Sujet Précédent Sujet Suivant

Infecté par Privacy Protection & W32/Katsucha

Résolu/Fermé
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 - 7 nov. 2011 à 22:21
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 - 22 nov. 2011 à 10:23
Bonjour,



je suis sur Windows 7 et avec l'antivirus MacAcfee.

depuis ce matin, McAfee boucle avec un message d'infection par W32/Katsucha.
de plus, j'ai un logiciel Privacy Protection qui me signale d'autres malwares. (mais j'ai compris en faisant des recherches sur le Net que c'était aussi un virus).

la situation empire régulièrement : MacAfee se désactive et mon PC reboote régulièrement.

pouvez-vous m'aider à nettoyer mon PC ?

merci d'avance de toute l'aide précisieuse que vous pourrez m'apporter.

Vincent

60 réponses

Réponse 1 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
7 nov. 2011 à 23:34
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
4
Réponse 2 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
7 nov. 2011 à 22:23
bonjour

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif
http://dl.dropbox.com/u/21363431/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

? Clique sur Parcourir et cherche le fichier ci-dessus.

? Clique sur Ouvrir.

? Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

? Copie ce lien dans ta réponse.

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

3
Réponse 3 / 60
Jeje321 Messages postés 205 Date d'inscription jeudi 13 octobre 2011 Statut Membre Dernière intervention 24 février 2012 22
7 nov. 2011 à 22:27
W32/Katsucha j'ai déjà eu a faire a ce genre de virus sur un pc et qui avait en + MacAfee
Le Katsucha est conçue je pense pour mettre KO ton anti-virus
Quand tu lance un scan avec McAfee l'ordi reboot surement non?
Touka si tu a eu la même infection que j'ai pu éradiquer :P tu a un .exe malveillant et aussi surement un Roolkit
Sur ce bonne continuation

Un helpeur va te prendre en charge

A+
0
Réponse 4 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
7 nov. 2011 à 23:00
bonjour et merci pour ta prise en charge

je viens de lancer Pre_Scan, mais ce logicile rencontre une erreur en cours d'exécution :
Line 18607 (File "C:\Users\Famille\Desktop\Pre_Scan.exe"):
Error: subscript used with non-Array variable

si je clique sur le seul bouton OK, le logiciel s'arrête
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
7 nov. 2011 à 23:01
hello

1)

W32/Katsucha j'ai déjà eu a faire a ce genre de virus sur un pc

tu as un lien de ca, je serai bien curieux...

...............

2)

évite stp d'intervenir sur des prises en charge pour dire qu'il va être pris en charge
ca rend plus compliqué le suivi du topic

merci

...............

3)

@ vincent

https://forums.commentcamarche.net/forum/affich-23599902-infecte-par-privacy-protection-w32-katsucha#1
0
Réponse 6 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
7 nov. 2011 à 23:04
tu as bien désactivé tes protections
enregistré sur le bureuau
fait clic droit Executer en tant qu'admin
0
Réponse 7 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
7 nov. 2011 à 23:23
oui, j'ai bien désactivé l'antivirus et le firewall.
j'ai relancé Pre_Scan an mode admin, mais le résultat est le même

que dois-je faire ?
0
Réponse 8 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
7 nov. 2011 à 23:48
en fait, je l'avais déjà passé en mode 1 :
voilà les rapports des 2 passages :

---------------------------
RogueKiller V6.1.6 [01/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Famille [Droits d'admin]
Mode: Recherche -- Date : 07/11/2011 22:35:51

Processus malicieux: 2
[SUSP PATH] RTKAUDIOSERVICE.EXE -- C:\Windows\RtkAudioService.exe -> KILLED [TermProc]
[SUSP PATH] privacy.exe -- C:\Users\Famille\AppData\Roaming\privacy.exe -> KILLED [TermProc]

Entrees de registre: 4
[SUSP PATH] HKCU\[...]\Run : Privacy Protection (C:\Users\Famille\AppData\Roaming\privacy.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3456152527-1177042663-4229784714-1000[...]\Run : Privacy Protection (C:\Users\Famille\AppData\Roaming\privacy.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt



---------------------------
RogueKiller V6.1.6 [01/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Famille [Droits d'admin]
Mode: Suppression -- Date : 07/11/2011 23:41:43

Processus malicieux: 1
[SUSP PATH] RTKAUDIOSERVICE.EXE -- C:\Windows\RtkAudioService.exe -> KILLED [TermProc]

Entrees de registre: 2
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED ()
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED ()

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Réponse 9 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
7 nov. 2011 à 23:57
ok

1)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

.................

