Bonjour, Je me suis faite infectée ce soir par le trojan Sirefef, c'est windows defender qui me l'a détecté. J'ai vu que je ne suis pas la seule dans ce cas et que ce virus est assez coriace. J'ai également vu des solutions mais je préfère avoir l'aide de quelqu'un pour m'en débarrasser, car je ne sais pas si tous les cas sont adaptés à tout le monde ! Je tourne sous Vista 32 bit. J'ai essayé TDSSKiller le webroot zeroaccess mais ils ne résolvent pas le problème. Quant à celui de Macafee, Avast me le bloque systématiquement. De plus, j'ai sans cesse adobe flash player qui se lance pour me demander l'autorisation d'une maj ou je ne sais quoi, qui finit toujours par une fenêtre avec une croix rouge qui me dit que "le client ne dispose pas du privilège nécessaire"... et cela revient dès que je ferme cette dernière fenêtre. Je n'éteins pas le pc car j'ai peur que cela empire ensuite... :) Merci d'avance ! Configuration: Windows Vista / Firefox 7.0.1

mieux vaut etre seul que mal accompagné ^^

Trojan Win32/Sirefef

Réponse 21 / 64

Babouline

Voici le rapport :

ComboFix 11-11-12.04 - Babou 13/11/2011 3:36.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.2513 [GMT 1:00]
Lancé depuis: c:\users\Babou\Desktop\Babouline.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\hpe33A1.dll
c:\users\Babou\AppData\Local\1cf6efbe
c:\users\Babou\AppData\Local\1cf6efbe\@
c:\users\Babou\AppData\Local\1cf6efbe\X
c:\users\Babou\AppData\Roaming\avdrn.dat
c:\windows\assembly\GAC_MSIL\desktop.ini
.
Une copie infectée de c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!Common Files!Apple!Mobile Device Support!AppleMobileDeviceService.exe
.
Une copie infectée de c:\windows\system32\Ati2evxx.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Windows!System32!Ati2evxx.exe
.
Une copie infectée de c:\program files\Bonjour\mDNSResponder.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!Bonjour!mDNSResponder.exe
.
Une copie infectée de c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!Hewlett-Packard!HP Quick Launch Buttons!Com4QLBEx.exe
.
Une copie infectée de c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!Hewlett-Packard!HP Health Check!hphc_service.exe
.
Une copie infectée de c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!Hewlett-Packard!Shared!hpqwmiex.exe
.
Une copie infectée de c:\program files\iPod\bin\iPodService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!iPod!bin!iPodService.exe
.
Une copie infectée de c:\program files\Common Files\LightScribe\LSSrvc.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!Common Files!LightScribe!LSSrvc.exe
.
Une copie infectée de c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!Sony Ericsson!Sony Ericsson PC Suite!SupServ.exe
.
Une copie infectée de c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\STacSV.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Windows!System32!DriverStore!FileRepository!stwrt.inf_f691e717!STacSV.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-13 au 2011-11-13 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-13 03:03 . 2011-11-13 03:06 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C3429F62-C2F1-44B9-880A-4AC7147622D2}\offreg.dll
2011-11-13 03:01 . 2011-11-13 03:07 -------- d-----w- c:\users\Babou\AppData\Local\temp
2011-11-13 03:01 . 2011-11-13 03:01 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-11-13 02:56 . 2008-03-28 09:17 667648 ----a-w- c:\windows\system32\Ati2evxx.exe
2011-11-12 23:16 . 2011-11-12 23:16 -------- d-sh--w- c:\windows\system32\%APPDATA%
2011-10-23 20:36 . 2011-10-23 20:36 -------- d-----w- c:\program files\CCleaner
2011-10-23 20:35 . 2011-10-23 20:35 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
2011-10-23 20:17 . 2011-10-23 20:17 -------- d-----w- c:\users\Babou\AppData\Local\PackageAware
2011-10-22 22:28 . 2011-10-22 22:28 -------- d-----w- c:\program files\Common Files\DivX Shared
2011-10-19 12:18 . 2011-10-19 12:18 0 ----a-w- c:\windows\system32\ConduitEngine.tmp
2011-10-19 12:06 . 2011-10-19 12:06 -------- d-----w- c:\program files\iPod
2011-10-19 12:06 . 2011-10-19 12:11 -------- d-----w- c:\program files\iTunes
2011-10-19 11:11 . 2011-11-13 02:57 -------- d-----w- c:\program files\Bonjour
2011-10-19 10:57 . 2011-10-19 10:57 -------- d-----w- c:\program files\Conduit
2011-10-19 10:55 . 2011-10-19 12:39 -------- d-----w- c:\program files\Freecorder
2011-10-17 16:47 . 2011-04-29 12:49 146432 ----a-w- c:\windows\system32\drivers\srv2.sys
2011-10-17 16:47 . 2011-04-29 12:49 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys
2011-10-17 16:47 . 2011-03-10 16:12 1136640 ----a-w- c:\windows\system32\mfc42.dll
2011-10-17 16:47 . 2011-03-10 16:12 1161728 ----a-w- c:\windows\system32\mfc42u.dll
2011-10-17 16:47 . 2011-03-02 14:49 86528 ----a-w- c:\windows\system32\dnsrslvr.dll
2011-10-17 16:47 . 2009-05-04 10:11 25088 ----a-w- c:\windows\system32\dnscacheugc.exe
2011-10-17 16:47 . 2010-12-20 15:39 563200 ----a-w- c:\windows\system32\oleaut32.dll
2011-10-17 16:45 . 2011-05-28 06:04 71680 ----a-w- c:\windows\system32\iesetup.dll
2011-10-17 16:44 . 2011-07-06 14:56 213504 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-10-17 16:44 . 2011-04-29 12:49 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-10-17 16:44 . 2011-04-29 12:49 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-17 16:44 . 2011-05-02 15:58 738816 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-17 16:43 . 2011-02-16 13:24 292864 ----a-w- c:\windows\system32\atmfd.dll
