Software
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\users\Natura\AppData\Roaming\Malwarebytes
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\programdata\Malwarebytes
2011-09-05 22:51 . 2011-09-08 06:16 -------- d-----w- c:\users\Natura\AppData\Local\NPE
2011-09-05 22:51 . 2011-09-06 12:19 -------- d-----w- c:\programdata\Norton
2011-09-01 10:06 . 2011-09-01 10:06 4194304 ----a-w- c:\windows\system32\xadqgnnk.dll
2011-09-01 09:54 . 2011-09-06 20:34 -------- d-----w- c:\programdata\iB04903DaEmB04903
2011-09-01 09:42 . 2011-09-06 12:55 -------- d-----w- c:\users\Natura\AppData\Local\qsuokrgs
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-16 04:38 . 2011-06-25 08:28 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
c:\users\Natura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:2451d56e0
.
R3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 NETwLv32; Pilote de carte de la sÈrie Intel(R) Wireless WiFi Link 5000 pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETwLv32.sys [2010-10-07 6639616]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
TCP: DhcpNameServer = 193.54.188.33
FF - ProfilePath - c:\users\Natura\AppData\Roaming\Mozilla\Firefox\Profiles\5dwvyqtg.default\
FF - prefs.js: browser.search.selectedEngine - Creative Commons
FF - prefs.js: browser.startup.homepage - google.fr
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-uTorrent - c:\program files\uTorrent\uTorrent.exe
HKLM-Run-Malwarebytes' Anti-Malware (reboot) - c:\program files\Malwarebytes' Anti-Malware\mbam.exe
SafeBoot-58645097.sys
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2011-09-08 21:05:57 - La machine a redÈmarrÈ
ComboFix-quarantined-files.txt 2011-09-08 19:05
.
Avant-CF: 58+332+250+112 octets libres
AprËs-CF: 58+393+665+536 octets libres
.
- - End Of File - - 66B76C93CC654FAE64215A1ADB674098
et deuxième rapport, sans problèmes celui-ci:
ComboFix 11-09-08.03 - Natura 08/09/2011 21:23:55.2.2 - x86
Microsoft Windows+7 ...dition IntÈgrale 6.1.7600.0.1252.33.1036.18.2046.1344 [GMT 2:00]
LancÈ depuis: c:\users\Natura\Desktop\natura.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2011-08-08 au 2011-09-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-08 19:31 . 2011-09-08 19:31 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-09-08 19:00 . 2011-09-08 19:31 -------- d-----w- c:\users\Natura\AppData\Local\temp
2011-09-08 18:47 . 2011-09-08 18:22 74240 ----a-w- c:\windows\system32\drivers\tdx.sys
2011-09-08 18:23 . 2011-09-08 18:23 43408 --sha-w- c:\windows\system32\c_43085.nl_
2011-09-06 19:46 . 2011-09-07 18:12 -------- d-----w- c:\users\Natura\AppData\Local\ElevatedDiagnostics
2011-09-06 13:48 . 2011-09-08 18:40 -------- d-----w- c:\programdata\AVAST Software
2011-09-06 13:48 . 2011-09-06 13:48 -------- d-----w- c:\program files\AVAST Software
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\users\Natura\AppData\Roaming\Malwarebytes
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\programdata\Malwarebytes
2011-09-05 22:51 . 2011-09-08 06:16 -------- d-----w- c:\users\Natura\AppData\Local\NPE
2011-09-05 22:51 . 2011-09-06 12:19 -------- d-----w- c:\programdata\Norton
2011-09-01 10:06 . 2011-09-01 10:06 4194304 ----a-w- c:\windows\system32\xadqgnnk.dll
2011-09-01 09:54 . 2011-09-06 20:34 -------- d-----w- c:\programdata\iB04903DaEmB04903
2011-09-01 09:42 . 2011-09-06 12:55 -------- d-----w- c:\users\Natura\AppData\Local\qsuokrgs
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-16 04:38 . 2011-06-25 08:28 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
c:\users\Natura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:2451d56e0
.
