Restes d'un rogue. [Résolu/Fermé]

Signaler
Messages postés
61
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
23 janvier 2012
-
Messages postés
61
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
23 janvier 2012
-
Bonjour, suite a ce topic: https://forums.commentcamarche.net/forum/affich-24183724-rogue-activate-windows
J'ai refais une analyse malwarebytes (rapide) et je trouve a chaque fois 2 fichiers infectées même après les avoirs supprimer et avoir redémarrer l'ordi!Voici le rapport:Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.21.02

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19048
philippe :: PC-DE-PHILIPPE [administrateur]

Protection: Activé

22/01/2012 14:55:09
mbam-log-2012-01-22 (15-15-40).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 177796
Temps écoulé: 6 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\philippe\AppData\Roaming\logs.dat (Bifrose.Trace) -> Aucune action effectuée.
C:\Users\philippe\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Aucune action effectuée.

(fin)





De plus apres chaque redémarrage de l'ordi, des que je lance malwarbytes jai ceci : http://www.noelshack.com/

12 réponses


Re

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

Messages postés
61
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
23 janvier 2012

Re

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|
-----------------------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winup"=-


-----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes

* Fais un glisser/déposer de ce fichier CFScript sur le fichier asdehi.exe (combofix) comme sur ce lien : https://support.microsoft.com/hub/4338813/windows-help
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Messages postés
61
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
23 janvier 2012

voila le rapport :