2011-10-17 16:43 . 2011-02-16 15:29 34304 ----a-w- c:\windows\system32\atmlib.dll
2011-10-17 16:43 . 2011-02-22 12:51 69632 ----a-w- c:\windows\system32\drivers\bowser.sys
2011-10-17 16:43 . 2011-04-14 14:24 75264 ----a-w- c:\windows\system32\drivers\dfsc.sys
2011-10-17 16:42 . 2011-04-30 06:09 758784 ----a-w- c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2011-10-17 16:41 . 2011-04-20 14:44 49152 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-17 16:08 . 2011-09-21 07:00 7269712 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C3429F62-C2F1-44B9-880A-4AC7147622D2}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-12 23:11 . 2011-05-15 11:44 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-06 20:45 . 2011-08-06 21:41 41184 ----a-w- c:\windows\avastSS.scr
2011-09-06 20:45 . 2008-12-19 00:14 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-09-06 20:38 . 2011-08-06 21:45 442200 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-09-06 20:37 . 2008-12-19 00:14 320856 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-09-06 20:36 . 2008-12-19 00:14 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-09-06 20:36 . 2008-12-19 00:14 52568 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-09-06 20:36 . 2008-12-19 00:14 54616 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-09-06 20:36 . 2008-12-19 00:14 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-08-30 21:05 . 2011-08-30 21:05 83816 ----a-w- c:\windows\system32\dns-sd.exe
2011-08-30 21:05 . 2011-08-30 21:05 73064 ----a-w- c:\windows\system32\dnssd.dll
2011-08-30 21:05 . 2011-08-30 21:05 178536 ----a-w- c:\windows\system32\dnssdX.dll
2011-08-26 18:51 . 2011-08-26 18:51 472808 ----a-w- c:\windows\system32\deployJava1.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2011-09-29 07:16 . 2011-10-02 22:27 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
2011-01-17 14:54 175912 ----a-w- c:\program files\Freecorder\prxtbFree.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\program files\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 20:45 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2010-04-16 3872080]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-17 1033512]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-04-16 442433]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-05-14 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Ask and Record FLV Service"="c:\program files\Ask & Record Toolbar\FLVSrvc.exe" [2009-03-10 156672]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"Freecorder FLV Service"="c:\program files\Freecorder\FLVSrvc.exe" [2011-03-24 167936]
.
c:\users\Babou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\aestsrv.exe [2008-02-12 73728]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-09-06 54616]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
R2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [x]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-03-26 341328]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2011-08-11 13224]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-01 81296]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]
R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]
R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]
R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]
R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]
R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]
R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]
R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 155344]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2009-07-10 91472]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\system32\DRIVERS\Amddfltr.sys [2008-01-07 15416]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-01-23 52736]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-11-04 c:\windows\Tasks\HPCeeScheduleForBabou.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-05-27 13:14]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cnnb
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: Interfaces\{CEA33CF8-D780-4010-9C5C-7096181846F7}: NameServer = 80.10.246.130,80.10.246.3
FF - ProfilePath - c:\users\Babou\AppData\Roaming\Mozilla\Firefox\Profiles\1p05a7wk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-EoEngine - (no file)
SafeBoot-84873406.sys
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}\bm_installer.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-13 04:06
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3723081839-1196088536-3563261739-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:b2,72,09,74,c7,c3,53,2e,cb,1f,1f,7e,cd,17,58,33,53,ff,06,db,d6,5e,47,
8f,31,fb,2a,71,9a,3b,54,d0,ef,d1,4c,44,ca,47,db,a9,38,7c,89,4c,6a,bc,91,af,\
"??"=hex:88,be,89,0e,3f,20,0f,bd,b2,82,f5,28,5d,03,2d,88
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-11-13 04:14:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-11-13 03:14
.
Avant-CF: 61 272 866 816 octets libres
Après-CF: 61 116 190 720 octets libres
.
- - End Of File - - 0BB5B91693D5C3A0177EEA7B46AEDFC2

Réponse 22 / 64

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Mouais
Pas cool.