2)

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message


0
Réponse 10 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
8 nov. 2011 à 00:36
j'ai un autre problème : impossible d'accéder au Net depuis mon PC infecté.
mes 2 PC (celui infiecté + celui à partir duquel j'écrit) sont sur la même LiveBox et mon 2ème PC fonctionne bien

est-ce que le virus peut être la cause de ce nouveau soucis ?
0
Réponse 11 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
8 nov. 2011 à 00:50
sans aucun doute oui

relance roguekiller option 4 et valide

si toujours pas internet

redemarre en mode sans echec avec reseau pour voir
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
0
tant pis
8 nov. 2011 à 01:06
hello est-il possible d'avoir le rapport c:\prescan.txt via cijoint ?
0
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
8 nov. 2011 à 01:23
toutes mes tentatives se sont soldées par un échec (une erreur en cours d'exécution) :
Line 18607 (File "C:\Users\Famille\Desktop\Pre_Scan.exe"):
Error: subscript used with non-Array variable

si je clique sur le seul bouton OK, le logiciel s'arrête
0
tant pis
8 nov. 2011 à 01:35
oui mais tu as quand meme le rapport dans c:\
0
Réponse 12 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
8 nov. 2011 à 01:09
rien n'y fait, je reste avec une connectivité limitée
du coup, je ne peux pas mettre à jour MBAM et je ne peux pas récupérer ZHPdiag (ça c'est parceque mon 2Nd est connecté sur un VPN et que les sites sont filtrés)...
0
Réponse 13 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
Modifié par moment de grace le 8/11/2011 à 04:00
as tu tenté le mode sans echec avec reseau ?

.....


Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt




CONTRIBUTEUR SECURITE

En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
0
Réponse 14 / 60
Jeje321 Messages postés 205 Date d'inscription jeudi 13 octobre 2011 Statut Membre Dernière intervention 24 février 2012 22
8 nov. 2011 à 07:27
non pas de lien mais de l'expérience ;)

"ca rend plus compliqué le suivi du topic"

mais oui mais oui^^
0
Réponse 15 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
8 nov. 2011 à 12:51
"tant pis" avait raison, même si pre_scan rencontre une anomalie, un fichier de log a bien été généré.

http://www.cijoint.fr/ étant actuellement en panne, est-ce qu'il y a un autre site sur lesquel je peux déposé ce fichier de log ?
0
tant pis
8 nov. 2011 à 13:00
http://cjoint.com
0
Réponse 16 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
8 nov. 2011 à 13:04
voici le rapprot de Pre_Scan : https://www.cjoint.com/?AKindDPAcZV
0
tant pis
8 nov. 2011 à 13:12
ok le rootkit l'a empeché de bosser convenablement , j'ai bossé ca cette nuit (je m'y attendais)., et ai fait quelques modifs

la prochaine version devrait mieux passer..

merci , je vous laisse continuer
0
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
8 nov. 2011 à 14:03
@tant pis : je n'ai pas tout compris -s
c'est toi le créateur de Pre_Scan ?
faut-il que je passe une nouvelle version de cet outil ? où dois-je récupérer cette dernière version ?
0
tant pis
Modifié par tant pis le 8/11/2011 à 14:07
oui tu le supprimes , tu supprimes son rapport , tu le retelecharges et tu le relances puis tu heberges le rapport

tu as le lien en haut de page

cdlt

g3n-h@ckm@n
0
Réponse 17 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
Modifié par vincent3569 le 8/11/2011 à 21:35
@tant pis :
voici le rapport de pre_scan : https://www.cjoint.com/?AKivGasocFG

dois-je lancer les opérations avec ComboFIx comme demandé par "moment de grace" ?
0
Utilisateur anonyme
8 nov. 2011 à 21:35
ok c'est bon j'ai trouvé le souci merci à toi je vous laisse finir :)
0
Réponse 18 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
8 nov. 2011 à 22:02
dois-je lancer les opérations avec ComboFIx comme demandé par "moment de grace"

oui vas y stp

.................

