Guard Online - Malware très corriace... Fermé

Question

Bonjour, 


J'ai de nouveau un problème avec mon ordinateur qui est victime de Guard Online, un malware classique qui se fait passer pour un logiciel de sécurité et qui m'a même désactivé avast, que je n'arrive pas à réactiver, le malware bloque tout.


J'ai essayé une multitude de programmes comme roguekiller, malwarebytes, trojankiller, etc. A chaque fois le même problème survient. Quand je veux exécuter l'outil de suppression de malware, il est mis" Windows ne parvient pas à accéder à ... Vous ne disposez peut être pas des autorisations nécessaires", même si je l'exécute en tant qu'administrateur. J'ai essayé un Rkill qui est sensé débloquer ça et rien n'y fait.

Mon Pc tourne sous Vista

Est ce qu'une bonne âme pourrait m'aider?

D'avance merci,

Ben



Configuration: Windows Vista / Firefox 7.0.1

BeFaX · Answer

Installes CCleaner et vas dans la partie Outils > Démarrage.
Ici se trouve la liste des processus lancés avec Windows, ton rogue est dans le tas.

Ben · Answer

Ok, mais comment est ce que je sais lequel est le rogue?

g3n-h@ckm@n · Answer

salut ne pas faire installer ccleaner sous rogue !

Ben · Answer

Voilà la liste de ce que ccleaner me donne





Oui	HKCU:Run	ctfmon.exe	C:\WINDOWS\system32\ctfmon.exe
Oui	HKCU:Run	SpybotSD TeaTimer	D:\Spybot - Search & Destroy\TeaTimer.exe
Oui	HKCU:Run	4Y3Y0C3AXF7XXHWDLDZVS	C:\Recycle.Bin\B6232F3A1AE.exe /q
Oui	HKLM:Run	avast	"C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
Oui	HKLM:Run	kibbD3ppnG48234A	C:\Windows\system32\BppmG55aQJ6WKfR.exe
Oui	HKLM:Run	U77fEL9gTZq8234A	C:\Windows\system32\sQH6sWKffL9TqjC.exe
Oui	HKLM:Run	jeOtPc1i2FHJ88234A	C:\Windows\system32\XQH66sWK7LgTjYw.exe
Oui	HKLM:Run	gtzzzNyAAuvDoF8234A	C:\Windows\system32\LmmHHW7ddgRqYw.exe
Oui	HKLM:Run	VmmmGG5aQJ6WfLh8234A	C:\Windows\system32\uIIBBrzPPNA1uSo.exe
Oui	HKLM:Run	ZHWLZwlxS34sLqk8234A	C:\Windows\system32\UBBrrzONyxAuv2F.exe
Oui	HKLM:Run	OOONtxAA0cS2bpG8234A	C:\Windows\system32\qUCk3n5Q7RLTqIr.exe
Oui	HKLM:Run	asQJ6dEK8R9Tw8234A	C:\Windows\system32\FBtzPNycAuDoFpG.exe
Oui	HKLM:Run	y6dEK8fZ9TjClB8234A	C:\Windows\system32\zzPNycA1u2b4m5Q.exe
Oui	HKLM:Run	gS2obF3pm5Q6W8R8234A	C:\Windows\system32\k8fZ9hTjClBzNAu.exe
Oui	HKLM:RunOnce	GrpConv	grpconv -o
Oui	Startup User	Adobe Media Player.lnk	C:\Program Files\Adobe Media Player\Adobe Media Player.exe
Oui	Startup User	Dropbox.lnk	C:\Users\Bureau\AppData\Roaming\Dropbox\bin\Dropbox.exe

g3n-h@ckm@n · Answer

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

Tigzy · Answer

Salut

Serait il possible d'avoir les rapports RogueKiller, il a peut être mal été utilisé

Ben · Answer

Voilà le rapport pre scan


http://www.cijoint.fr/cjlink.php?file=cj201110/cijwso1pMv.txt

http://www.cijoint.fr/cjlink.php?file=cj201110/cijwso1pMv.txt

g3n-h@ckm@n · Answer

desinstalle Spybot il sert à rien 
desinstalle adobe reader 8 
desinstalle FastBrowser / FastBrowsing 

========================================== 

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre 

Lance Pre_script , une page vierge va s'ouvrir. 

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : 
___________________________________________________ 
Kill:: 

Registry:: 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"4Y3Y0C3AXF7XXHWDLDZVS"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"kibbD3ppnG48234A"=- 
"U77fEL9gTZq8234A"=- 
"jeOtPc1i2FHJ88234A"=- 
"gtzzzNyAAuvDoF8234A"=- 
"VmmmGG5aQJ6WfLh8234A"=- 
"ZHWLZwlxS34sLqk8234A"=- 
"OOONtxAA0cS2bpG8234A"=- 
"asQJ6dEK8R9Tw8234A"=- 
"y6dEK8fZ9TjClB8234A"=- 
"gS2obF3pm5Q6W8R8234A"=- 
[-HKCU\Software\FBrowsingAdvisor]  
[-HKCU\Software\ibdmzie]       
[-HKCU\Software\NavigationTool] 
[-HKLM\Software\Trymedia Systems] 
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring]  
"DisableMonitoring"=DWORD:00000000      

file:: 
C:\Windows\system32\BppmG55aQJ6WKfR.exe               
C:\Windows\system32\sQH6sWKffL9TqjC.exe  
C:\Windows\system32\XQH66sWK7LgTjYw.exe 
C:\Windows\system32\LmmHHW7ddgRqYw.exe  
C:\Windows\system32\uIIBBrzPPNA1uSo.exe  
C:\Windows\system32\UBBrrzONyxAuv2F.exe   
C:\Windows\system32\qUCk3n5Q7RLTqIr.exe  
C:\Windows\system32\FBtzPNycAuDoFpG.exe  
C:\Windows\system32\zzPNycA1u2b4m5Q.exe   
C:\Windows\system32\k8fZ9hTjClBzNAu.exe 
C:\Windows\4054502721        
C:\Windows\iun6002.exe  
C:\Users\Bureau\AppData\Roaming\BwkUVelOzc1v2n4       
C:\Users\Bureau\AppData\Roaming\FA1vonF4pHsJ 
C:\Users\Bureau\AppData\Roaming\FQd8gRZXw       
C:\Users\Bureau\AppData\Roaming\GJ7dEK8gR9YwU  
C:\Users\Bureau\AppData\Roaming\gkUVelOt0c1v2n4       
C:\Users\Bureau\AppData\Roaming\lzP0ycA1iDoFpHs       
C:\Users\Bureau\AppData\Roaming\NgRZ9hYXwUe       
C:\Users\Bureau\AppData\Roaming\RUVelOt0c1v2n4m       
C:\Users\Bureau\AppData\Roaming\uqhYkrOBtPySvo4       
C:\Users\Bureau\AppData\Roaming\Z8ZqhrOBtPySa5W       
C:\ProgramData\46n72120udlo86hi1y7ln50173i50slc2dlyfu6ape36       
C:\ProgramData\yhv1jn7hoi64q242       
C:\Users\Bureau\AppData\Local\46n72120udlo86hi1y7ln50173i50slc2dlyfu6ape36       
C:\Users\Bureau\AppData\Local\Iradesolas.bin       
C:\Users\Bureau\AppData\Local\Iwaqaliroquqof.dat       
C:\Users\Bureau\AppData\Local\yhv1jn7hoi64q242  
C:\Windows\Tasks
xqhu.job       
C:\Program Files\*.html  
C:\Program Files\*.exe  