ComboFix 12-01-21.02 - philippe 01/22/2012 17:30:37.2.4 - x64
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.4094.2413 [GMT 1:00]
Lancé depuis: c:\users\philippe\downloads\asdehi.exe
Commutateurs utilisés :: c:\users\philippe\Desktop\CFScript.txt.txt
AV: Securitoo AntiVirus Firewall 8.00 *Disabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
SP: Securitoo AntiVirus Firewall 8.00 *Disabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\philippe\AppData\Roaming\logs.dat
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-12-22 au 2012-01-22 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-22 16:43 . 2012-01-22 16:44 -------- d-----w- c:\users\philippe\AppData\Local\temp
2012-01-22 16:43 . 2012-01-22 16:43 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-01-22 14:41 . 2012-01-22 15:10 -------- d-----w- C:\asdehi
2012-01-21 15:09 . 2012-01-22 12:55 -------- d-----w- c:\program files (x86)\ZHPDiag
2012-01-20 11:31 . 2012-01-06 05:15 8602168 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{F9107150-E124-42E3-92EA-8694DFA9E81A}\mpengine.dll
2012-01-16 07:59 . 2012-01-16 07:59 626688 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr80.dll
2012-01-16 07:59 . 2012-01-16 07:59 548864 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp80.dll
2012-01-16 07:59 . 2012-01-16 07:59 479232 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcm80.dll
2012-01-16 07:59 . 2012-01-16 07:59 43992 ----a-w- c:\program files (x86)\Mozilla Firefox\mozutils.dll
2012-01-11 13:47 . 2011-12-01 15:21 2409784 ----a-w- c:\program files (x86)\Windows Mail\OESpamFilter.dat
2012-01-11 13:47 . 2011-12-01 15:29 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2011-12-25 02:15 . 2011-12-25 02:16 -------- d-----w- c:\users\philippe\AppData\Local\Skyrim
2011-12-25 02:13 . 2010-02-04 09:01 78680 ----a-w- c:\windows\system32\XAPOFX1_4.dll
2011-12-25 02:13 . 2010-02-04 09:01 530776 ----a-w- c:\windows\system32\XAudio2_6.dll
2011-12-25 02:12 . 2010-02-04 09:01 74072 ----a-w- c:\windows\SysWow64\XAPOFX1_4.dll
2011-12-25 02:12 . 2010-02-04 09:01 528216 ----a-w- c:\windows\SysWow64\XAudio2_6.dll
2011-12-25 02:12 . 2010-02-04 09:01 238936 ----a-w- c:\windows\SysWow64\xactengine3_6.dll
2011-12-25 02:12 . 2010-02-04 09:01 176984 ----a-w- c:\windows\system32\xactengine3_6.dll
2011-12-25 02:11 . 2010-02-04 09:01 24920 ----a-w- c:\windows\system32\X3DAudio1_7.dll
2011-12-25 02:11 . 2010-02-04 09:01 22360 ----a-w- c:\windows\SysWow64\X3DAudio1_7.dll
2011-12-24 23:21 . 2011-12-24 23:21 237 ----a-w- C:\user.js
2011-12-24 18:18 . 2010-04-27 02:25 18944 ----a-w- c:\windows\system32\drivers\ss_bmdfl.sys
2011-12-24 18:18 . 2010-04-27 02:25 161280 ----a-w- c:\windows\system32\drivers\ss_bmdm.sys
2011-12-24 18:18 . 2010-04-27 02:25 15872 ----a-w- c:\windows\system32\drivers\ss_bwhnt.sys
2011-12-24 18:18 . 2010-04-27 02:25 15872 ----a-w- c:\windows\system32\drivers\ss_bwh.sys
2011-12-24 18:18 . 2010-04-27 02:25 15360 ----a-w- c:\windows\system32\drivers\ss_bcmnt.sys
2011-12-24 18:18 . 2010-04-27 02:25 15360 ----a-w- c:\windows\system32\drivers\ss_bcm.sys
2011-12-24 18:18 . 2010-04-27 02:25 127488 ----a-w- c:\windows\system32\drivers\ss_bbus.sys
2011-12-24 18:16 . 2011-12-24 18:16 -------- d-----w- c:\programdata\Samsung
2011-12-24 18:15 . 2010-07-04 18:11 25960 ----a-w- c:\windows\SysWow64\FsExService64.Exe
2011-12-24 18:15 . 2010-06-14 08:32 16448 ----a-w- c:\windows\SysWow64\drivers\TFsExDisk.Sys
2011-12-24 18:15 . 2010-07-04 18:11 25960 ----a-w- c:\windows\system32\FsExService64.exe
2011-12-24 18:15 . 2010-06-14 08:32 16448 ----a-w- c:\windows\system32\drivers\TFsExDisk.sys
2011-12-24 18:14 . 2011-12-24 18:14 -------- d-----w- c:\users\philippe\AppData\Roaming\Samsung
2011-12-24 18:14 . 2011-12-24 18:14 -------- d-----w- c:\program files (x86)\MarkAny
2011-12-24 18:12 . 2011-12-24 18:17 -------- d-----w- c:\program files (x86)\Samsung
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-15 13:29 . 2009-10-03 07:59 270720 ------w- c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2012-01-22_15.06.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-20 18:49 . 2012-01-22 15:38 21306 c:\windows\system32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1096052045-1065178196-3780591323-1000_UserData.bin