gh c'est mieux que tant pis

(sourire)
0
Utilisateur anonyme
8 nov. 2011 à 22:14
tant mieux :) ^^
0
Réponse 19 / 60
vincent3569 Messages postés 125 Date d'inscription mardi 8 avril 2008 Statut Membre Dernière intervention 8 février 2014 4
8 nov. 2011 à 22:44
voici le rapport ComboFix

ComboFix 11-11-08.01 - Famille 08/11/2011 22:13:58.1.2 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3039.2336 [GMT 1:00]
Lancé depuis: c:\users\Famille\Desktop\ComboFix.exe
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\users\Famille\AppData\Roaming\Local
c:\users\Famille\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_fr.divx.ddr
c:\windows\
c:\windows\$NtUninstallKB19364$\2907745281
c:\windows\$NtUninstallKB46171$\1091963570\@
c:\windows\$NtUninstallKB46171$\1091963570\L\agbapnsq
c:\windows\$NtUninstallKB46171$\1091963570\loader.tlb
c:\windows\$NtUninstallKB46171$\1091963570\U\@00000001
c:\windows\$NtUninstallKB46171$\1091963570\U\@000000cb
c:\windows\$NtUninstallKB46171$\1091963570\U\@000000cf
c:\windows\$NtUninstallKB46171$\1091963570\U\@80000000
c:\windows\$NtUninstallKB46171$\1091963570\U\@800000c0
c:\windows\$NtUninstallKB46171$\1091963570\U\@800000cb
c:\windows\$NtUninstallKB46171$\1091963570\U\@800000cf
c:\windows\$NtUninstallKB46171$\3438460479
c:\windows\bwUnin-6.1.4.36-8876480L.exe
c:\windows\system32\
c:\windows\system32\c_74881.nls
c:\windows\system32\drivers\
c:\windows\$NtUninstallKB19364$ . . . . impossible à supprimer
c:\windows\$NtUninstallKB46171$ . . . . impossible à supprimer
.
Une copie infectée de c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\combofix\HarddiskVolumeShadowCopy5_!Program Files!Common Files!McAfee!McSvcHost!McSvHost.exe
.
Une copie infectée de c:\windows\system32\mfevtps.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\combofix\HarddiskVolumeShadowCopy4_!Windows!System32!mfevtps.exe
.
Une copie infectée de c:\program files\Common Files\McAfee\SystemCore\\mfefire.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\combofix\HarddiskVolumeShadowCopy5_!Program Files!Common Files!McAfee!SystemCore!mfefire.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-08 au 2011-11-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-08 18:15 . 2011-11-08 18:31 -------- d-----w- c:\users\Famille\AppData\Local\Microsoft Games
2011-11-08 00:00 . 2011-11-08 00:01 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-07 21:45 . 2011-11-08 20:30 -------- d-----w- C:\Kill'em
2011-11-07 21:13 . 2011-08-19 13:59 148520 ----a-w- c:\windows\system32\mfevtps.exe
2011-11-07 20:58 . 2011-11-07 20:58 -------- d-----w- c:\users\Famille\AppData\Roaming\Malwarebytes
2011-11-07 20:58 . 2011-11-07 20:58 -------- d-----w- c:\programdata\Malwarebytes
2011-11-07 20:58 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-07 20:58 . 2011-11-07 20:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-11-07 20:06 . 2011-11-07 20:06 110080 ----a-r- c:\users\Famille\AppData\Roaming\Microsoft\Installer\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}\IconF7A21AF7.exe
2011-11-07 20:06 . 2011-11-07 20:06 110080 ----a-r- c:\users\Famille\AppData\Roaming\Microsoft\Installer\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}\IconD7F16134.exe
2011-11-07 20:06 . 2011-11-07 20:06 110080 ----a-r- c:\users\Famille\AppData\Roaming\Microsoft\Installer\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}\IconCF33A0CE.exe
2011-11-07 20:05 . 2011-11-07 20:06 -------- d-----w- c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP
2011-11-07 20:05 . 2011-11-07 20:05 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2011-11-07 14:29 . 2011-11-07 14:29 -------- d-sh--w- c:\windows\system32\%APPDATA%
2011-10-13 16:23 . 2011-08-17 04:19 75776 ----a-w- c:\windows\system32\psisrndr.ax
2011-10-13 16:22 . 2011-08-17 04:24 465408 ----a-w- c:\windows\system32\psisdecd.dll
2011-10-13 16:20 . 2011-08-27 04:26 233472 ----a-w- c:\windows\system32\oleacc.dll
2011-10-13 16:19 . 2011-08-27 04:26 571904 ----a-w- c:\windows\system32\oleaut32.dll
2011-10-13 16:18 . 2011-09-06 02:28 2334720 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-07 14:28 . 2008-12-16 17:40 388608 ----a-w- c:\windows\system32\drivers\XAudio.exe
2011-11-07 14:28 . 2009-07-18 10:02 211488 ----a-w- c:\windows\system32\nvvsvc.exe