R3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 NETwLv32; Pilote de carte de la sÈrie Intel(R) Wireless WiFi Link 5000 pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETwLv32.sys [2010-10-07 6639616]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
TCP: DhcpNameServer = 193.54.188.33
FF - ProfilePath - c:\users\Natura\AppData\Roaming\Mozilla\Firefox\Profiles\5dwvyqtg.default\
FF - prefs.js: browser.search.selectedEngine - Creative Commons
FF - prefs.js: browser.startup.homepage - google.fr
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargÈes dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(3860)
c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
.
Heure de fin: 2011-09-08 21:32:58
ComboFix-quarantined-files.txt 2011-09-08 19:32
ComboFix2.txt 2011-09-08 19:05
.
Avant-CF: 58+457+088+000 octets libres
AprËs-CF: 58+040+119+296 octets libres
.
- - End Of File - - 69493382C6234DD37BF88497725D61A4
ComboFix 11-09-08.03 - Natura 08/09/2011 21:23:55.2.2 - x86
Microsoft Windows+7 ...dition IntÈgrale 6.1.7600.0.1252.33.1036.18.2046.1344 [GMT 2:00]
LancÈ depuis: c:\users\Natura\Desktop\natura.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2011-08-08 au 2011-09-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-08 19:31 . 2011-09-08 19:31 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-09-08 19:00 . 2011-09-08 19:31 -------- d-----w- c:\users\Natura\AppData\Local\temp
2011-09-08 18:47 . 2011-09-08 18:22 74240 ----a-w- c:\windows\system32\drivers\tdx.sys
2011-09-08 18:23 . 2011-09-08 18:23 43408 --sha-w- c:\windows\system32\c_43085.nl_
2011-09-06 19:46 . 2011-09-07 18:12 -------- d-----w- c:\users\Natura\AppData\Local\ElevatedDiagnostics
2011-09-06 13:48 . 2011-09-08 18:40 -------- d-----w- c:\programdata\AVAST Software
2011-09-06 13:48 . 2011-09-06 13:48 -------- d-----w- c:\program files\AVAST Software
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\users\Natura\AppData\Roaming\Malwarebytes
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\programdata\Malwarebytes
2011-09-05 22:51 . 2011-09-08 06:16 -------- d-----w- c:\users\Natura\AppData\Local\NPE
2011-09-05 22:51 . 2011-09-06 12:19 -------- d-----w- c:\programdata\Norton
2011-09-01 10:06 . 2011-09-01 10:06 4194304 ----a-w- c:\windows\system32\xadqgnnk.dll
2011-09-01 09:54 . 2011-09-06 20:34 -------- d-----w- c:\programdata\iB04903DaEmB04903
2011-09-01 09:42 . 2011-09-06 12:55 -------- d-----w- c:\users\Natura\AppData\Local\qsuokrgs
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-16 04:38 . 2011-06-25 08:28 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
c:\users\Natura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:2451d56e0
.
R3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 NETwLv32; Pilote de carte de la sÈrie Intel(R) Wireless WiFi Link 5000 pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETwLv32.sys [2010-10-07 6639616]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
TCP: DhcpNameServer = 193.54.188.33
FF - ProfilePath - c:\users\Natura\AppData\Roaming\Mozilla\Firefox\Profiles\5dwvyqtg.default\
FF - prefs.js: browser.search.selectedEngine - Creative Commons
FF - prefs.js: browser.startup.homepage - google.fr
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargÈes dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(3860)
c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
.
Heure de fin: 2011-09-08 21:32:58
ComboFix-quarantined-files.txt 2011-09-08 19:32
ComboFix2.txt 2011-09-08 19:05
.
Avant-CF: 58+457+088+000 octets libres
AprËs-CF: 58+040+119+296 octets libres
.
