Security sphere 2012

Question

Bonjour, 

J'ai un virus security sphere 2012 sur mon poste qui me bloque internet et tous les programmes. 

J'utilise un portable actuellement avec une autre connexion.

POuvez vous m'aider svp

g3n-h@ckm@n · Answer

salut

transfere-le sur l'autre :

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

cyril · Answer

Merci pour cette réponse mais je suis un novice et je vais certainement posé des questions un peu naîve pour les pros comme vous.

Je fais le transfert d'un ordi à l'autre par quoi : uine clé usb, un cd?

g3n-h@ckm@n · Answer

clé usb ca devrait aller

cyril · Answer

pour l'instant aucun des fichiers que j'ai pris sur ma clé grace au lien ne veut s'ouvrir, le virus bloque tout

g3n-h@ckm@n · Answer

redemarre l'ordi en mode sans echec

cyril · Answer

c'est à dire...

je fais quoi quand je redemarre pour accéder au mode sans echec

g3n-h@ckm@n · Answer

tu tapotes F5

cyril · Answer

j'ai puvert le mode sans echec en tant qu'administrateur

ca ne change rien à l'analyse?

g3n-h@ckm@n · Answer

non il faut le faire de la session infectée.. 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

cyril · Answer

oui je le fais du poste infecté

g3n-h@ckm@n · Answer

oui mais de la session infectée surtout

cyril · Answer

comment ca de la session infectée?

l'analyse est terminée, comment je fais pour avoir le rapport?

l'analyse s'est terminée et j'ai à l'écran en gros Mes documents

g3n-h@ckm@n · Answer

ok 

sur le rapport clic droit => envoyer vers => ta clé usb

cyril · Answer

oui mais je n'ai pas de rapport à l'écran

g3n-h@ckm@n · Answer

ah oui

ben redemarre le pc

cyril · Answer

ok je redemarre en mode sans echec

g3n-h@ckm@n · Answer

prise en charge reseau si c 'est possible

cyril · Answer

??????????????????

je redémarre en faisant F5 et je choisis la prise en charge réseau?

g3n-h@ckm@n · Answer

F5 puis tu selectionnes mode sans echec avec prise en charge reseau

cyril · Answer

ok c'est bon mais sur le bureau tjs pas de rapport

je dois alors relancer l'ananlyse depuis le début?

g3n-h@ckm@n · Answer

Télécharge ici :OTL 

&#9654 enregistre le sur ton Bureau. 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer. 

&#9654 => Clique ici pour voir la Configuration 

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation" 

netsvcs 
safebootminimal 
safebootnetwork  
%systemroot%\system32\config\*.exe /s 
%systemroot%\system32\*.sys  
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
CREATERESTOREPOINT   

&#9654 Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long) 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus. 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra : 

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

&#9654 Copie ce lien dans ta réponse. 

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau. 

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

cyril · Answer

http://www.cijoint.fr/cjlink.php?file=cj201111/cijVxdikAl.txt

http://www.cijoint.fr/cjlink.php?file=cj201111/cijVxdikAl.txt 

j'espère que c'est bon comme fichier


merci pour ton aide

g3n-h@ckm@n · Answer

fiouuuu !!! la totale !! il est pas venu tout seul dis-donc !

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

--
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

cyril · Answer

j'ai un écran noir avec 

phoenix - AwardBIOS v6.00PG

IDE Channel 0 master : ....