folder:: 
C:\Users\Bureau\AppData\Local\Temp\RarSFX0 
C:\Windows\D3F93A5A7A5D4867B2A16F46500D006C.TMP       
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMP3z     
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy     
C:\ProgramData\Spybot - Search & Destroy         
C:\Program Files\FBrowserAdvisor 
C:\Program Files\FBrowsingAdvisor 
C:\Program Files\NavigationTool     
C:\Program Files\Spybot - Search & Destroy          
      
ADS:: 
C:\ProgramData\TEMP 
C:\Windows\4054502721     
   
attrib::                                     
___________________________________________________ 

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail  

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ben · Answer

Bonjour,

J'ai de suivre essayé de suivre la procédure mais après le scan soit l'ordi redémarre, soit windows me dit que le programme a du terminer, donc pas de fichier .txt en résultat ( et je suis en mode sans échec)

Que faire?

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Ben · Answer

ComboFix 11-10-14.02 - Bureau 14/10/2011  12:42:52.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6000.0.1252.32.1036.18.2046.1127 [GMT -4:00]
Lancé depuis: D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\ComboFix.exe
 * Un nouveau point de restauration a été créé


((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\Internet Explorer\1380.tmp
C:\Program Files\Internet Explorer\46B0.tmp
C:\Program Files\Internet Explorer\CF7E.tmp
C:\ProgramData\Tarma Installer
C:\Recycle.Bin\B6232F3A1AE.exe
C:\Users\Bureau\AppData\Local\{4E33FBAF-D557-4B2A-ACA0-72E6113FF820}
C:\Users\Bureau\AppData\Local\{4E33FBAF-D557-4B2A-ACA0-72E6113FF820}\chrome.manifest
C:\Users\Bureau\AppData\Local\{4E33FBAF-D557-4B2A-ACA0-72E6113FF820}\chrome\content\_cfg.js
C:\Users\Bureau\AppData\Local\{4E33FBAF-D557-4B2A-ACA0-72E6113FF820}\chrome\content\overlay.xul
C:\Users\Bureau\AppData\Local\{4E33FBAF-D557-4B2A-ACA0-72E6113FF820}\install.rdf
C:\Users\Bureau\AppData\Roaming\3M
C:\Users\Bureau\AppData\Roaming\3M\PDNotes\PDNDB
C:\Users\Bureau\AppData\Roaming\3M\PDNotes\Subscriptions.config
C:\Users\Bureau\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Guard Online
C:\Users\Bureau\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlayMP3z
C:\Users\Bureau\AppData\Roaming\sDon4pH5sdgZwUe
C:\Users\Bureau\AppData\Roaming\sDon4pH5sdgZwUe\Guard Online .ico
C:\Users\Bureau\AppData\Roaming\ZgTZqYIltP1D
C:\Users\Bureau\AppData\Roaming\ZgTZqYIltP1D\Guard Online .ico
C:\Windows\System32\config\systemprofile\AppData\Roaming\AAAA1uuvS2ob3pG
C:\Windows\system32\config\systemprofile\AppData\Roaming\AAAA1uuvS2ob3pG\Guard Online .ico
C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Guard Online
C:\Windows\System32\config\systemprofile\AppData\Roaming9YVzOONtxAS2Dp
C:\Windows\System32\config\systemprofile\AppData\Roaming9YVzOONtxAS2Dp\Guard Online .ico
C:\Windows\System32\config\systemprofile\AppData\Roaming\vtttzPPyA1v2Fps
C:\Windows\System32\config\systemprofile\AppData\Roaming\vtttzPPyA1v2Fps\Guard Online .ico


(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_41cdaaf1


(((((((((((((((((((((((((((((   Fichiers créés du 2011-09-14 au 2011-10-14  ))))))))))))))))))))))))))))))))))))