Refais encore un ComboFix. Y'a encore des fichiers patchés à mon avis.

Réponse 23 / 64

Babouline

Ok c'est relancé. Mais c'est quoi exactement combofix ? Est-ce que c'est un truc spécifique à Sirefef ou c'est pour les problèmes système ?

Réponse 24 / 64

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

C'est un utilitaire de désinfection contre les rootkits.
Il permet aussi de, comme tu peux le voir dans les rapports, remettre en place des fichiers patchés par les infections :

Une copie infectée de c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\babouline\HarddiskVolumeShadowCopy8_!Program Files!Common Files!Apple!Mobile Device Support!AppleMobileDeviceService.exe

Réponse 25 / 64

Babouline

Ok :) Même pb à l'étape 38, mais en fait que je viens de me rendre compte que je l'ai pas lancé en faisant le clic droit... -_- donc je vais en relancer un comme ça, on ne sait jamais. Voilà le nouveau rapport :

ComboFix 11-11-12.04 - Babou 13/11/2011 4:45.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.2517 [GMT 1:00]
Lancé depuis: c:\users\Babou\Desktop\Babouline.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-13 au 2011-11-13 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-13 04:03 . 2011-11-13 04:03 -------- d-----w- c:\users\Babou\AppData\Local\temp
2011-11-13 04:03 . 2011-11-13 04:03 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-11-13 03:20 . 2011-11-13 03:20 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C3429F62-C2F1-44B9-880A-4AC7147622D2}\offreg.dll
2011-11-13 02:56 . 2008-03-28 09:17 667648 ----a-w- c:\windows\system32\Ati2evxx.exe
2011-11-13 02:34 . 2011-11-13 03:14 -------- d-----w- C:\Babouline
2011-11-12 23:16 . 2011-11-12 23:16 -------- d-sh--w- c:\windows\system32\%APPDATA%
2011-10-23 20:36 . 2011-10-23 20:36 -------- d-----w- c:\program files\CCleaner
2011-10-23 20:35 . 2011-10-23 20:35 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
2011-10-23 20:17 . 2011-10-23 20:17 -------- d-----w- c:\users\Babou\AppData\Local\PackageAware
2011-10-22 22:28 . 2011-10-22 22:28 -------- d-----w- c:\program files\Common Files\DivX Shared
2011-10-19 12:18 . 2011-10-19 12:18 0 ----a-w- c:\windows\system32\ConduitEngine.tmp
2011-10-19 12:06 . 2011-10-19 12:06 -------- d-----w- c:\program files\iPod
2011-10-19 12:06 . 2011-10-19 12:11 -------- d-----w- c:\program files\iTunes
2011-10-19 11:11 . 2011-11-13 02:57 -------- d-----w- c:\program files\Bonjour
2011-10-19 10:57 . 2011-10-19 10:57 -------- d-----w- c:\program files\Conduit
2011-10-19 10:55 . 2011-10-19 12:39 -------- d-----w- c:\program files\Freecorder
2011-10-17 16:53 . 2009-10-09 21:56 2048 ----a-w- c:\windows\system32\winrsmgr.dll
2011-10-17 16:52 . 2009-10-09 21:56 12800 ----a-w- c:\windows\system32\wsmprovhost.exe
2011-10-17 16:52 . 2009-10-09 21:56 20480 ----a-w- c:\windows\system32\winrshost.exe
2011-10-17 16:52 . 2009-10-09 21:56 40448 ----a-w- c:\windows\system32\winrs.exe
2011-10-17 16:52 . 2009-10-09 21:56 10240 ----a-w- c:\windows\system32\wsmplpxy.dll
2011-10-17 16:52 . 2009-10-09 21:56 10240 ----a-w- c:\windows\system32\winrssrv.dll
2011-10-17 16:51 . 2009-10-09 21:55 79872 ----a-w- c:\windows\system32\wecutil.exe
2011-10-17 16:51 . 2009-10-09 21:55 81408 ----a-w- c:\windows\system32\wevtfwd.dll
2011-10-17 16:51 . 2009-10-09 21:55 56320 ----a-w- c:\windows\system32\wecapi.dll
2011-10-17 16:51 . 2009-10-09 21:55 54272 ----a-w- c:\windows\system32\WsmRes.dll
2011-10-17 16:51 . 2009-10-09 21:55 146944 ----a-w- c:\windows\system32\wecsvc.dll
2011-10-17 16:51 . 2009-10-09 21:56 41472 ----a-w- c:\windows\system32\pwrshplugin.dll
2011-10-17 16:50 . 2009-08-01 06:27 201184 ----a-w- c:\windows\system32\winrm.vbs
2011-10-17 16:50 . 2009-10-09 21:56 214016 ----a-w- c:\windows\system32\WsmWmiPl.dll
2011-10-17 16:50 . 2009-10-09 21:56 241152 ----a-w- c:\windows\system32\winrscmd.dll
2011-10-17 16:50 . 2009-10-09 21:56 145408 ----a-w- c:\windows\system32\WsmAuto.dll
2011-10-17 16:50 . 2009-10-09 21:56 246272 ----a-w- c:\windows\system32\WSManHTTPConfig.exe
2011-10-17 16:50 . 2009-10-09 21:55 252416 ----a-w- c:\windows\system32\WSManMigrationPlugin.dll
2011-10-17 16:50 . 2009-10-09 21:56 1181696 ----a-w- c:\windows\system32\WsmSvc.dll
2011-10-17 16:47 . 2011-04-29 12:49 146432 ----a-w- c:\windows\system32\drivers\srv2.sys
2011-10-17 16:47 . 2011-04-29 12:49 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys
2011-10-17 16:47 . 2011-03-10 16:12 1136640 ----a-w- c:\windows\system32\mfc42.dll
2011-10-17 16:47 . 2011-03-10 16:12 1161728 ----a-w- c:\windows\system32\mfc42u.dll
2011-10-17 16:47 . 2011-03-02 14:49 86528 ----a-w- c:\windows\system32\dnsrslvr.dll
2011-10-17 16:47 . 2009-05-04 10:11 25088 ----a-w- c:\windows\system32\dnscacheugc.exe
2011-10-17 16:47 . 2010-12-20 15:39 563200 ----a-w- c:\windows\system32\oleaut32.dll
2011-10-17 16:45 . 2011-05-28 06:04 71680 ----a-w- c:\windows\system32\iesetup.dll
2011-10-17 16:44 . 2011-07-06 14:56 213504 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-10-17 16:44 . 2011-04-29 12:49 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-10-17 16:44 . 2011-04-29 12:49 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-17 16:44 . 2011-06-02 12:59 2042368 ----a-w- c:\windows\system32\win32k.sys