2011-11-07 14:28 . 2008-12-16 10:01 102400 ----a-w- c:\windows\RTKAUDIOSERVICE.EXE
2011-11-01 20:07 . 2011-06-23 06:29 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-21 20:22 . 2011-08-21 20:22 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-08-15 08:00 . 2011-01-10 23:00 9344 ----a-w- c:\windows\system32\drivers\mfeclnk.sys
2011-08-15 08:00 . 2011-01-10 23:00 87808 ----a-w- c:\windows\system32\drivers\mferkdet.sys
2011-08-15 08:00 . 2011-01-10 23:00 64712 ----a-w- c:\windows\system32\drivers\mfenlfk.sys
2011-08-15 08:00 . 2011-01-10 23:00 59288 ----a-w- c:\windows\system32\drivers\mfebopk.sys
2011-08-15 08:00 . 2011-01-10 23:00 57432 ----a-w- c:\windows\system32\drivers\cfwids.sys
2011-08-15 08:00 . 2011-01-10 23:00 461864 ----a-w- c:\windows\system32\drivers\mfehidk.sys
2011-08-15 08:00 . 2011-01-10 23:00 338040 ----a-w- c:\windows\system32\drivers\mfefirek.sys
2011-08-15 08:00 . 2011-01-10 23:00 180072 ----a-w- c:\windows\system32\drivers\mfeavfk.sys
2011-08-15 08:00 . 2011-01-10 23:00 164776 ----a-w- c:\windows\system32\drivers\mfewfpk.sys
2011-08-15 08:00 . 2011-01-10 23:00 119808 ----a-w- c:\windows\system32\drivers\mfeapfk.sys
2011-10-02 19:05 . 2011-03-24 05:38 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2011-04-14 12:01 . 2011-01-10 23:00 24376 ----a-w- c:\program files\mozilla firefox\components\Scriptff.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2009-08-10 284592]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2011-05-13 4283256]
"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2011-01-31 703360]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-03-09 247728]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-10 835584]
"RtHDVCpl"="RtHDVCpl.exe" [2008-10-17 6281760]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-12-10 30192]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-15 178712]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2009-05-26 317288]
"MarketingTools"="c:\program files\Sony\Marketing Tools\MarketingTools.exe" [2010-12-10 24576]
"AML"="c:\program files\Sony\VAIO Launcher\AML.exe" [2009-07-15 1101824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-18 13797920]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2011-09-16 1318552]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 795936]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-08-04 07:58 98304 ----a-w- c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-11-07 136176]
R2 McMPFSvc;McAfee Personal Firewall Service;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [x]
R2 McNaiAnn;McAfee VirusScan Announcer;c:\program files\Common Files\McAfee\McSvcHost\McSvHost.exe [x]
R2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files\Roxio\Digital Home 10\RoxioUpnpService10.exe [2009-06-26 362992]
R2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2011-11-07 415592]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-08-21 29472]
R3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [2011-08-15 57432]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-12-10 30192]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-11-07 136176]
R3 JMCR_CFS;JMCR_CFS;c:\windows\system32\DRIVERS\jmcr_cfs.sys [2008-11-06 55696]
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2011-08-15 87808]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 31125880]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2010-07-26 137600]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2010-07-26 8576]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2009-06-26 313840]
R3 SOHCImp;VAIO Media plus Content Importer;c:\program files\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-07-27 120104]
R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-07-27 70952]
R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-07-27 427304]
R3 SOHDs;VAIO Media plus Device Searcher;c:\program files\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-07-27 75048]
R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-07-27 91432]
R3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [2011-11-08 111872]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-09-16 480624]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2009-09-08 83312]
R3 VUAgent;VUAgent;c:\program files\Sony\VAIO Update Common\VUAgent.exe [2011-11-07 1086568]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-12-10 1343400]