2011-10-14 16:54:38 . 2011-10-14 17:01:32	--------	d-----w-	C:\Users\Bureau\AppData\Local	emp
2011-10-14 16:54:38 . 2011-10-14 16:54:38	--------	d-----w-	C:\Users\Default\AppData\Local	emp
2011-10-14 15:54:13 . 2006-11-02 08:57:10	66048	----a-w-	C:\Windows\system32\drivers\smb.sys
2011-10-14 11:59:14 . 2011-10-14 16:37:29	--------	d-----w-	C:\ProgramData\Spybot - Search & Destroy
2011-10-14 03:24:27 . 2011-10-14 03:24:27	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\wqjYCwkIVlNx0Sb
2011-10-14 03:24:27 . 2011-10-14 03:24:27	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\QnGH6sW79TjCkVl
2011-10-14 03:24:27 . 2011-10-14 03:24:27	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\QGH6sW79TjCkVlN
2011-10-14 03:24:27 . 2011-10-14 03:24:27	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\JGH6sW79TjCkVlN
2011-10-14 03:24:27 . 2011-10-14 03:24:27	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\IsWK7LTZq
2011-10-14 03:24:27 . 2011-10-14 03:24:27	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\HTZqjYCwkVlNx0
2011-10-14 03:24:27 . 2011-10-14 03:24:27	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\BW79TZjYCk
2011-10-14 03:23:53 . 2011-10-14 03:23:53	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\mIVtx0uinQ6W7E9
2011-10-14 03:23:52 . 2011-10-14 03:23:52	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\mIVOx0uDpGQ6W7E
2011-10-14 02:42:45 . 2011-10-14 02:42:46	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\XQJ7dEK8gZ
2011-10-14 02:37:28 . 2011-10-14 02:42:35	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\KfEL8gTZqYwUrOt
2011-10-14 02:37:28 . 2011-10-14 02:37:28	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\yP0ucS1ib3n4m6W
2011-10-14 02:37:28 . 2011-10-14 02:37:28	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\wcS1ibD3oGaHsJf
2011-10-14 02:37:28 . 2011-10-14 02:37:28	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\SucS1ibD3n4m6W7
2011-10-14 02:37:28 . 2011-10-14 02:37:28	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\kS1ibD3on4m6W7E
2011-10-14 02:37:28 . 2011-10-14 02:37:28	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\D8gTZhYCwUrOtPy
2011-10-14 02:37:28 . 2011-10-14 02:37:28	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\c0ucS1ibDoGaHsJ
2011-10-10 05:05:36 . 2011-10-10 05:05:36	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\WKK77fRRL
2011-10-10 05:05:26 . 2011-10-10 05:05:26	3042304	----a-w-	C:\Windows\system32\R33ppnG5aQH.exe
2011-10-10 05:05:26 . 2011-10-10 05:05:26	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\NrrrzOOyxA0uS2b
2011-10-10 05:05:02 . 2011-10-10 05:05:02	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\GQ6ddWK77R9gTqY
2011-10-10 05:05:01 . 2011-10-10 05:05:01	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\XBrrzzPNyx
2011-10-10 05:04:56 . 2011-10-10 05:04:56	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\JFG68hjlPASoFpG
2011-10-10 05:04:52 . 2011-10-10 05:04:52	3042304	----a-w-	C:\Windows\system32\Qpn5HdKfLgXjCk.exe
2011-10-10 05:04:51 . 2011-10-10 05:04:51	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\zvvSS2iib3
2011-10-10 05:04:47 . 2011-10-10 05:04:47	3042304	----a-w-	C:\Windows\system32\K0v2bpGaHWfLgqY.exe
2011-10-10 05:04:46 . 2011-10-10 05:04:46	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\bGaJdKfLTqUeIr
2011-10-10 05:04:40 . 2011-10-10 05:04:40	3042304	----a-w-	C:\Windows\system32\om5Q7E8RhwUlzcv.exe
2011-10-10 05:04:40 . 2011-10-10 05:04:40	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\bLgZhXUelOAi2n
2011-10-10 05:03:18 . 2011-10-10 05:03:18	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\Y22oF44pmGsQ6Kf
2011-10-10 05:03:18 . 2011-10-10 05:03:18	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\Q8ffRZZ9hTwUCl
2011-10-10 05:03:09 . 2011-10-10 05:03:09	3042304	----a-w-	C:\Windows\system32\HzzzPPNyxAuvSoF.exe
2011-10-10 05:03:08 . 2011-10-10 05:03:08	3042304	----a-w-	C:\Windows\system32\swwwjUeIzNc1v2b.exe
2011-10-10 05:03:08 . 2011-10-10 05:03:08	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\RoamingXXwwjUCelIB
2011-10-10 05:03:08 . 2011-10-10 05:03:08	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\GF44pmHH5sJE8RY
2011-10-10 01:03:37 . 2011-10-10 01:03:37	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\HXXqjjYCekI
2011-10-10 01:03:28 . 2011-10-10 01:03:28	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\V00iDpGaHsKf9Tq
2011-10-10 01:03:27 . 2011-10-10 01:03:27	3042304	----a-w-	C:\Windows\system32\d3n5HdKfLtA0.exe
2011-10-10 01:03:26 . 2011-10-10 01:03:26	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\SkkIBrONyxA0v2b
2011-10-10 01:03:07 . 2011-10-10 01:03:07	3042304	----a-w-	C:\Windows\system32\ZjjjUCCelIBrPNx.exe
2011-10-10 01:03:06 . 2011-10-10 01:03:06	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\a66EEK8fRZ9hX
2011-10-10 00:59:42 . 2011-10-10 00:59:42	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\HTTTXXwjUCe
2011-10-10 00:59:24 . 2011-10-10 00:59:24	3042304	----a-w-	C:\Windows\system32	yyxA0ub3n5Q6W7.exe
2011-10-10 00:59:24 . 2011-10-10 00:59:24	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\ObbRqqjUCeIrO
2011-10-09 20:37:36 . 2011-10-09 20:37:51	--------	d-----w-	C:\Program Files\CCleaner
2011-10-09 19:50:55 . 2011-10-09 19:50:55	110080	----a-r-	C:\Users\Bureau\AppData\Roaming\Microsoft\Installer\{D3F93A5A-7A5D-4867-B2A1-6F46500D006C}\IconF7A21AF7.exe
2011-10-09 19:50:55 . 2011-10-09 19:50:55	110080	----a-r-	C:\Users\Bureau\AppData\Roaming\Microsoft\Installer\{D3F93A5A-7A5D-4867-B2A1-6F46500D006C}\IconD7F16134.exe
2011-10-09 19:50:55 . 2011-10-09 19:50:55	110080	----a-r-	C:\Users\Bureau\AppData\Roaming\Microsoft\Installer\{D3F93A5A-7A5D-4867-B2A1-6F46500D006C}\IconCF33A0CE.exe
2011-10-09 19:50:34 . 2011-10-09 19:50:34	--------	d-----w-	C:\Program Files\Common Files\Wise Installation Wizard
2011-10-09 19:18:43 . 2011-10-09 19:19:50	--------	d-----w-	C:\Program Files\GridinSoft Trojan Killer
2011-10-09 14:58:47 . 2011-10-09 14:58:47	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\WbFpmG5aQ6Kf
2011-10-09 14:58:45 . 2011-10-09 14:58:45	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\lgRZqYXwUltc1vo