+ 2008-12-19 20:25 . 2012-01-22 15:32 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-12-19 20:25 . 2012-01-22 13:49 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-12-19 20:25 . 2012-01-22 13:49 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-19 20:25 . 2012-01-22 15:32 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-19 20:25 . 2012-01-22 15:32 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-12-19 20:25 . 2012-01-22 13:49 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2012-01-22 13:46 . 2012-01-22 13:46 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-01-22 13:46 . 2012-01-22 15:29 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-01-22 13:46 . 2012-01-22 15:29 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-01-22 13:46 . 2012-01-22 13:46 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-01-22 15:30 . 2009-10-07 00:46 131608 c:\windows\Temp\logishrd\LVPrcInj02.dll
- 2012-01-22 13:46 . 2009-10-07 00:46 131608 c:\windows\Temp\logishrd\LVPrcInj02.dll
- 2012-01-22 13:46 . 2009-10-07 00:47 109080 c:\windows\Temp\logishrd\LVPrcInj01.dll
+ 2012-01-22 15:30 . 2009-10-07 00:47 109080 c:\windows\Temp\logishrd\LVPrcInj01.dll
+ 2006-11-02 15:45 . 2012-01-22 15:38 141304 c:\windows\system32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2008-01-21 10:00 . 2012-01-22 13:54 680828 c:\windows\system32\perfh00C.dat
+ 2008-01-21 10:00 . 2012-01-22 15:36 680828 c:\windows\system32\perfh00C.dat
- 2006-11-02 12:46 . 2012-01-22 13:54 598250 c:\windows\system32\perfh009.dat
+ 2006-11-02 12:46 . 2012-01-22 15:36 598250 c:\windows\system32\perfh009.dat
- 2008-01-21 10:00 . 2012-01-22 13:54 128674 c:\windows\system32\perfc00C.dat
+ 2008-01-21 10:00 . 2012-01-22 15:36 128674 c:\windows\system32\perfc00C.dat
+ 2006-11-02 12:46 . 2012-01-22 15:36 106240 c:\windows\system32\perfc009.dat
- 2006-11-02 12:46 . 2012-01-22 13:54 106240 c:\windows\system32\perfc009.dat
- 2009-07-08 18:07 . 2012-01-22 13:49 262144 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-07-08 18:07 . 2012-01-22 15:32 262144 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="c:\program files (x86)\Securitoo\av_fw\Common\FSM32.EXE" [2008-06-25 182936]
"F-Secure TNB"="c:\program files (x86)\Securitoo\av_fw\FSGUI\TNBUtil.exe" [2008-06-25 957024]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
S2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files (x86)\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [2008-05-20 269448]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2012-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1096052045-1065178196-3780591323-1000Core.job
- c:\users\philippe\AppData\Local\Google\Update\GoogleUpdate.exe [2010-07-30 18:31]
.
2012-01-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1096052045-1065178196-3780591323-1000UA.job
- c:\users\philippe\AppData\Local\Google\Update\GoogleUpdate.exe [2010-07-30 18:31]
.
2012-01-22 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~2\SECURI~1\av_fw\ANTI-V~1\fsav.exe [2008-12-24 13:52]
.
.
--------- x86-64 -----------
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files (x86)\PokerStars.FR\PokerStarsUpdate.exe
LSP: c:\program files (x86)\Securitoo\av_fw\FSPS\program\FSLSP.DLL
TCP: DhcpNameServer = 192.168.1.1 192.168.1.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\e7xsxu1k.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - google.fr
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Akamai]
"ServiceDll"="c:\program files (x86)\common files\akamai/netsession_win_b427739.dll"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AODService]
"ImagePath"="c:\program files (x86)\AMD\OverDrive\AODAssist"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10x_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10x_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10x.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10x.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10x.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10x.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2012-01-22 17:47:11
ComboFix-quarantined-files.txt 2012-01-22 16:47
ComboFix2.txt 2012-01-22 15:10
.
Avant-CF: 84,149,116,928 octets libres
Après-CF: 84,086,566,912 octets libres
.
- - End Of File - - 561C14D1EAAC6E5F57780411DF59B5FB