2011-10-17 16:44 . 2011-05-02 15:58 738816 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-17 16:43 . 2011-02-16 13:24 292864 ----a-w- c:\windows\system32\atmfd.dll
2011-10-17 16:43 . 2011-02-16 15:29 34304 ----a-w- c:\windows\system32\atmlib.dll
2011-10-17 16:43 . 2011-02-22 12:51 69632 ----a-w- c:\windows\system32\drivers\bowser.sys
2011-10-17 16:43 . 2011-04-14 14:24 75264 ----a-w- c:\windows\system32\drivers\dfsc.sys
2011-10-17 16:42 . 2011-04-30 06:09 758784 ----a-w- c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2011-10-17 16:41 . 2011-04-20 14:47 375808 ----a-w- c:\windows\system32\winsrv.dll
2011-10-17 16:41 . 2011-04-20 14:44 49152 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-17 16:27 . 2011-04-29 14:54 276992 ----a-w- c:\windows\system32\schannel.dll
2011-10-17 16:08 . 2011-09-21 07:00 7269712 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C3429F62-C2F1-44B9-880A-4AC7147622D2}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-12 23:11 . 2011-05-15 11:44 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-06 20:45 . 2011-08-06 21:41 41184 ----a-w- c:\windows\avastSS.scr
2011-09-06 20:45 . 2008-12-19 00:14 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-09-06 20:38 . 2011-08-06 21:45 442200 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-09-06 20:37 . 2008-12-19 00:14 320856 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-09-06 20:36 . 2008-12-19 00:14 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-09-06 20:36 . 2008-12-19 00:14 52568 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-09-06 20:36 . 2008-12-19 00:14 54616 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-09-06 20:36 . 2008-12-19 00:14 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-08-30 21:05 . 2011-08-30 21:05 83816 ----a-w- c:\windows\system32\dns-sd.exe
2011-08-30 21:05 . 2011-08-30 21:05 73064 ----a-w- c:\windows\system32\dnssd.dll
2011-08-30 21:05 . 2011-08-30 21:05 178536 ----a-w- c:\windows\system32\dnssdX.dll
2011-08-26 18:51 . 2011-08-26 18:51 472808 ----a-w- c:\windows\system32\deployJava1.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2011-09-29 07:16 . 2011-10-02 22:27 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
2011-01-17 14:54 175912 ----a-w- c:\program files\Freecorder\prxtbFree.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\program files\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 20:45 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2010-04-16 3872080]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-17 1033512]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-04-16 442433]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-05-14 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Ask and Record FLV Service"="c:\program files\Ask & Record Toolbar\FLVSrvc.exe" [2009-03-10 156672]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"Freecorder FLV Service"="c:\program files\Freecorder\FLVSrvc.exe" [2011-03-24 167936]
.
c:\users\Babou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\aestsrv.exe [2008-02-12 73728]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-09-06 54616]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
R2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [x]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-03-26 341328]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2011-08-11 13224]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-01 81296]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]
R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]
R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]
R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]
R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]
R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]
R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]
R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 155344]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2009-07-10 91472]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\system32\DRIVERS\Amddfltr.sys [2008-01-07 15416]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-01-23 52736]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-11-04 c:\windows\Tasks\HPCeeScheduleForBabou.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-05-27 13:14]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cnnb
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: Interfaces\{CEA33CF8-D780-4010-9C5C-7096181846F7}: NameServer = 80.10.246.130,80.10.246.3
FF - ProfilePath - c:\users\Babou\AppData\Roaming\Mozilla\Firefox\Profiles\1p05a7wk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-13 05:03
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3723081839-1196088536-3563261739-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:b2,72,09,74,c7,c3,53,2e,cb,1f,1f,7e,cd,17,58,33,53,ff,06,db,d6,5e,47,
8f,31,fb,2a,71,9a,3b,54,d0,ef,d1,4c,44,ca,47,db,a9,38,7c,89,4c,6a,bc,91,af,\
"??"=hex:88,be,89,0e,3f,20,0f,bd,b2,82,f5,28,5d,03,2d,88
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-11-13 05:06:41
ComboFix-quarantined-files.txt 2011-11-13 04:06
ComboFix2.txt 2011-11-13 03:14
.
Avant-CF: 61 167 960 064 octets libres
Après-CF: 61 128 683 520 octets libres
.
- - End Of File - - 0F1C349A100246D4BF49FEB436F58286