2011-10-09 14:58:45 . 2011-10-09 14:58:45	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\lgRqhYXwVlBzc1v
2011-10-09 14:58:26 . 2011-10-09 14:58:26	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\vsQJEK8RZhXjVlB
2011-10-09 14:58:26 . 2011-10-09 14:58:26	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\vH5sQJ7dKR9YwUe
2011-10-09 14:58:26 . 2011-10-09 14:58:26	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\BpmG5sQJ6E
2011-10-09 14:58:03 . 2011-10-09 14:58:03	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\vA1uvS2ob3m5Q6K
2011-10-09 14:56:23 . 2011-10-09 14:56:23	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\RrllOBBtxP0ySiD
2011-10-09 14:56:10 . 2011-10-09 14:56:10	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\H2FpHQ7dEK8ZhUe
2011-10-09 14:56:02 . 2011-10-09 14:56:02	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\kffRRL9hTXqjCk
2011-10-09 14:55:46 . 2011-10-09 14:55:46	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming
ppmG5d8fR9hXwU
2011-10-09 14:34:31 . 2011-10-09 14:34:31	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\FA1vonF4pHsJ
2011-10-09 14:34:30 . 2011-10-09 14:34:30	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\Z8ZqhrOBtPySa5W
2011-10-09 14:34:30 . 2011-10-09 14:34:30	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\uqhYkrOBtPySvo4
2011-10-09 14:34:17 . 2011-10-14 03:31:30	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\GJ7dEK8gR9YwU
2011-10-09 14:34:17 . 2011-10-09 14:34:17	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\lzP0ycA1iDoFpHs
2011-10-09 01:33:39 . 2011-10-09 01:33:39	41272	----a-w-	C:\Windows\system32\drivers\mbamswissarmy.sys
2011-10-09 01:33:08 . 2011-10-09 01:33:08	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\Malwarebytes
2011-10-09 01:32:59 . 2011-10-09 01:32:59	--------	d-----w-	C:\ProgramData\Malwarebytes
2011-10-09 01:32:53 . 2011-10-09 19:44:29	--------	d-----w-	C:\Program Files\Malwarebytes' Anti-Malware
2011-10-09 00:32:51 . 2011-10-14 03:31:33	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\RUVelOt0c1v2n4m
2011-10-09 00:32:51 . 2011-10-09 00:32:51	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\NgRZ9hYXwUe
2011-10-09 00:32:51 . 2011-10-09 00:32:51	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\gkUVelOt0c1v2n4
2011-10-09 00:32:51 . 2011-10-09 00:32:51	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\BwkUVelOzc1v2n4
2011-10-09 00:32:50 . 2011-10-09 00:32:50	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\FQd8gRZXw
2011-10-08 21:48:47 . 2011-10-08 21:48:47	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\aqqjYCeeIV
2011-10-08 21:48:10 . 2011-10-08 21:48:10	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\OtxxP0ycS1iDoF4
2011-10-08 21:45:14 . 2011-10-08 21:45:14	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\GTqYwIlNxPuSi3n
2011-10-08 21:44:34 . 2011-10-08 21:44:34	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\pVOt0cb3n
2011-10-08 21:28:40 . 2011-10-08 21:28:40	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming	hhTXqjUCe
2011-10-08 21:27:58 . 2011-10-08 21:27:58	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\yzzOONtA0uc2D3G
2011-10-08 21:25:24 . 2011-10-08 21:25:24	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\sYYYXkUVlOt0c1D
2011-10-08 21:25:00 . 2011-10-10 00:59:26	69120	----a-w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crss.exe
2011-10-08 21:24:47 . 2011-10-08 21:24:47	--------	d-----w-	C:\Windows\system32\config\systemprofile\AppData\Roaming\hyxxA1uuS2oF
2011-09-30 12:44:09 . 2011-09-30 12:44:24	--------	d-----r-	C:\Program Files\Skype
2011-09-28 03:10:04 . 2011-09-28 03:16:51	--------	d-----w-	C:\UsbFix
2011-09-27 15:12:42 . 2011-10-14 03:32:57	--------	d-----w-	C:\Kill'em
2011-09-27 01:28:59 . 2011-09-27 01:32:52	1244	----a-w-	C:\Windows\system32	mp.reg
2011-09-27 01:27:31 . 2009-06-02 15:17:27	75776	----a-w-	C:\Windows\system32\WS2Fix.exe
2011-09-27 01:27:31 . 2008-12-12 05:57:43	78336	----a-w-	C:\Windows\system32\Agent.OMZ.Fix.exe
2011-09-27 01:27:31 . 2008-11-29 22:58:21	82944	----a-w-	C:\Windows\system32\IEDFix.C.exe
2011-09-27 01:27:31 . 2008-10-01 19:51:40	87552	----a-w-	C:\Windows\system32\VACFix.exe
2011-09-27 01:27:31 . 2008-09-20 16:45:23	80384	----a-w-	C:\Windows\system32\o4Patch.exe
2011-09-27 01:27:31 . 2008-08-18 16:19:03	82432	----a-w-	C:\Windows\system32\404Fix.exe
2011-09-27 01:27:31 . 2008-05-19 01:40:35	82944	----a-w-	C:\Windows\system32\IEDFix.exe
2011-09-27 01:27:30 . 2007-09-06 04:22:23	289144	----a-w-	C:\Windows\system32\VCCLSID.exe
2011-09-27 01:27:30 . 2006-04-27 21:49:30	288417	----a-w-	C:\Windows\system32\SrchSTS.exe
2011-09-27 01:27:30 . 2004-07-31 22:50:36	51200	----a-w-	C:\Windows\system32\dumphive.exe
2011-09-27 01:27:30 . 2003-06-06 01:13:00	53248	----a-w-	C:\Windows\system32\Process.exe
2011-09-26 00:50:26 . 2011-09-06 20:37:53	320856	----a-w-	C:\Windows\system32\drivers\aswSP.sys
2011-09-26 00:50:26 . 2011-09-06 20:36:12	20568	----a-w-	C:\Windows\system32\drivers\aswFsBlk.sys
2011-09-26 00:50:25 . 2011-09-06 20:38:05	442200	----a-w-	C:\Windows\system32\drivers\aswSnx.sys
2011-09-26 00:50:25 . 2011-09-06 20:36:38	34392	----a-w-	C:\Windows\system32\drivers\aswRdr.sys
2011-09-26 00:50:25 . 2011-09-06 20:36:36	52568	----a-w-	C:\Windows\system32\drivers\aswTdi.sys
2011-09-26 00:50:24 . 2011-09-06 20:36:26	54616	----a-w-	C:\Windows\system32\drivers\aswMonFlt.sys
2011-09-26 00:49:54 . 2011-09-06 20:45:29	41184	----a-w-	C:\Windows\avastSS.scr
2011-09-26 00:49:53 . 2011-09-06 20:45:29	199304	----a-w-	C:\Windows\system32\aswBoot.exe
2011-09-26 00:49:23 . 2011-09-26 00:49:23	--------	d-----w-	C:\ProgramData\AVAST Software
2011-09-26 00:49:23 . 2011-09-26 00:49:23	--------	d-----w-	C:\Program Files\AVAST Software
2011-09-26 00:06:38 . 2011-09-26 00:06:40	--------	d-----w-	C:\ProgramData\NortonInstaller
2011-09-24 20:01:33 . 2011-10-14 17:01:09	--------	d-----r-	C:\Users\Bureau\Dropbox
2011-09-24 19:57:59 . 2011-10-14 17:01:29	--------	d-----w-	C:\Users\Bureau\AppData\Roaming\Dropbox
2011-09-21 13:35:54 . 2011-09-21 13:35:54	4566176	----a-w-	C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}\components\SkypeFfComponent.dll
.