Warning : the boot devices have been changed.
BBS boot priority will be affected. Please enter setup to check

Que dois je faire 

F1 to continue ou DEL to enter SETUP

cyril · Answer

pour compléter l emessage à l'écran : 

IDE CHANNEL 0 master : _nec dvd_rw nd-4550A 1.06
IDE CHANNEL 0 SLAVE : MAXTOR 6Y120PO YAR41BWO

IDE CHANNEL 2 MASTER : NONE
IDE CHANNEL 3 MASTER : NONE

que dois je faire 

F1 ou DEL

cyril · Answer

ComboFix 11-11-01.04 - Administrateur 01/11/2011  19:48:36.1.1 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.511.203 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\olivier.exe
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\HotbarSA
c:\documents and settings\All Users\Application Data\HotbarSA\HotbarSA.dat
c:\documents and settings\All Users\Application Data\HotbarSA\HotbarSA_gdf.dat
c:\documents and settings\All Users\Application Data\HotbarSA\HotbarSA_kyf.dat
c:\documents and settings\All Users\Application Data\HotbarSA\HotbarSAAbout.mht
c:\documents and settings\All Users\Application Data\HotbarSA\HotbarSAau.dat
c:\documents and settings\All Users\Application Data\HotbarSA\HotbarSAEula.mht
c:\documents and settings\MOI\WINDOWS
c:\program files\PCFix
c:\program files\PCFix\AssistPCFix.exe
c:\program files\PCFix\backup\20101101_1544.dat
c:\program files\PCFix\Loading.gif
c:\program files\PCFix\PCFix.exe
c:\program files\PCFixebooter.exe
c:\program files\PCFix\unins000.dat
c:\program files\PCFix\unins000.exe
c:\program files\PCFix\unins000.msg
c:\windows\bwUnin-6.1.4.68-8876480L.exe
c:\windows\cookies.ini
c:\windows\help	ours\htmltour\unlock_playing.htm
c:\windows\pskt.ini
c:\windows\system32\aaihrcvw.ini
c:\windows\system32\actffahy.ini
c:\windows\system32\bhvpgamx.ini
c:\windows\system32\chjaadsw.ini
c:\windows\system32\cnryjeie.ini
c:\windows\system32\cwapawkb.ini
c:\windows\system32\cylfxosk.ini
c:\windows\system32\dfnkwgto.ini
c:\windows\system32\dfvburqj.ini
c:\windows\system32\djgiimqy.ini
c:\windows\system32\eaoenhgi.ini
c:\windows\system32\efhkj.bak1
c:\windows\system32\efhkj.bak2
c:\windows\system32\efhkj.ini
c:\windows\system32\efhkj.ini2
c:\windows\system32\efhkj.tmp
c:\windows\system32\ehnyrhmh.ini
c:\windows\system32\ekagjdmc.ini
c:\windows\system32\etwcxevg.ini
c:\windows\system32\evgjbjwp.ini
c:\windows\system32\exitdwtv.ini
c:\windows\system32\ghlkmugk.ini
c:\windows\system32\giidfjfj.ini
c:\windows\system32\hvbvqxqw.ini
c:\windows\system32\ibdtnqqe.ini
c:\windows\system32\ijdeofgu.ini
c:\windows\system32\iwkdjfff.ini
c:\windows\system32\jschuuje.ini
c:\windows\system32\jwqfsvey.ini
c:\windows\system32\kbmpbhpp.ini
c:\windows\system32\kesowtcu.ini
c:\windows\system32\knqjdyxq.ini
c:\windows\system32\ktaxbjvd.ini
c:\windows\system32\lcbsoqpe.ini
c:\windows\system32\mqgpxyxg.ini
c:\windows\system32\mtryduwv.ini
c:\windows\system32
nrooqjn.ini
c:\windows\system32
ovpynup.ini
c:\windows\system32\oajdfpel.ini
c:\windows\system32\odnsqjle.ini
c:\windows\system32\ohmvpsjv.ini
c:\windows\system32\oudtqesx.ini
c:\windows\system32\pdgxivwh.ini
c:\windows\system32\pmvojlhb.ini
c:\windows\system32\pyqwhvnr.ini
c:\windows\system32\qbjugpni.ini
c:\windows\system32\qhgstlso.ini
c:\windows\system32\qidiwnkj.ini
c:\windows\system32bmcjpnj.ini
c:\windows\system32sndghnk.ini
c:\windows\system32\sikceajd.ini
c:\windows\system32\syvujrmq.ini
c:\windows\system32	getrwvi.ini
c:\windows\system32\Thumbs.db
c:\windows\system32	lfcewel.ini
c:\windows\system32\ubcsudkv.ini
c:\windows\system32\upklfqcs.ini
c:\windows\system32\vdumvfrr.ini
c:\windows\system32\vdvkcrow.ini
c:\windows\system32\vjxkksvp.ini
c:\windows\system32\vkvfdglr.ini
c:\windows\system32\vqdfmxjl.ini
c:\windows\system32\vuhpwgtq.ini
c:\windows\system32\wbhwtcgs.ini
c:\windows\system32\wvvwa.ini
c:\windows\system32\wvvwa.ini2
c:\windows\system32\xciygahk.ini
c:\windows\system32\xegjwvpq.ini
c:\windows\system32\xhjvclsv.ini
.
Une copie infectée de c:\windows\system32\drivers