Réponse 26 / 64

Babouline

En lançant avec les droits d'admin, ça a planté à l'étape 5 : PEV.exe a cessé de fonctionner... je ne sais pas ce que c'est. Mais combo continue de tourner...

Babouline

Bon eh bien même en lançant avec droits d'admin, l'étape 38 me dit que l'accès est refusé et qu'il faut les droits d'admin.

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

si ça continue à tourner, laisse-le.
il est susceptible :p

Réponse 27 / 64

Babouline

Dernier rapport :

ComboFix 11-11-12.04 - Babou 13/11/2011 5:08.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.2350 [GMT 1:00]
Lancé depuis: c:\users\Babou\Desktop\Babouline.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-13 au 2011-11-13 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-13 04:20 . 2011-11-13 04:21 -------- d-----w- c:\users\Babou\AppData\Local\temp
2011-11-13 04:20 . 2011-11-13 04:20 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-11-13 03:20 . 2011-11-13 03:20 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C3429F62-C2F1-44B9-880A-4AC7147622D2}\offreg.dll
2011-11-13 02:56 . 2008-03-28 09:17 667648 ----a-w- c:\windows\system32\Ati2evxx.exe
2011-11-13 02:34 . 2011-11-13 03:14 -------- d-----w- C:\Babouline
2011-11-12 23:16 . 2011-11-12 23:16 -------- d-sh--w- c:\windows\system32\%APPDATA%
2011-10-23 20:36 . 2011-10-23 20:36 -------- d-----w- c:\program files\CCleaner
2011-10-23 20:35 . 2011-10-23 20:35 -------- d-----w- c:\programdata\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
2011-10-23 20:17 . 2011-10-23 20:17 -------- d-----w- c:\users\Babou\AppData\Local\PackageAware
2011-10-22 22:28 . 2011-10-22 22:28 -------- d-----w- c:\program files\Common Files\DivX Shared
2011-10-19 12:18 . 2011-10-19 12:18 0 ----a-w- c:\windows\system32\ConduitEngine.tmp
2011-10-19 12:06 . 2011-10-19 12:06 -------- d-----w- c:\program files\iPod
2011-10-19 12:06 . 2011-10-19 12:11 -------- d-----w- c:\program files\iTunes
2011-10-19 11:11 . 2011-11-13 02:57 -------- d-----w- c:\program files\Bonjour
2011-10-19 10:57 . 2011-10-19 10:57 -------- d-----w- c:\program files\Conduit
2011-10-19 10:55 . 2011-10-19 12:39 -------- d-----w- c:\program files\Freecorder
2011-10-17 16:53 . 2009-10-09 21:56 2048 ----a-w- c:\windows\system32\winrsmgr.dll
2011-10-17 16:52 . 2009-10-09 21:56 12800 ----a-w- c:\windows\system32\wsmprovhost.exe
2011-10-17 16:52 . 2009-10-09 21:56 20480 ----a-w- c:\windows\system32\winrshost.exe
2011-10-17 16:52 . 2009-10-09 21:56 40448 ----a-w- c:\windows\system32\winrs.exe
2011-10-17 16:52 . 2009-10-09 21:56 10240 ----a-w- c:\windows\system32\wsmplpxy.dll
2011-10-17 16:52 . 2009-10-09 21:56 10240 ----a-w- c:\windows\system32\winrssrv.dll
2011-10-17 16:51 . 2009-10-09 21:55 79872 ----a-w- c:\windows\system32\wecutil.exe
2011-10-17 16:51 . 2009-10-09 21:55 81408 ----a-w- c:\windows\system32\wevtfwd.dll
2011-10-17 16:51 . 2009-10-09 21:55 56320 ----a-w- c:\windows\system32\wecapi.dll
2011-10-17 16:51 . 2009-10-09 21:55 54272 ----a-w- c:\windows\system32\WsmRes.dll
2011-10-17 16:51 . 2009-10-09 21:55 146944 ----a-w- c:\windows\system32\wecsvc.dll
2011-10-17 16:51 . 2009-10-09 21:56 41472 ----a-w- c:\windows\system32\pwrshplugin.dll
2011-10-17 16:50 . 2009-08-01 06:27 201184 ----a-w- c:\windows\system32\winrm.vbs
2011-10-17 16:50 . 2009-10-09 21:56 214016 ----a-w- c:\windows\system32\WsmWmiPl.dll
2011-10-17 16:50 . 2009-10-09 21:56 241152 ----a-w- c:\windows\system32\winrscmd.dll
2011-10-17 16:50 . 2009-10-09 21:56 145408 ----a-w- c:\windows\system32\WsmAuto.dll
2011-10-17 16:50 . 2009-10-09 21:56 246272 ----a-w- c:\windows\system32\WSManHTTPConfig.exe
2011-10-17 16:50 . 2009-10-09 21:55 252416 ----a-w- c:\windows\system32\WSManMigrationPlugin.dll
2011-10-17 16:50 . 2009-10-09 21:56 1181696 ----a-w- c:\windows\system32\WsmSvc.dll
2011-10-17 16:47 . 2011-04-29 12:49 146432 ----a-w- c:\windows\system32\drivers\srv2.sys
2011-10-17 16:47 . 2011-04-29 12:49 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys
2011-10-17 16:47 . 2011-03-10 16:12 1136640 ----a-w- c:\windows\system32\mfc42.dll
2011-10-17 16:47 . 2011-03-10 16:12 1161728 ----a-w- c:\windows\system32\mfc42u.dll
2011-10-17 16:47 . 2011-03-02 14:49 86528 ----a-w- c:\windows\system32\dnsrslvr.dll
2011-10-17 16:47 . 2009-05-04 10:11 25088 ----a-w- c:\windows\system32\dnscacheugc.exe
2011-10-17 16:47 . 2010-12-20 15:39 563200 ----a-w- c:\windows\system32\oleaut32.dll
2011-10-17 16:45 . 2011-05-28 06:04 71680 ----a-w- c:\windows\system32\iesetup.dll
2011-10-17 16:44 . 2011-07-06 14:56 213504 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-10-17 16:44 . 2011-04-29 12:49 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-10-17 16:44 . 2011-04-29 12:49 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-10-17 16:44 . 2011-06-02 12:59 2042368 ----a-w- c:\windows\system32\win32k.sys
2011-10-17 16:44 . 2011-05-02 15:58 738816 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-17 16:43 . 2011-02-16 13:24 292864 ----a-w- c:\windows\system32\atmfd.dll
2011-10-17 16:43 . 2011-02-16 15:29 34304 ----a-w- c:\windows\system32\atmlib.dll