((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))

2011-09-28 03:16:37 . 2011-09-28 03:16:05	160455604	----a-w-	C:\UsbFix_Upload_Me_PC.zip
2011-09-07 23:12:38 . 2011-09-07 23:12:38	0	----a-w-	C:\Windows\system32\config\systemprofile\AppData\Local\Iradesolas.bin
2008-04-15 19:08:27 . 2008-04-15 19:06:56	59782440	----a-w-	C:\Program Files\iTunesSetup.exe
2008-04-15 12:41:32 . 2008-04-15 12:38:29	6985136	----a-w-	C:\Program Files\MTW6.0cFra.exe
2008-03-31 15:19:10 . 2008-03-31 15:18:46	2228534	----a-w-	C:\Program Files\audacity-win-1.2.6.exe
2008-03-10 11:46:47 . 2008-03-10 11:46:38	9730800	----a-w-	C:\Program Files\vlc-0.8.6e-win32.exe
2007-01-14 13:24:32 . 2008-04-03 16:02:15	585728	----a-w-	C:\Program Files\lame.exe
2007-01-14 13:24:26 . 2008-04-03 16:02:15	524288	----a-w-	C:\Program Files\lame_enc.dll
2011-10-02 15:06:17 . 2011-03-31 11:29:16	134104	----a-w-	C:\Program Files\mozilla firefox\components\browsercomps.dll


(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 20:45:22	122512	----a-w-	C:\Program Files\AVAST Software\Avast\ashShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12:20	94208	----a-w-	C:\Users\Bureau\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12:20	94208	----a-w-	C:\Users\Bureau\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12:20	94208	----a-w-	C:\Users\Bureau\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12:20	94208	----a-w-	C:\Users\Bureau\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 19:31:16 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="C:\Program Files\AVAST Software\Avast\avastUI.exe" [2011-09-06 20:45:30 3722416]

C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
crss.exe [2011-10-9 69120]

C:\Users\Bureau\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Media Player.lnk - C:\Program Files\Adobe Media Player\Adobe Media Player.exe [N/A]
Dropbox.lnk - C:\Users\Bureau\AppData\Roaming\Dropbox\bin\Dropbox.exe [2011-9-1 24183152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\VESWinlogon]
2007-07-12 06:33:56	98304	----a-w-	C:\Windows\System32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate;Service Google Update (gupdate);C:\Program Files\Google\Update\GoogleUpdate.exe [2010-03-11 10:47:07 135664]
R2 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2007-07-05 18:12:52 292152]
R3 BBSvc;Bing Bar Update Service;C:\Program Files\Microsoft\BingBar\BBSvc.EXE [2011-07-07 23:31:08 195336]
R3 btwl2cap;Bluetooth L2CAP Service;C:\Windows\system32\DRIVERS\btwl2cap.sys [2007-07-03 01:16:35 28464]
R3 gupdatem;Service Google Update (gupdatem);C:\Program Files\Google\Update\GoogleUpdate.exe [2010-03-11 10:47:07 135664]
R3 TrueSight;TrueSight;D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\TrueSight.sys [2011-10-09 19:58:16 60800]
R3 VAIOMediaPlatform-UCLS-AppServer;VAIO Media Content Collection;C:\Program Files\Sony\VAIO Media Integrated Server\UCLS.exe [2007-01-10 15:51:06 745472]
R3 VAIOMediaPlatform-UCLS-HTTP;VAIO Media Content Collection (HTTP);C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe [2007-06-20 14:34:50 397312]
R3 VAIOMediaPlatform-UCLS-UPnP;VAIO Media Content Collection (UPnP);C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe [2007-06-20 14:34:50 1089536]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2007-07-05 16:43:04 79736]
S0 hotcore3;hotcore3;C:\Windows\system32\drivers\hotcore3.sys [2007-03-07 12:27:26 38448]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 Akamai;Akamai NetSession Interface;C:\Windows\System32\svchost.exe [2006-11-02 09:45:47 22016]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;C:\Windows\system32\drivers\aswMonFlt.sys [2011-09-06 20:36:26 54616]
S2 BBUpdate;BBUpdate;C:\Program Files\Microsoft\BingBar\SeaPort.EXE [2011-06-15 21:33:20 249648]
S2 regi;regi;C:\Windows\system32\driversegi.sys [2007-04-17 19:09:28 11032]
S2 SBSDWSCService;SBSD Security Center Service;D:\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 19:31:10 1153368]
S3 R5U870FLx86;R5U870 UVC Lower Filter  ;C:\Windows\system32\Drivers\R5U870FLx86.sys [2007-06-28 00:01:22 75008]
S3 R5U870FUx86;R5U870 UVC Upper Filter  ;C:\Windows\system32\Drivers\R5U870FUx86.sys [2007-06-28 00:01:22 43904]
S3 ti21sony;ti21sony;C:\Windows\system32\drivers	i21sony.sys [2007-06-06 00:00:39 812544]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
Akamai	REG_MULTI_SZ   	Akamai

Contenu du dossier 'Tâches planifiées'

2011-10-14 C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2010-03-11 10:47:42 . 2010-03-11 10:47:07]

2011-10-14 C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2010-03-11 10:47:42 . 2010-03-11 10:47:07]


------- Examen supplémentaire -------

uInternet Settings,ProxyOverride = *.local
IE: Ajouter au fichier PDF existant - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - C:\Users\Bureau\AppData\Roaming\Mozilla\Firefox\Profiles\z06ivv29.default\
FF - prefs.js: browser.search.selectedEngine - WikipÃ©dia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
FF - prefs.js: network.proxy.type - 0