tfs.sys a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\$hf_mig$\KB930916\SP2QFE
tfs.sys 
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-10-01 au 2011-11-01  ))))))))))))))))))))))))))))))))))))
.
.
2011-11-01 17:02 . 2011-11-01 17:21	--------	dc----w-	C:\Kill'em
2011-11-01 17:01 . 2011-11-01 17:01	--------	dc----w-	c:\documents and settings\Administrateur
2011-11-01 14:54 . 2011-11-01 14:54	--------	dc----r-	c:\documents and settings\NetworkService\Favoris
2011-10-23 08:39 . 2011-10-23 08:39	--------	dc----w-	c:\program files\bayardKids
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-15 08:37 . 2011-08-15 08:37	1409	-c--a-w-	c:\windows\QTFont.for
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MoneyAgent"="c:\program files\Microsoft Money\System\mnyexpr.exe" [2003-06-18 204800]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2006-02-18 20480]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-04 68856]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Free Download Manager"="c:\program files\Free Download Manager\fdm.exe" [2009-03-02 3399727]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"Performance Center"="c:\program files\Ascentive\Performance Center\APCMain.exe" [2009-04-21 3239936]
"PC SpeedScan Pro"="c:\program files\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe" [2009-10-07 2179072]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="c:\program files\VIAudioi\SBADeck\ADeck.exe" [2005-09-05 450560]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-01 339968]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2003-09-29 81990]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2003-09-10 135251]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SpeedTouch USB Diagnostics"="c:\program files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 861184]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-20 136600]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2007-09-14 214296]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2007-09-14 185632]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-07-05 421888]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotSnD"="c:\program files\Spybot - Search & Destroy\SpybotSD.exe" [2008-01-28 5146448]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2006-2-18 450560]
LUMIX Simple Viewer.lnk - c:\program files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-5-25 63696]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Symantec Fax Starter Edition Port.lnk - c:\program files\Microsoft Office\Office\1036\OLFSNT40.EXE [1999-4-6 46080]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Photo Story 3 for Windows\PhotoStory3.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\SopCast\adv\SopAdver.exe"=
"c:\Program Files\SopCast\SopCast.exe"=
"c:\Program Files\HomePlayer\HomePlayer.exe"=
"c:\Program Files\HomePlayer\VLC\vlc.exe"=
"c:\program files\Microsoft ActiveSyncapimgr.exe"= c:\program files\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqcopy2.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfcCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqgplgtupl.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqusgm.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqusgh.exe"=
"c:\Program Files\HP\HP Software Update\HPWUCli.exe"=
"c:\Program Files\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Microsoft Office\Office\EXCEL.EXE"=
"c:\Program Files\Fichiers communs\Apple\Apple Application Support\WebKit2WebProcess.exe"=
"c:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [05/10/2003 10:41 123520]
R0 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [28/09/2003 10:57 5504]
R2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\program files\Nitro PDF\Professional\NitroPDFDriverService.exe [18/12/2009 09:49 188736]
R3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8XX.sys [24/01/2006 22:54 465988]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/04/2011 18:17 136176]
