Sujet Précédent Sujet Suivant

XP Antispyware 2012

Résolu/Fermé
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 - 2 janv. 2012 à 17:17
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 8 janv. 2012 à 10:08
Bonjour,

Mon ordinateur a été infecté par XP Antispyware 2012. En faisant des recherches sur internet, je suis tombée sur RogueKiller et j'ai suivi le mode d'emploi et obtenu le rapport RKreport mais après je ne sais pas quoi faire.
Quelqu'un pourrait-il m'aider? Merci d'avance.

A voir également:

36 réponses

  • 1
  • 2
Réponse 1 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
2 janv. 2012 à 17:20
Bonjour,

Poste sur le forum le rapport obtenu

A +
0
Réponse 2 / 36
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 9
2 janv. 2012 à 17:43
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: HP_Propriétaire [Droits d'admin]
Mode: Recherche -- Date : 02/01/2012 16:54:44

¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : XP Antispyware 2012] dxk.exe -- C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe -> KILLED [TermProc]
[SUSP PATH] setup.exe -- C:\WINDOWS\TEMP\muejcy\setup.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 10 ¤¤¤
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\.exe : (l3A) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 0bb090729e30dc2f446ca98836c8ff10
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 193417 Mo
1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 377784540 | Size: 6621 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Réponse 3 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
2 janv. 2012 à 18:00
re,

Mauvaise nouvelle, tu es aussi infecté par le rootkit ZeroAccess

1. Relance RogueKiller.exe

● Lorsque demandé, tape 2 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.

== == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

== == == == == == == == == == == == == == == == == == == == == ==

2. Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.

!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)

● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.

!! Réactive les protections résidentes de ton PC !!

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

A +
0
Réponse 4 / 36
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 9
2 janv. 2012 à 18:14
Voilà le second rapport:

RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: HP_Propriétaire [Droits d'admin]
Mode: Suppression -- Date : 02/01/2012 18:12:47

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 9 ¤¤¤
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[FILEASSO] HKCR\[...].exe : (l3A) -> REPLACED (exefile)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe")
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\dxk.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files\internet explorer\IEXPLORE.EXE")

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 0bb090729e30dc2f446ca98836c8ff10
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 193417 Mo
1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 377784540 | Size: 6621 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
2 janv. 2012 à 18:34
Ok, tu peux passer à la suite.

A +
0
Réponse 6 / 36
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 9
2 janv. 2012 à 21:19
Voilà le lien: http://cjoint.com/12jv/BAcvn2RRD9c.htm

Merci beaucoup pour ton aide.
0
Réponse 7 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
2 janv. 2012 à 21:41
lily4569,

Pourquoi ne pas avoir désactiver l'antivirus ?

1. Désinstalle Imesh Toolbar ou/et Imesh Média Bar

2. Ouvre le bloc-note et copie/colle les instructions en citation : 

KillAll::

Driver::
ethyljto  

File::      
c:\windows\system32\drivers\ethyljto.sys 
c:\windows\~DFE7BB.tmp 
c:\windows\~DF50F.tmp 

Folder::
c:\program files\imesh applications
  
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DATAMNGR] 
[HKEY_LOCAL_MACHINE\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
"{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{474597C5-AB09-49d6-A4D5-2E8D7341384E}]     
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F}]

● Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!

● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.

3. Poste le rapport

A +
0
Réponse 8 / 36
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 9
2 janv. 2012 à 22:06
Je croyais pourtant avoir désactiver l'antivirus.
Comment désinstalle-t-on imesh?
0
Réponse 9 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
2 janv. 2012 à 22:20
Tu désinstalles imesh via Démarrer > Panneau de Configuration > Ajout/Suppression de programmes

A +
0
Réponse 10 / 36
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 9
2 janv. 2012 à 23:04
Voici le rapport:

ComboFix 12-01-02.01 - HP_Propriétaire 02/01/2012 22:45:45.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.447.229 [GMT 1:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\windows\~DF50F.tmp"
"c:\windows\~DFE7BB.tmp"
"c:\windows\system32\drivers\ethyljto.sys"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\imesh applications
c:\program files\imesh applications\MediaBar\Datamngr\datamngr.dll
c:\program files\imesh applications\MediaBar\Datamngr\datamngrUI.exe
c:\program files\imesh applications\MediaBar\Datamngr\FirefoxExtension\chrome.manifest
c:\program files\imesh applications\MediaBar\Datamngr\FirefoxExtension\components\DataMngrHlp.dll
c:\program files\imesh applications\MediaBar\Datamngr\FirefoxExtension\components\DataMngrHlp.xpt
c:\program files\imesh applications\MediaBar\Datamngr\FirefoxExtension\content\overlay.js
c:\program files\imesh applications\MediaBar\Datamngr\FirefoxExtension\content\overlay.xul
c:\program files\imesh applications\MediaBar\Datamngr\FirefoxExtension\install.rdf
c:\program files\imesh applications\MediaBar\Datamngr\IEBHO.dll
c:\program files\imesh applications\MediaBar\uninstall.exe
c:\windows\~DF50F.tmp
c:\windows\~DFE7BB.tmp
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_ethyljto
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-12-02 au 2012-01-02 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-02 15:30 . 2012-01-02 15:30 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
2012-01-01 22:04 . 2012-01-02 17:12 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2012-01-01 22:03 . 2012-01-01 22:05 -------- d-----w- C:\RK_Quarantine
2011-12-17 19:02 . 2011-12-17 19:02 -------- d-----w- c:\documents and settings\HP_Propriétaire\Application Data\DDMSettings
2011-12-16 23:10 . 2011-12-16 23:10 -------- d-----w- c:\documents and settings\HP_Propriétaire\Local Settings\Application Data\WinAVI
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-20 23:26 . 2011-10-20 23:26 94208 ----a-w- c:\windows\system32\dpl100.dll
2011-10-13 08:05 . 2011-10-13 08:05 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((( SnapShot@2012-01-02_19.53.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-01-02 21:53 . 2012-01-02 21:53 16384 c:\windows\temp\Perflib_Perfdata_7dc.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-08 16010240]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-04-07 673616]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-06-01 180269]
.
c:\documents and settings\Default User\Menu Démarrer\Programmes\Démarrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-6-1 27136]
.
c:\documents and settings\Default User\Menu Démarrer\Programmes\Démarrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-6-1 27136]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-12-15 282624]
.
c:\documents and settings\Default User\Menu Démarrer\Programmes\Démarrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-6-1 27136]
.
c:\documents and settings\Default User\Menu Démarrer\Programmes\Démarrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-6-1 27136]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^McAfee Security Scan Plus.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^HP_Propriétaire^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk]
path=c:\documents and settings\HP_Propriétaire\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\adm_tray.exe]
2011-02-24 17:02 470240 ----a-w- c:\program files\Acronis\DriveMonitor\adm_tray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-21 23:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08 1259376 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2011-05-10 00:41 49208 ----a-w- c:\program files\HP\HP Software Update\hpwuschd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPBootOp]
2006-02-15 20:34 249856 ----a-w- c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD08]
2005-06-02 06:35 49152 ----a-w- c:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-10-13 23:24 1694208 ----a-w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCDrProfiler]
2006-01-20 07:20 53248 ----a-w- c:\program files\PC-Doctor 5 for Windows\RunProfiler.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2006-02-25 00:46 147456 ------w- c:\program files\CyberLink\PowerCinema\PCMService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-08-10 04:15 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Service Planificateur2 Acronis]
2011-02-12 05:40 365632 ----a-w- c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]
2009-08-16 19:36 955392 ----a-w- c:\program files\SuperCopier2\SuperCopier2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2006-06-01 05:22 180269 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
2010-07-04 19:51 17408 ----a-w- c:\program files\Unlocker\UnlockerAssistant.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=
"c:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\EEventManager.exe"=
"c:\\Program Files\\Windows Media Player\\wmplayer.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/04/2010 09:31 108289]
R3 RTL8187B;TG123g USB Wireless Adapter;c:\windows\system32\drivers\RTL8187B.sys [21/04/2010 11:06 264576]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/12/2010 13:23 135664]
S3 cpuz134;cpuz134;\??\c:\docume~1\HP_PRO~1\LOCALS~1\Temp\cpuz134\cpuz134_x32.sys --> c:\docume~1\HP_PRO~1\LOCALS~1\Temp\cpuz134\cpuz134_x32.sys [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [11/12/2010 13:23 135664]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 13:49 227232]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [05/08/2004 12:00 14336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2011-12-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-12-30 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-05-26 09:43]
.
2012-01-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-11 12:23]
.
2012-01-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-11 12:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
uSearchAssistant = hxxp://search.imesh.com/sidebar.html?src=ssb&sysid=1
IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\gc57k56j.default\
FF - prefs.js: browser.search.selectedEngine - iMesh Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?client=firefox-a&rls=org.mozilla:fr:official&channel=s&hl=fr&source=hp&btnG=Recherche+Google
FF - prefs.js: keyword.URL - hxxp://myclearsearch.com/?prt=Guppymcs02ff&Keywords=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\DivX\DivX Plus Web Player\firefox\DivXHTML5
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - user.js: keyword.URL - hxxp://myclearsearch.com/?prt=Guppymcs02ff&Keywords=
FF - user.js: keyword.enabled - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-02 22:55
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ *€|ÿÿÿÿ"*€|þ»Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3008)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
c:\windows\system32\wdfmgr.exe
c:\program files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\RTHDCPL.EXE
.
**************************************************************************
.
Heure de fin: 2012-01-02 22:59:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-01-02 21:59
ComboFix2.txt 2012-01-02 20:07
.
Avant-CF: 163 080 347 648 octets libres
Après-CF: 163 063 078 912 octets libres
.
- - End Of File - - A88D9F951D99A9F0A929704D016B8F96
0
Réponse 11 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
2 janv. 2012 à 23:15
lily4569,