R3 yukonw7;Pilote Miniport NDIS6.2 pour contrôleur Ethernet Marvell Yukon;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]
S0 mfewfpk;McAfee Inc. mfewfpk;c:\windows\system32\drivers\mfewfpk.sys [2011-08-15 164776]
S1 mfenlfk;McAfee NDIS Light Filter;c:\windows\system32\DRIVERS\mfenlfk.sys [2011-08-15 64712]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-11-07 64952]
S2 mfefire;McAfee Firewall Core Service;c:\program files\Common Files\McAfee\SystemCore\\mfefire.exe [2011-08-19 160344]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2011-08-19 148520]
S2 NSUService;NSUService;c:\program files\sony\Network Utility\NSUService.exe [2011-11-07 307200]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
S2 RtkAudioService;Realtek Audio Service;c:\windows\RtkAudioService.exe [2011-11-07 102400]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2011-11-07 92592]
S2 uCamMonitor;CamMonitor;c:\program files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2011-11-07 104960]
S2 VCFw;VAIO Content Folder Watcher;c:\program files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2011-11-07 642920]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2008-04-24 17920]
S3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [2011-08-15 338040]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-09-08 4231680]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-12-10 66080]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2008-08-22 9344]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - mfeavfk01
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService REG_MULTI_SZ HPSLPSVC
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-11-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-10 18:15]
.
2011-11-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-10 18:15]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
Trusted Zone: internet
Trusted Zone: mcafee.com
Trusted Zone: orange.fr\logicielsgratuits
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.2.0/GarminAxControl.CAB
DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} - hxxp://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
FF - ProfilePath - c:\users\Famille\AppData\Roaming\Mozilla\Firefox\Profiles\xy1lb691.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
.
.
------- Associations de fichier -------
.
.txt=Notepad++_file
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3456152527-1177042663-4229784714-1000\Software\SecuROM\License information*]
"datasecu"=hex:63,8c,35,64,aa,e8,f1,71,5e,51,48,c8,f7,77,1c,b0,2c,a7,9b,cf,91,
c7,04,4f,54,05,76,90,9c,9f,98,64,2c,b1,1b,70,c5,10,fa,a2,3f,67,d7,75,1c,af,\
"rkeysecu"=hex:af,8c,59,f6,83,60,2f,ba,a0,0b,61,c9,c5,e7,32,68
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(3604)
c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll
c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\sony\VAIO Event Service\VESMgr.exe
c:\windows\system32\DllHost.exe
c:\windows\system32\conhost.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Common Files\McAfee\SystemCore\mcshield.exe
c:\program files\Common Files\McAfee\SystemCore\mfefire.exe
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
c:\windows\system32\sppsvc.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Heure de fin: 2011-11-08 22:34:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-11-08 21:34
.
Avant-CF: 243 687 366 656 octets libres
Après-CF: 245 335 556 096 octets libres
.
- - End Of File - - 3A6711A6C794ACE44D66250356FFC759
0
Réponse 20 / 60
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
9 nov. 2011 à 03:41
Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :


c:\users\Famille\AppData\Roaming\Microsoft\Installer\{1C7CC8E2-CFCF-41E6-A863-7C7A45CE8A78}\IconF7A21AF7.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
0

Discussions similaires

W32 L32: correspondance entre taille US et taille française
efg -
sibel -

6 réponses
Privacy shield ???
DYLLEN76 -
stam18 -

13 réponses
Rav antivirus
cavalier33 -
cavalier33 -

2 réponses
À quoi correspond 32x32 US en taille française pour un jean ?
Alison1958 -
Thordendall -

1 réponse
nettoyage PC suite à arnaque telephonique " votre pc es infecté"
djoudjoudjou -
djoudjoudjou -

4 réponses