2011-10-17 16:43 . 2011-02-22 12:51 69632 ----a-w- c:\windows\system32\drivers\bowser.sys
2011-10-17 16:43 . 2011-04-14 14:24 75264 ----a-w- c:\windows\system32\drivers\dfsc.sys
2011-10-17 16:42 . 2011-04-30 06:09 758784 ----a-w- c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2011-10-17 16:41 . 2011-04-20 14:47 375808 ----a-w- c:\windows\system32\winsrv.dll
2011-10-17 16:41 . 2011-04-20 14:44 49152 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-17 16:27 . 2011-04-29 14:54 276992 ----a-w- c:\windows\system32\schannel.dll
2011-10-17 16:08 . 2011-09-21 07:00 7269712 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C3429F62-C2F1-44B9-880A-4AC7147622D2}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-12 23:11 . 2011-05-15 11:44 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-06 20:45 . 2011-08-06 21:41 41184 ----a-w- c:\windows\avastSS.scr
2011-09-06 20:45 . 2008-12-19 00:14 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-09-06 20:38 . 2011-08-06 21:45 442200 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-09-06 20:37 . 2008-12-19 00:14 320856 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-09-06 20:36 . 2008-12-19 00:14 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-09-06 20:36 . 2008-12-19 00:14 52568 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-09-06 20:36 . 2008-12-19 00:14 54616 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-09-06 20:36 . 2008-12-19 00:14 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-08-30 21:05 . 2011-08-30 21:05 83816 ----a-w- c:\windows\system32\dns-sd.exe
2011-08-30 21:05 . 2011-08-30 21:05 73064 ----a-w- c:\windows\system32\dnssd.dll
2011-08-30 21:05 . 2011-08-30 21:05 178536 ----a-w- c:\windows\system32\dnssdX.dll
2011-08-26 18:51 . 2011-08-26 18:51 472808 ----a-w- c:\windows\system32\deployJava1.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2011-09-29 07:16 . 2011-10-02 22:27 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
2011-01-17 14:54 175912 ----a-w- c:\program files\Freecorder\prxtbFree.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\program files\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= "c:\program files\Freecorder\prxtbFree.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 20:45 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2010-04-16 3872080]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-17 1033512]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-04-16 442433]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-05-14 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Ask and Record FLV Service"="c:\program files\Ask & Record Toolbar\FLVSrvc.exe" [2009-03-10 156672]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"Freecorder FLV Service"="c:\program files\Freecorder\FLVSrvc.exe" [2011-03-24 167936]
.
c:\users\Babou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\aestsrv.exe [2008-02-12 73728]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-09-06 54616]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
R2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [x]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-03-26 341328]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2011-08-11 13224]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-01 81296]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]
R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]
R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]
R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]
R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]
R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]
R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]
R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 155344]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2009-07-10 91472]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\system32\DRIVERS\Amddfltr.sys [2008-01-07 15416]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-01-23 52736]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-11-04 c:\windows\Tasks\HPCeeScheduleForBabou.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-05-27 13:14]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cnnb
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: Interfaces\{CEA33CF8-D780-4010-9C5C-7096181846F7}: NameServer = 80.10.246.130,80.10.246.3
FF - ProfilePath - c:\users\Babou\AppData\Roaming\Mozilla\Firefox\Profiles\1p05a7wk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-13 05:21
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3723081839-1196088536-3563261739-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:b2,72,09,74,c7,c3,53,2e,cb,1f,1f,7e,cd,17,58,33,53,ff,06,db,d6,5e,47,
8f,31,fb,2a,71,9a,3b,54,d0,ef,d1,4c,44,ca,47,db,a9,38,7c,89,4c,6a,bc,91,af,\
"??"=hex:88,be,89,0e,3f,20,0f,bd,b2,82,f5,28,5d,03,2d,88
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-11-13 05:22:36
ComboFix-quarantined-files.txt 2011-11-13 04:22
ComboFix2.txt 2011-11-13 04:06
ComboFix3.txt 2011-11-13 03:14
.
Avant-CF: 61 158 207 488 octets libres
Après-CF: 61 126 221 824 octets libres
.
- - End Of File - - 8ED089D84141D278A0A99782A88A2BB3