S3 alcan5ln;Alcatel SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);c:\windows\system32\drivers\alcan5ln.sys [28/01/2006 22:03 36048]
S3 ATWPKT;ATWPKT;c:\windows\system32\drivers\atwpkt.sys [28/01/2006 22:07 19140]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [02/04/2011 18:17 136176]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 13:49 227232]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc967164-db05-11e0-917d-00301bba529c}]
\Shell\AutoRun\command - F:\wdsync.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-10-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2011-11-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-02 17:17]
.
2011-11-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-02 17:17]
.
2011-11-01 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-06-17 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = localhost
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 4.0esources\fr-FR\local\search.html
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{0B833E10-EEF7-47E2-B9D5-03C1039D462C} - (no file)
BHO-{29A8632C-2D3E-440D-8169-56FE1D896D46} - (no file)
BHO-{6C8C461B-6775-40ED-B93B-F6FF7FBA15BE} - c:\windows\system32\awvvw.dll
BHO-{73CF18EC-9383-43F6-9959-D11CEA4B541D} - (no file)
BHO-{BA4DF4CE-FF7D-44D5-A4E8-BB3EB0E6921D} - (no file)
BHO-{BA7A0864-691A-40B5-B9BF-835677C87EF8} - (no file)
BHO-{bed4f857-2a63-49cc-a7d1-58f24f25a887} - (no file)
BHO-{C0AD0DD8-D8D5-4817-BD5A-CBA9B48728DE} - c:\windows\system32\jkhfe.dll
BHO-{CECBBB18-17CC-4D44-B773-AAC80EB152EE} - (no file)
Toolbar-{66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)
WebBrowser-{7E39882A-B4C0-7E39-F88E-14007B203A77} - (no file)
WebBrowser-{0160D5EC-0940-0000-E4D5-6001DCD56001} - (no file)
HKCU-Run-kkqiesw - c:\documents and settings\moi\local settings\application data\kkqiesw.exe
HKCU-Run-qkegasw - c:\documents and settings\moi\local settings\application data\qkegasw.exe
HKCU-Run-PCFix - c:\program files\PCFix\PCFix.exe
HKLM-Run-fssui - c:\program files\Windows Live\Contrôle parental\fssui.exe
Notify-cbxywuv - cbxywuv.dll
Notify-ddccd - c:\windows\system32\ddccd.dll
Notify-jkhfe - c:\windows\system32\jkhfe.dll
Notify-vtuvwwx - vtuvwwx.dll
AddRemove-Free Download Manager - c:\program files\Free Download Manager\uninst.exe
AddRemove-kqkkm - c:\documents and settings\moi\local settings\application data\kqkkm.exe
AddRemove-PC Fix 2010_is1 - c:\program files\PCFix\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-01 21:23
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y120P0 rev.YAR41BW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T1L0-10 
.
device: opened successfully
user: MBR read successfully
error: Read  Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8241E31B
user & kernel MBR OK 
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(716)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2920)
c:\docume~1\MOI\LOCALS~1\Temp\IadHide4.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\program files\Symantec\LiveUpdate\AluSchedulerSvc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\Mcshield.exe
c:\progra~1\NETWOR~1\COMMON~1
aPrdMgr.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Bandoo\Bandoo.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\MI3AA1~1apimgr.exe
c:\windows\system32\MDM.EXE
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
c:\program files\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2011-11-01  21:31:41 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-11-01 20:31
.
Avant-CF: 11 425 677 312 octets libres
Après-CF: 10 697 527 296 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 9B26EE4F401B69365C4FAE8779A6C8D9

g3n-h@ckm@n · Answer

desinstalle Bandoo (qui est un adware :)) , ad-aware et spybot 

refais un scan OTL comme precedement 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Security sphere 2012

27 réponses

Votre réponse

Discussions similaires

Newsletters