Re

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.



Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8
Ici http://eldesaparecido.com/usbfix.html

Ou si problème

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/80-outils-de-el-desaparecido/32-usbfix

Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir


# Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

# Choisi Recherche

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


@+
Messages postés
61
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
23 janvier 2012

Voila le rapport :
############################## | UsbFix V 7.079 | [Recherche]

Utilisateur: philippe (Administrateur) # PC-DE-PHILIPPE
Mis à jour le 21/01/2012 par El Desaparecido
Lancé à 18:40:55 | 22/01/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Acer (Aspire G7200) (x64-based PC) # Desktop Computer
CPU: AMD Phenom(tm) 9750 Quad-Core Processor (2400)
RAM -> [ Total : 4094 | Free : 1930 ]
BIOS: BIOS Date: 09/19/08 11:53:41 Ver: 08.00.14
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.19048

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: Securitoo AntiVirus Firewall 8.00 [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 290 Go (78 Go libre(s) - 27%) [ACER] # NTFS
D:\ -> Disque fixe # 290 Go (209 Go libre(s) - 72%) [DATA] # NTFS
F:\ -> CD-ROM
I:\ -> CD-ROM
J:\ -> CD-ROM
L:\ -> CD-ROM
M:\ -> CD-ROM

################## | Processus Actif |

C:\Windows\system32\csrss.exe (528)
C:\Windows\system32\wininit.exe (584)
C:\Windows\system32\csrss.exe (608)
C:\Windows\system32\services.exe (640)
C:\Windows\system32\lsass.exe (660)
C:\Windows\system32\lsm.exe (676)
C:\Windows\system32\svchost.exe (832)
C:\Windows\system32\winlogon.exe (860)
C:\Windows\system32\svchost.exe (928)
C:\Windows\System32\svchost.exe (972)
C:\Windows\system32\atiesrxx.exe (132)
C:\Windows\System32\svchost.exe (296)
C:\Windows\System32\svchost.exe (336)
C:\Windows\system32\svchost.exe (360)
C:\Windows\system32\svchost.exe (1004)
C:\Windows\system32\SLsvc.exe (652)
C:\Windows\system32\svchost.exe (1068)
C:\Windows\system32\svchost.exe (1224)
C:\Windows\system32\atieclxx.exe (1264)
C:\Windows\System32\spoolsv.exe (1504)
C:\Windows\system32\svchost.exe (1528)
C:\Program Files (x86)\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (1844)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1904)
C:\Program Files\Bonjour\mDNSResponder.exe (1944)
C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe (1960)
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe (1996)
C:\Program Files (x86)\Securitoo\av_fw\Anti-Virus\fsgk32st.exe (1608)
C:\Program Files (x86)\Securitoo\av_fw\Common\FSMA32.EXE (1552)
C:\Program Files (x86)\Securitoo\av_fw\Anti-Virus\FSGK32.EXE (1792)
C:\PROGRA~2\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe (1344)
C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe (1196)
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe (2064)
C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe (2104)
C:\Program Files (x86)\Common Files\LogiShrd\LVMVFM\LVPrS64H.exe (2124)
C:\Windows\SysWOW64\PnkBstrA.exe (2220)
C:\Windows\system32\svchost.exe (2260)
C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe (2272)
C:\Windows\system32\svchost.exe (2300)
C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe (2336)
C:\Windows\System32\svchost.exe (2496)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (2512)
C:\Windows\system32\SearchIndexer.exe (2592)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2680)
C:\Program Files (x86)\Securitoo\av_fw\Anti-Virus\fssm32.exe (3104)
C:\Windows\system32\taskeng.exe (956)
C:\Windows\system32\svchost.exe (2468)
C:\Windows\system32\taskeng.exe (1316)
C:\Windows\system32\Dwm.exe (1144)
C:\Windows\Explorer.EXE (2232)
C:\Windows\system32\wuauclt.exe (4748)
C:\install\svschost.exe (3728)
C:\Program Files (x86)\Securitoo\av_fw\Common\FSLAUNCH.EXE (1352)
C:\Windows\system32\conime.exe (236)
C:\Windows\SysWOW64\svchost.exe (3320)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (3368)
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (3456)
C:\Windows\system32\SearchProtocolHost.exe (2856)
C:\Windows\system32\SearchFilterHost.exe (5532)
C:\UsbFix\Go.exe (3192)
C:\Windows\system32\wbem\wmiprvse.exe (3584)

################## | Éléments infectieux |

Présent! C:\Users\philippe\AppData\Roaming\Logs.dat
Présent! C:\Users\philippe\AppData\Roaming\Temp
Présent! C:\Users\philippe\AppData\Local\Temp\UuU.uUu
Présent! C:\Users\philippe\AppData\Local\Temp\XxX.xXx

################## | Registre |

Présent! HKCU\Software\VB and VBA Program Settings\INSTALL
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Re

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Clic droit"exécuter en temps qu'administrateur" sur le raccourci UsbFix présent sur ton bureau

# choisi Suppression

# Ton bureau disparaîtra et le pc redémarrera.

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


@+
Messages postés
61
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
23 janvier 2012


Re

Envoie ce fichier comme demandé pour améliorer cet outil.

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-PHILIPPE.zip
http://eldesaparecido.com/upload.html
Merci de votre contribution.




Lance une nouvelle analyse avec MBAM et poste moi son rapport;merci

@+
Messages postés
61
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
23 janvier 2012

J'ai envoyer le fichier ! voici le rapport:
Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.22.03

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19048
philippe :: PC-DE-PHILIPPE [administrateur]

Protection: Désactivé

22/01/2012 20:34:24
mbam-log-2012-01-22 (20-34-24).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 180445
Temps écoulé: 3 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Re

Voila ton problème résolu ;-))

@+
Messages postés
61
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
23 janvier 2012

Oki merci beaucoup!!