Réponse 28 / 64

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

ok ça redémarre en normal?

Réponse 29 / 64

Babouline

ça redémarre en normal, mais toujours le même bug lorsque je rentre mon mot de passe.

Réponse 30 / 64

Babouline

Est-ce que ce brouillage d'écran peut venir d'un conflit entre qqch et combofix ?
Je vais aller me coucher, là je ne tiens plus :/
N'hésites pas à poster des choses à faire, je le ferai demain matin.
Je te remercie déjà bcp pour ton aide! Mais j'espère vraiment venir à bout de ça :s

Réponse 31 / 64

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

mmmh ben alors on va restaurer le pc ... pour ne plus que l écran se "brouille"
puis tu refais un combofix depuis le mode sans échec

Réponse 32 / 64

babouline

Ok. Une restauration systeme via la console dans démarrer ? En mode sans échec? (pas le choix de toute façon...) ou une restauration-formatage ??

Réponse 33 / 64

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Via la console dans démarrer.
Tu choisis le point de restauration juste avant le premier passage de ComboFix.

Réponse 34 / 64

babouline

Ok, je vais faire ça.

Réponse 35 / 64

Babouline

Le seul point de restau avant d'avoir utilisé combo s'appelle "désinstaller windows defender checkpoint"... rien en rapport avec combofix. Je prends quand même celui ci ?

Babouline

(J'ai des points de contrôle planifié des jours d'avant évidemment.)

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Ouep.
C'est un PR de quand t'as désinstallé Win Defender.

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

suite : une fois fais relance pas combofix on va tenter autre chose.

Babouline

Je me souviens pas avoir désinstallé win defender c'est ça qui m'inquiète :p Mais bon c'est lancé.