- - End Of File - - 69493382C6234DD37BF88497725D61A4
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll::
Rootkit::
c:\windows\system32\c_43085.nl_
File::
c:\windows\system32\xadqgnnk.dll
Folder::
c:\programdata\iB04903DaEmB04903
c:\users\Natura\AppData\Local\qsuokrgs
DDS::
TCP: DhcpNameServer = 193.54.188.33
Firefox::
FF - prefs.js: browser.search.selectedEngine - Creative Commons
RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
FileLook::
c:\windows\system32\drivers\tdx.sys
Reboot::
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
mes protections ne sont pas désactivées? j'ai téléchargé avsremover, désinstallé MBAM et avast, et je n'avais rien avant comme protection
C'était suite à ta remarque "désactive tes protections". Je me demandais si j'avais bien fait tout le nécéssaire. Alors je viens de finir de recopier le script, des que j'ai le rapport je le poste...
Merci encore!
Merci encore!
je t ai dit laisse tomber ma procédure initiales (les étapes) et poste moi le dernier rapport de combofix suite au script :)
ComboFix 11-09-08.03 - Natura 08/09/2011 22:01:44.3.2 - x86
Microsoft Windows+7 ...dition IntÈgrale 6.1.7600.0.1252.33.1036.18.2046.1396 [GMT 2:00]
LancÈ depuis: c:\users\Natura\Desktop\natura.exe
Commutateurs utilisÈs :: c:\users\Natura\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\system32\xadqgnnk.dll"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\IB04903DaEmB04903
c:\programdata\IB04903DaEmB04903\iB04903DaEmB04903
c:\users\Natura\AppData\Local\qsuokrgs
c:\users\Natura\AppData\Local\qsuokrgs\yymbxrpg.exe
c:\windows\system32\xadqgnnk.dll
.
.
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2011-08-08 au 2011-09-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-08 20:07 . 2011-09-08 20:09 -------- d-----w- c:\users\Natura\AppData\Local\temp
2011-09-08 20:07 . 2011-09-08 20:07 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-09-08 18:47 . 2011-09-08 18:22 74240 ----a-w- c:\windows\system32\drivers\tdx.sys
2011-09-06 19:46 . 2011-09-07 18:12 -------- d-----w- c:\users\Natura\AppData\Local\ElevatedDiagnostics
2011-09-06 13:48 . 2011-09-08 18:40 -------- d-----w- c:\programdata\AVAST Software
2011-09-06 13:48 . 2011-09-06 13:48 -------- d-----w- c:\program files\AVAST Software
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\users\Natura\AppData\Roaming\Malwarebytes
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\programdata\Malwarebytes
2011-09-05 22:51 . 2011-09-08 06:16 -------- d-----w- c:\users\Natura\AppData\Local\NPE
2011-09-05 22:51 . 2011-09-06 12:19 -------- d-----w- c:\programdata\Norton
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-16 04:38 . 2011-06-25 08:28 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\drivers\tdx.sys ---
Company: Microsoft Corporation
File Description: TDI Translation Driver
File Version: 6.1.7600.16385 (win7_rtm.090713-1255)
Product Name: MicrosoftÆ WindowsÆ Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: tdx.sys
File size: 74240
Created time: 2011-09-08 18:47
Modified time: 2011-09-08 18:22
MD5: CB39E896A2A83702D1737BFD402B3542
SHA1: 8B529B5C51C7BD0E7C5A4FF6B0E7A64ABDE649CE
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
c:\users\Natura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:2451d56e0
.
R3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 NETwLv32; Pilote de carte de la sÈrie Intel(R) Wireless WiFi Link 5000 pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETwLv32.sys [2010-10-07 6639616]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
TCP: DhcpNameServer = 193.54.188.33
FF - ProfilePath - c:\users\Natura\AppData\Roaming\Mozilla\Firefox\Profiles\5dwvyqtg.default\
FF - prefs.js: browser.search.selectedEngine - Creative Commons
FF - prefs.js: browser.startup.homepage - google.fr
.
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2011-09-08 22:12:30 - La machine a redÈmarrÈ
ComboFix-quarantined-files.txt 2011-09-08 20:12
ComboFix2.txt 2011-09-08 19:32
ComboFix3.txt 2011-09-08 19:05
.
Avant-CF: 58+098+753+536 octets libres
AprËs-CF: 58+021+023+744 octets libres
.