On va supprimer les restes des adwares puis faire un diagnostic plus complet du système afin d'identifier les problèmes restants.

1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
● Lance AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

2. Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%temp%\smtmp\*.* /s
%systemroot%\*. /mp /s 
%systemroot%\assembly\tmp\*.* /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long

3. Héberge les rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras 3 liens que tu me donneras dans ton prochain message afin que je puisse les consulter.

A +
0
Réponse 12 / 36
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 9
2 janv. 2012 à 23:50
Les liens:
- AdwCleaner: http://cjoint.com/12jv/BAcxYHntVao.htm
- ORL: http://cjoint.com/12jv/BAcxUVxsoyy.htm
- Extras: http://cjoint.com/12jv/BAcxXqRPfpY.htm
0
Réponse 13 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
Modifié par kalimusic le 3/01/2012 à 00:05
Tu as eu un soucis avec AdwCleaner, le rapport est vide ?

As tu ré-installé imesh, c'est un adware ?

A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
0
Réponse 14 / 36
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 9
3 janv. 2012 à 00:07
Je n'ai eu aucun problème avec AdwCleaner, mais il y a deux autres rapports.
Non, j'ai pas ré-installé imesh, c'est nécessaire?
0
Réponse 15 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
3 janv. 2012 à 00:18
Non surtout pas c'est un logiciel indésirable.

1. Relance OTL

● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

● Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.

3. Héberge les rapports et poste les liens.

A +
0
Réponse 16 / 36
lily4569 Messages postés 20 Date d'inscription lundi 2 janvier 2012 Statut Membre Dernière intervention 7 août 2013 9
Modifié par lily4569 le 3/01/2012 à 11:29
Je ne suis pas sûre d'avoir tout compris MBAM c'est la même chose que Malwarebytes' Anti-Malware? Si c'est le cas je l'ai déjà sur mon ordinateur.
0
Réponse 17 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
3 janv. 2012 à 12:40
Bonjour,

Oui tout à fait, c'est le même logiciel, il m'avait échappé que tu l'avais déjà.
Parfois l'infection ZeroAccess endommage ce logiciel, mais ce n'est pas toujours le cas. N'hésite pas à le ré-installer si tu constates des problèmes.
Sinon, effectue la mise à jour et lance un scan comme demandé.
Avant, n'oublie pas de faire la correction avec OTL.

A +
0
Réponse 18 / 36
lily4569
Modifié par lily4569 le 3/01/2012 à 16:33
J'ai un problème avec OTL, la correction ne marche pas.
OTL s'ouvre normalement mais quand je lance la correction, il travaille quelques secondes puis plus rien.
0
Réponse 19 / 36
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
3 janv. 2012 à 18:35
Bonsoir,

J'ai vu le problème recommence avec celui-ci => http://cjoint.com/12jv/BAdsIhVuBan.htm

A +
0
Réponse 20 / 36
lily4569
3 janv. 2012 à 18:38
D'accord, merci.
0

Discussions similaires

Télécharger solidworks 2012-2013 et la licence
chris -
Chris 94 -

4 réponses
Imprimante Epson XP-2100 : "imprimante occupée"???
Eveu32 -
billmaxime -

7 réponses