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-4Y3Y0C3AXF7XXHWDLDZVS - C:\Recycle.Bin\B6232F3A1AE.exe
HKLM-Run-kibbD3ppnG48234A - C:\Windows\system32\BppmG55aQJ6WKfR.exe
HKLM-Run-U77fEL9gTZq8234A - C:\Windows\system32\sQH6sWKffL9TqjC.exe
HKLM-Run-jeOtPc1i2FHJ88234A - C:\Windows\system32\XQH66sWK7LgTjYw.exe
HKLM-Run-gtzzzNyAAuvDoF8234A - C:\Windows\system32\LmmHHW7ddgRqYw.exe
HKLM-Run-VmmmGG5aQJ6WfLh8234A - C:\Windows\system32\uIIBBrzPPNA1uSo.exe
HKLM-Run-ZHWLZwlxS34sLqk8234A - C:\Windows\system32\UBBrrzONyxAuv2F.exe
HKLM-Run-OOONtxAA0cS2bpG8234A - C:\Windows\system32\qUCk3n5Q7RLTqIr.exe
HKLM-Run-asQJ6dEK8R9Tw8234A - C:\Windows\system32\FBtzPNycAuDoFpG.exe
HKLM-Run-y6dEK8fZ9TjClB8234A - C:\Windows\system32\zzPNycA1u2b4m5Q.exe
HKLM-Run-gS2obF3pm5Q6W8R8234A - C:\Windows\system32\k8fZ9hTjClBzNAu.exe
HKU-Default-Run-Picasa Media Detector - C:\Program Files\Picasa2\PicasaMediaDetector.exe
AddRemove-Cool's_Codec_pack_4.12 - C:\Windows\iun6002.exe
AddRemove-FBrowsingAdvisor_is1 - C:\Program Files\FBrowsingAdvisor\unins000.exe
AddRemove-NavigationTool - C:\Program Files\NavigationTool\uninstall.exe
AddRemove-{5783F2D7-8001-0409-0002-0060B0CE6BBA} - C:\Program Files\AutoCAD 2010\Setup\Setup.exe

g3n-h@ckm@n · Answer

regarde si tu as Pre_Script.txt dans C:\

Ben · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.92 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 08/10/2011 | 14.00 Par g3n-h@ckm@n
Utilisateur : Bureau (Administrateurs)
Ordinateur : PC
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 7.0.6000.17037
Mozilla Firefox : 7.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill::

Script : 23:31:04

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\Windows\system32\BppmG55aQJ6WKfR.exe
Supprimé : C:\Windows\system32\sQH6sWKffL9TqjC.exe
Absent : C:\Windows\system32\XQH66sWK7LgTjYw.exe
Supprimé : C:\Windows\system32\LmmHHW7ddgRqYw.exe
Supprimé : C:\Windows\system32\uIIBBrzPPNA1uSo.exe
Supprimé : C:\Windows\system32\UBBrrzONyxAuv2F.exe
Supprimé : C:\Windows\system32\qUCk3n5Q7RLTqIr.exe
Supprimé : C:\Windows\system32\FBtzPNycAuDoFpG.exe
Supprimé : C:\Windows\system32\zzPNycA1u2b4m5Q.exe
Supprimé : C:\Windows\system32\k8fZ9hTjClBzNAu.exe
Supprimé : C:\Windows\4054502721
Supprimé : C:\Windows\iun6002.exe
Non Supprimé : C:\Users\Bureau\AppData\Roaming\BwkUVelOzc1v2n4
Non Supprimé : C:\Users\Bureau\AppData\Roaming\FA1vonF4pHsJ
Non Supprimé : C:\Users\Bureau\AppData\Roaming\FQd8gRZXw
Non Supprimé : C:\Users\Bureau\AppData\Roaming\GJ7dEK8gR9YwU
Non Supprimé : C:\Users\Bureau\AppData\Roaming\gkUVelOt0c1v2n4
Non Supprimé : C:\Users\Bureau\AppData\Roaming\lzP0ycA1iDoFpHs
Non Supprimé : C:\Users\Bureau\AppData\Roaming\NgRZ9hYXwUe
Non Supprimé : C:\Users\Bureau\AppData\Roaming\RUVelOt0c1v2n4m
Non Supprimé : C:\Users\Bureau\AppData\Roaming\uqhYkrOBtPySvo4
Non Supprimé : C:\Users\Bureau\AppData\Roaming\Z8ZqhrOBtPySa5W
Supprimé : C:\ProgramData\46n72120udlo86hi1y7ln50173i50slc2dlyfu6ape36
Supprimé : C:\ProgramData\yhv1jn7hoi64q242
Supprimé : C:\Users\Bureau\AppData\Local\46n72120udlo86hi1y7ln50173i50slc2dlyfu6ape36
Supprimé : C:\Users\Bureau\AppData\Local\Iradesolas.bin
Supprimé : C:\Users\Bureau\AppData\Local\Iwaqaliroquqof.dat
Supprimé : C:\Users\Bureau\AppData\Local\yhv1jn7hoi64q242
Supprimé : C:\Windows\Tasks
xqhu.job

¤

Supprimé : C:\Users\Bureau\AppData\Local\Temp\RarSFX0
Supprimé : C:\Windows\D3F93A5A7A5D4867B2A16F46500D006C.TMP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMP3z
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
Supprimé : C:\ProgramData\Spybot - Search & Destroy
Supprimé : C:\Program Files\FBrowserAdvisor
Supprimé : C:\Program Files\FBrowsingAdvisor
Supprimé : C:\Program Files\NavigationTool
Supprimé : C:\Program Files\Spybot - Search & Destroy

g3n-h@ckm@n · Answer

tu peux me remettre le rapport de combofix sur cijoint , il est pas complet ?

Ben · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijrYSZ447.txt

g3n-h@ckm@n · Answer

pourquoi tu as reinstallé spybot ?

Ben · Answer

Je ne l'ai pas réinstallé, je ne l'ai juste pas désinstallé. C'est important?

g3n-h@ckm@n · Answer

hé oui si tu ne fais pas ce que je te demande on va pas s'en sortir

ne te sers du pc que pour le desinfection pour l 'instant c'est un vrai carnage la dedans

confirme moi la desinstallation de spybot

Ben · Answer

Ok c'est désinstallé. 

Par contre j'ai du boulot à faire et un seul PC à disposition. Qu'est ce que je risque en l'utilisant pour d'autres choses?

g3n-h@ckm@n · Answer

re

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
C:\Windows\system32\R33ppnG5aQH.exe
C:\Windows\system32\Qpn5HdKfLgXjCk.exe
C:\Windows\system32\K0v2bpGaHWfLgqY.exe
C:\Windows\system32\om5Q7E8RhwUlzcv.exe
C:\Windows\system32\HzzzPPNyxAuvSoF.exe
C:\Windows\system32\swwwjUeIzNc1v2b.exe
C:\Windows\system32\d3n5HdKfLtA0.exe
C:\Windows\system32\ZjjjUCCelIBrPNx.exe
C:\Windows\system32\tyyxA0ub3n5Q6W7.exe
C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crss.exe