- - End Of File - - 39941C532EC726B5F2DDD967FBA7CB08
Voila le rapport, par contre il continue de me mettre les mêmes messages d'erreur en ejectant le périphérique et en ouvrant les fichiers txt, et la même question a la fin du rapport
Microsoft Windows+7 ...dition IntÈgrale 6.1.7600.0.1252.33.1036.18.2046.1396 [GMT 2:00]
LancÈ depuis: c:\users\Natura\Desktop\natura.exe
Commutateurs utilisÈs :: c:\users\Natura\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\system32\xadqgnnk.dll"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\IB04903DaEmB04903
c:\programdata\IB04903DaEmB04903\iB04903DaEmB04903
c:\users\Natura\AppData\Local\qsuokrgs
c:\users\Natura\AppData\Local\qsuokrgs\yymbxrpg.exe
c:\windows\system32\xadqgnnk.dll
.
.
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2011-08-08 au 2011-09-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-08 20:07 . 2011-09-08 20:09 -------- d-----w- c:\users\Natura\AppData\Local\temp
2011-09-08 20:07 . 2011-09-08 20:07 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-09-08 18:47 . 2011-09-08 18:22 74240 ----a-w- c:\windows\system32\drivers\tdx.sys
2011-09-06 19:46 . 2011-09-07 18:12 -------- d-----w- c:\users\Natura\AppData\Local\ElevatedDiagnostics
2011-09-06 13:48 . 2011-09-08 18:40 -------- d-----w- c:\programdata\AVAST Software
2011-09-06 13:48 . 2011-09-06 13:48 -------- d-----w- c:\program files\AVAST Software
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\users\Natura\AppData\Roaming\Malwarebytes
2011-09-06 12:20 . 2011-09-06 12:20 -------- d-----w- c:\programdata\Malwarebytes
2011-09-05 22:51 . 2011-09-08 06:16 -------- d-----w- c:\users\Natura\AppData\Local\NPE
2011-09-05 22:51 . 2011-09-06 12:19 -------- d-----w- c:\programdata\Norton
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-16 04:38 . 2011-06-25 08:28 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\drivers\tdx.sys ---
Company: Microsoft Corporation
File Description: TDI Translation Driver
File Version: 6.1.7600.16385 (win7_rtm.090713-1255)
Product Name: MicrosoftÆ WindowsÆ Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: tdx.sys
File size: 74240
Created time: 2011-09-08 18:47
Modified time: 2011-09-08 18:22
MD5: CB39E896A2A83702D1737BFD402B3542
SHA1: 8B529B5C51C7BD0E7C5A4FF6B0E7A64ABDE649CE
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
c:\users\Natura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:2451d56e0
.
R3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 NETwLv32; Pilote de carte de la sÈrie Intel(R) Wireless WiFi Link 5000 pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETwLv32.sys [2010-10-07 6639616]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
TCP: DhcpNameServer = 193.54.188.33
FF - ProfilePath - c:\users\Natura\AppData\Roaming\Mozilla\Firefox\Profiles\5dwvyqtg.default\
FF - prefs.js: browser.search.selectedEngine - Creative Commons
FF - prefs.js: browser.startup.homepage - google.fr
.
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2011-09-08 22:12:30 - La machine a redÈmarrÈ
ComboFix-quarantined-files.txt 2011-09-08 20:12
ComboFix2.txt 2011-09-08 19:32
ComboFix3.txt 2011-09-08 19:05
.
Avant-CF: 58+098+753+536 octets libres
AprËs-CF: 58+021+023+744 octets libres
.
- - End Of File - - 39941C532EC726B5F2DDD967FBA7CB08
Voila le rapport, par contre il continue de me mettre les mêmes messages d'erreur en ejectant le périphérique et en ouvrant les fichiers txt, et la même question a la fin du rapport
excellent !
reprends la procédure à partir de Malwarebytes : https://forums.commentcamarche.net/forum/affich-23112393-w32-blaster-worm#3
je vais me coucher, je lirai tes réponses demain vers 6h !
bonne nuit !
reprends la procédure à partir de Malwarebytes : https://forums.commentcamarche.net/forum/affich-23112393-w32-blaster-worm#3
je vais me coucher, je lirai tes réponses demain vers 6h !
bonne nuit !