Babouline

Euuh... Bon bah redémarrage en normal, sauf que... même bug, l'écran se brouille toujours...

Réponse 36 / 64

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

mode sans échec avec réseau ?

Télécharge Pre_scan (de gen-hackman)

Si le lien ne fonctionne pas, utilise celui-ci

♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau

▶ Exécute Pre_scan.
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
Si l'outil est bloqué, utilise cette version
Si l'outil détecte un proxy et que tu n'en n'as pas installé clique sur "supprimer le proxy"

▶ Une fois qu'il aura fini, un rapport s'ouvrira.

♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : https://www.cjoint.com/

▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

https://www.cjoint.com/?FDLKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tutoriel Pre_Scan : http://forums-fec.be/entraide/viewtopic.php?f=55&t=47

Babouline

Oui en mode sans échec avec réseau.

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

lance pre scan on avisera.

Babouline

C'est lancé. C'est le même type de programme que Combofix ?

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

non :)

mais pre scan attaque de front sirefef, il a pas peur il tire dans le lard ^^

Babouline

Ah bah je crois qu'au point où j'en suis de toute façon... je devrais songer à faire des sauvegardes de mes fichiers sur mon dd externe ^^

Réponse 37 / 64

Babouline

http://cjoint.com/?0KnpDcmixM4

(je suis lente, c'est mon pc fixe qui est un peu vieux... :/)

Réponse 38 / 64

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Désinstalle Conduit Toolbar
Désinstalle Spybot

~~

fais glisser une icone n'importe laquelle sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________

Kill::

Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{1392b8d2-5c05-419f-a8f6-b9f15a596612}"=-
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"=-
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{62A30616-C8CE-4F6E-AC27-42818F62EACF}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{62A30616-C8CE-4F6E-AC27-42818F62EACF}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{005E6CC5-4FD7-43D3-A623-4EDC5FF76EDA}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4B924EDC-2B9F-48BA-8C2C-483376D50F32}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8828AAF1-64BF-47CE-B8F1-FEC7D3EC3D40}]
[-HKCU\Software\1cf6efbe]
[-HKCU\Software\Ask&Record]
[-HKCU\Software\Conduit]
[-HKCU\Software\EoRezo]
[-HKLM\Software\conduitEngine]
[-HKLM\Software\EoRezo]
[-HKLM\Software\Freecorder]
[-HKLM\Software\Viewpoint]

Folder::
C:\Program Files\ConduitEngine
C:\Program Files\Freecorder
C:\Users\Babou\AppData\Local\Conduit
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ask & Record Toolbar
C:\Users\Babou\AppData\Roaming\EoRezo
C:\Program Files\Ask & Record Toolbar
C:\Program Files\ConduitEngine

File::
C:\Windows\winstart.bat

clean::
attrib::

___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Babouline

J'ai Conduit engine mais pas conduit toolbar. Même chose ?

Babouline

Et je n'ai pas spybot non plus... je l'avais, mais je l'avais supprimé.

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

ouaip supprime conduit engine

pour spybot ce sont des restes alors on supprimera par la suite !

Babouline

D'accord. J'attends que mon transfert de fichiers vers le DD ext. se finisse et je lance ça.

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

ok :p

Réponse 39 / 64

Babouline

Pre-script :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.96 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 17/10/2011 | 00.40 Par g3n-h@ckm@n
Utilisateur : Babou (Administrateurs)
Ordinateur : PC-DE-BABOU
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 7.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::

Script : 16:14:55

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\Windows\winstart.bat

¤

Absent : C:\Program Files\ConduitEngine
Supprimé : C:\Program Files\Freecorder
Supprimé : C:\Users\Babou\AppData\Local\Conduit
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ask & Record Toolbar
Supprimé : C:\Users\Babou\AppData\Roaming\EoRezo
Supprimé : C:\Program Files\Ask & Record Toolbar
Absent : C:\Program Files\ConduitEngine

¤

Disques externes : 220 Objets réattribués
Disque Local : 9 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 29 Objets réattribués
Music : 906 Objets réattribués
Pictures : 8 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 0 Objets réattribués
Links : 0 Objets réattribués
Searches : 3 Objets réattribués
Contacts : 3 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 40 Objets réattribués
Windows : 66 Objets réattribués
StartMenu : 2 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 23 Objets réattribués

¤

¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤

explorer.exe -> Processus redémarré

Fin : 16:18:21

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

Réponse 40 / 64

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

redémarre en normal voir ?

Babouline

(j'attendais de finir un autre transfert de fichier ^^ ça se lance là je te redis)

Babouline

Brouillage d'écran...

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

mdr ok no soucis

Babouline

je comprends pas pourquoi tout se brouille comme ça :(

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

moi non plus ... surtout après la restauration ...

Trojan Win32/Sirefef

64 réponses

Votre réponse

Discussions similaires

Newsletters