Folder::
C:\Users\Bureau\AppData\Roaming\wqjYCwkIVlNx0Sb
C:\Users\Bureau\AppData\Roaming\QnGH6sW79TjCkVl
C:\Users\Bureau\AppData\Roaming\QGH6sW79TjCkVlN
C:\Users\Bureau\AppData\Roaming\JGH6sW79TjCkVlN
C:\Users\Bureau\AppData\Roaming\IsWK7LTZq
C:\Users\Bureau\AppData\Roaming\HTZqjYCwkVlNx0
C:\Users\Bureau\AppData\Roaming\BW79TZjYCk
C:\Users\Bureau\AppData\Roaming\mIVtx0uinQ6W7E9
C:\Users\Bureau\AppData\Roaming\mIVOx0uDpGQ6W7E
C:\Users\Bureau\AppData\Roaming\XQJ7dEK8gZ
C:\Users\Bureau\AppData\Roaming\KfEL8gTZqYwUrOt
C:\Users\Bureau\AppData\Roaming\yP0ucS1ib3n4m6W
C:\Users\Bureau\AppData\Roaming\wcS1ibD3oGaHsJf
C:\Users\Bureau\AppData\Roaming\SucS1ibD3n4m6W7
C:\Users\Bureau\AppData\Roaming\kS1ibD3on4m6W7E
C:\Users\Bureau\AppData\Roaming\D8gTZhYCwUrOtPy
C:\Users\Bureau\AppData\Roaming\c0ucS1ibDoGaHsJ
C:\Windows\system32\config\systemprofile\AppData\Roaming\WKK77fRRL
C:\Windows\system32\config\systemprofile\AppData\Roaming\NrrrzOOyxA0uS2b
C:\Windows\system32\config\systemprofile\AppData\Roaming\GQ6ddWK77R9gTqY
C:\Windows\system32\config\systemprofile\AppData\Roaming\XBrrzzPNyx
C:\Windows\system32\config\systemprofile\AppData\Roaming\JFG68hjlPASoFpG
C:\Windows\system32\config\systemprofile\AppData\Roaming\zvvSS2iib3
C:\Windows\system32\config\systemprofile\AppData\Roaming\bGaJdKfLTqUeIr
C:\Windows\system32\config\systemprofile\AppData\Roaming\bLgZhXUelOAi2n
C:\Windows\system32\config\systemprofile\AppData\Roaming\Y22oF44pmGsQ6Kf
C:\Windows\system32\config\systemprofile\AppData\Roaming\Q8ffRZZ9hTwUCl
C:\Windows\system32\config\systemprofile\AppData\Roaming\rXXwwjUCelIB
C:\Windows\system32\config\systemprofile\AppData\Roaming\GF44pmHH5sJE8RY
C:\Windows\system32\config\systemprofile\AppData\Roaming\HXXqjjYCekI
C:\Windows\system32\config\systemprofile\AppData\Roaming\V00iDpGaHsKf9Tq
C:\Windows\system32\config\systemprofile\AppData\Roaming\SkkIBrONyxA0v2b
C:\Windows\system32\config\systemprofile\AppData\Roaming\a66EEK8fRZ9hX
C:\Windows\system32\config\systemprofile\AppData\Roaming\HTTTXXwjUCe
C:\Windows\system32\config\systemprofile\AppData\Roaming\ObbRqqjUCeIrO
C:\Users\Bureau\AppData\Roaming\Microsoft\Installer\{D3F93A5A-7A5D-4867-B2A1-6F46500D006C}
C:\Windows\system32\config\systemprofile\AppData\Roaming\WbFpmG5aQ6Kf
C:\Windows\system32\config\systemprofile\AppData\Roaming\lgRZqYXwUltc1vo
C:\Windows\system32\config\systemprofile\AppData\Roaming\lgRqhYXwVlBzc1v
C:\Windows\system32\config\systemprofile\AppData\Roaming\vsQJEK8RZhXjVlB
C:\Windows\system32\config\systemprofile\AppData\Roaming\vH5sQJ7dKR9YwUe
C:\Windows\system32\config\systemprofile\AppData\Roaming\BpmG5sQJ6E
C:\Windows\system32\config\systemprofile\AppData\Roaming\vA1uvS2ob3m5Q6K
C:\Windows\system32\config\systemprofile\AppData\Roaming\RrllOBBtxP0ySiD
C:\Windows\system32\config\systemprofile\AppData\Roaming\H2FpHQ7dEK8ZhUe
C:\Windows\system32\config\systemprofile\AppData\Roaming\kffRRL9hTXqjCk
C:\Windows\system32\config\systemprofile\AppData\Roaming\nppmG5d8fR9hXwU
C:\Users\Bureau\AppData\Roaming\FA1vonF4pHsJ
C:\Users\Bureau\AppData\Roaming\Z8ZqhrOBtPySa5W
C:\Users\Bureau\AppData\Roaming\uqhYkrOBtPySvo4
C:\Users\Bureau\AppData\Roaming\GJ7dEK8gR9YwU
C:\Users\Bureau\AppData\Roaming\lzP0ycA1iDoFpHs
C:\Users\Bureau\AppData\Roaming\RUVelOt0c1v2n4m
C:\Users\Bureau\AppData\Roaming\NgRZ9hYXwUe
C:\Users\Bureau\AppData\Roaming\gkUVelOt0c1v2n4
C:\Users\Bureau\AppData\Roaming\BwkUVelOzc1v2n4
C:\Users\Bureau\AppData\Roaming\FQd8gRZXw
C:\Windows\system32\config\systemprofile\AppData\Roaming\aqqjYCeeIV
C:\Windows\system32\config\systemprofile\AppData\Roaming\OtxxP0ycS1iDoF4
C:\Windows\system32\config\systemprofile\AppData\Roaming\GTqYwIlNxPuSi3n
C:\Windows\system32\config\systemprofile\AppData\Roaming\pVOt0cb3n
C:\Windows\system32\config\systemprofile\AppData\Roaming\thhTXqjUCe
C:\Windows\system32\config\systemprofile\AppData\Roaming\yzzOONtA0uc2D3G
C:\Windows\system32\config\systemprofile\AppData\Roaming\sYYYXkUVlOt0c1D
C:\Windows\system32\config\systemprofile\AppData\Roaming\hyxxA1uuS2oF

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000000

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Ben · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijhDSLg9e.txt

g3n-h@ckm@n · Answer

bon ben t'es salement en galere .... ======================================= ▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Ben · Answer

Juste une question: je vais encore devoir faire beaucoup de scan ou la fin est proche? Pas que je commence à me décourager mais bon :)

g3n-h@ckm@n · Answer

disons qu'on devrait y arriver mais y'a du boulot t'es salement amoché

Ben · Answer

moi je vais bien t'inquiete, quoique cet ordi commence a me taper sur les nerfs. Bon au boulot..

Ben · Answer

Voilà, ce scan a duré quasi toute la nuit:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijdDE5nPE.zip

Ben · Answer

Ca t'éclaire?

g3n-h@ckm@n · Answer

&#9654 Télécharge DelFix sur ton bureau.

&#9654 Lance le, tape suppression puis valide 

Patiente pendant le scan jusqu'à l'ouverture du rapport.

&#9654 Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

=====================================

ensuite refais l'étape Combofix

Ben · Answer

# DelFix v8.6 - Rapport créé le 16/10/2011 à 12:08:01
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium  (32 bits)
# Nom d'utilisateur : Bureau - PC (Administrateur)
# Exécuté depuis : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\Kill'em
Supprimé : C:\Combofix
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\RK_Quarantine

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\rapport.txt
Supprimé : C:\rkill.log
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC.zip
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\ComboFix.exe
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\drweb-cureit.exe.part
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Pre_scan.exe
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Pre_Scan_09_10_2011_20_45_24.txt
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Pre_Script.exe
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\RogueKiller.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
Supprimé : C:\Windows\system32\404Fix.exe
Supprimé : C:\Windows\system32\o4Patch.exe
Supprimé : C:\Windows\system32\VACFix.exe
Supprimé : C:\Windows\system32\VCCLSID.exe
Supprimé : C:\Windows\system32\IEDFix.exe
Supprimé : C:\Windows\system32\IEDFix.C.exe
Supprimé : C:\Windows\system32\Agent.OMZ.Fix.exe
Supprimé : C:\Windows\system32\WS2Fix.exe
Supprimé : C:\Windows\system32\Process.exe
Supprimé : C:\Windows\system32\SrchSTS.exe
Supprimé : C:\Windows\system32\Dumphive.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKCU\Software\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [3115 octets] - [16/10/2011 12:08:01]

########## EOF - C:\DelFix[S1].txt - [3239 octets] ##########

g3n-h@ckm@n · Answer

impec :)

Ben · Answer

Impec genre c'est OK, plus de problème?

Je te mets le rapport combofix?

Sinon j'ai eu un truc en bas à droite du bureau qui m'a dit que les logiciels malveillants avaient été supprimés

g3n-h@ckm@n · Answer

oui refais combofix

Ben · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijWM3UGFi.txt

g3n-h@ckm@n · Answer

tu peux pas mettre à jour windows vista là ?

Ben · Answer

La tout de suite non, j'ai besoin de l'ordi et la mise à jour implique des redémarrages et tout. C'est le seul truc qu'il me reste à faire?

g3n-h@ckm@n · Answer

non mais ca m'avancera beaucoup

Ben · Answer

Ok vista est mis à jour

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: File:: c:\windows\system32\config\systemprofile\AppData\Local\Iradesolas.bin c:\program files\*.exe c:\users\Bureau\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qpupcjct.exe c:\users\Bureau\AppData\Local\Temp\xevwfgyr.sys c:\users\Bureau\AppData\Local\Temp\~TME91.tmp Folder:: c:\program files\ijgdrjwo c:\programdata\Spybot - Search & Destroy Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\system32\userinit.exe," Driver:: Micorsoft Windows Service; MICORSOFT_WINDOWS_SERVICE ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Ben · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijeLLpXK5.txt

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Ben · Answer

Ok je vais le faire. Tu penses que je devrai encore lancer beaucoup de scans comme ca??

g3n-h@ckm@n · Answer

celui-ci est un diagnostic complet pour avoir un apercu de ce qui pourrait rester :)

donc j'attends de le lire pour pouvoir repondre à ta question ;)

Ben · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijay5h0Re.txt

http://www.cijoint.fr/cjlink.php?file=cj201110/cijqfMkTU9.txt

g3n-h@ckm@n · Answer

la config n'est pas suivie recommence

Ben · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijkk7kYMl.txt

http://www.cijoint.fr/cjlink.php?file=cj201110/cijoQGuyfx.txt

g3n-h@ckm@n · Answer

hello

ton systeme est sur C:\ et ton bureau est sur D:\ ?

Ben · Answer

Oui je pense. Bien que dans mon poste de travail le bureau soit à part des disques c et d.

C'est un truc que j'ai toujours trouvé bizarre, mais c'est comme ça depuis que j'ai acheté mon ordi il y a 4 ans: voilà le chemin d'accès de mon bureau:

D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop

g3n-h@ckm@n · Answer

perso je referais mon systeme completement.........

Ben · Answer

Càd? Qu'est ce que tu entends exactement par là?

Sinon, l'ordi est encore infecté ou pas?

g3n-h@ckm@n · Answer

il faut que tu mettes windows vista à jour

Ben · Answer

Je l'ai fait hier. Quid des infections?

g3n-h@ckm@n · Answer

c'est pas ce que montre OTL

Ben · Answer

Apparemment une partie seulement des maj avait été faite. Tout est fait maintenant. Tu peux me dire s'il reste des programmes malveillants?

g3n-h@ckm@n · Answer

refais OTL ?

Ben · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijNG90Mju.txt

http://www.cijoint.fr/cjlink.php?file=cj201110/cij4Bnlwbx.txt

g3n-h@ckm@n · Answer

t'as rien mis à jour du tout

Ben · Answer

Bon, je sais pas comment ça se fait mais il me met que les maj sont faites alors qu'il en reste. Là je pense vraiment les avoir faites toutes

http://www.cijoint.fr/cjlink.php?file=cj201110/cijC1CNGCK.txt

http://www.cijoint.fr/cjlink.php?file=cj201110/cijlrQ3eUe.txt

g3n-h@ckm@n · Answer

on en est au 9

Internet Explorer (Version = 7.0.6002.18005)

ben · Answer

Ca ne m'est pas utile de mettre iexplorer a jour, je n'utilise jamais ca, je suis sur firefox. 
J'ai une partie des mes mises a jour qui n'ont pas pu etre configurées lors du redémarrage... 
Par ailleurs, je commence réellement à envisager de reformater completement mon pc. Est ce que les infections (s'il en reste) seront d'office détruites à ce moment là?

g3n-h@ckm@n · Answer

oui

Toi tu n'utilises pas internet explorer mais ton ordi si

Ben · Answer

Voilà avec du retard, je n'arrivais vraiment plus à rien donc j'ai complètement désinstallé windows et je suis maintenant sur Ubuntu dont je suis très satisfait pour l'instant. 

Merci quand meme pour ton énorme coup de main et le temps que tu y as passé.

g3n-h@ckm@n · Answer

ok :)

Guard Online - Malware très corriace...

62 réponses

Discussions similaires

Newsletters