Sujet Précédent Sujet Suivant

Aide d'analyse d'un rapport ComboFix

Binny -  
 Binny -
Bonjour,
j'ai été infecté par un cheval de troie. J'ai donc essayé de me débrouillé tout seul . Je me suis renseigné sur les différents forums et j'ai découvert le logiciel ComboFix. J'ai lancé le logiciel 2 fois et voici mon dernier rapport (ci-dessous). Je n'arrive pas a savoir si mon ordinateur est toujours vérolé ou pas. Deplus, je ne suis pas en mesure de l'analser n'ayant pas les connaissances nécéssaires étant débutant en informaitique.
J'ai donc besoin d'aide.
Merci d'avance pour celui ou celle qui acceptera de se pencher sur le problème,
cordialement bonne journée

"
ComboFix 12-03-02.01 - NOM 02/03/2012 16:32:10.2.4 - x86
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.2864.1897 [GMT 1:00]
Lancé depuis: c:\users\NOM\Desktop\COlaF.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-02 au 2012-03-02 ))))))))))))))))))))))))))))))))))))
.
.
2012-03-02 15:43 . 2012-03-02 15:43 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-02 15:26 . 2012-02-08 06:03 6552120 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{223FB304-0AB9-4FEC-8747-ABBF5C6F85B5}\mpengine.dll
2012-03-02 15:19 . 2012-03-02 15:43 -------- d-----w- c:\users\NOM\AppData\Local\temp
2012-03-02 15:18 . 2011-04-25 03:24 338944 ----a-w- c:\windows\system32\drivers\afd.sys
2012-03-02 15:05 . 2012-03-02 15:25 -------- d-----w- C:\COlaF
2012-02-29 19:06 . 2012-02-23 16:11 24408 ----a-w- c:\windows\system32\drivers\aswKbd.sys
2012-02-26 20:59 . 2012-02-29 19:14 -------- d-sh--w- c:\users\NOM\AppData\Local\cda105d6
2012-02-17 17:03 . 2012-02-17 17:03 -------- d-----w- c:\windows\CheckSur
2012-02-16 22:05 . 2012-02-16 22:05 -------- d-----w- C:\e31b515616646d19aa076bda
2012-02-16 11:59 . 2011-12-30 05:27 478720 ----a-w- c:\windows\system32\timedate.cpl
2012-02-16 11:59 . 2011-12-16 07:52 690688 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-16 11:58 . 2012-01-04 08:58 442880 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-16 11:58 . 2012-01-14 03:35 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-02-15 00:24 . 2012-02-15 00:24 -------- d-----w- c:\windows\system32\wbem\en-US
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 22:05 . 2011-06-08 14:04 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-29 04:10 . 2011-06-08 14:10 237072 ------w- c:\windows\system32\MpSigStub.exe
2011-12-29 14:48 . 2011-12-28 19:31 141200 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-12-29 14:48 . 2011-12-28 19:59 281656 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-12-29 14:48 . 2011-12-28 19:31 281656 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-12-29 14:41 . 2011-12-28 19:31 281200 ----a-w- c:\windows\system32\PnkBstrB.ex0
2011-12-28 19:31 . 2011-12-28 19:31 138056 ----a-w- c:\users\NOM\AppData\Roaming\PnkBstrK.sys
2011-12-28 19:31 . 2011-12-28 19:31 75136 ----a-w- c:\windows\system32\PnkBstrA.exe
2012-01-12 15:06 . 2011-06-08 14:04 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ATFPUOverlayIcon]
@="{3239DBC1-B76D-4dc7-8B29-D99CBA3C7336}"
[HKEY_CLASSES_ROOT\CLSID\{3239DBC1-B76D-4dc7-8B29-D99CBA3C7336}]
2009-11-06 09:46 147888 ----a-w- c:\program files\Toshiba\TFPU\TFPUOverlayIcon.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-08-12 6203296]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Facebook Update"="c:\users\NOM\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2011-12-12 137536]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"TOSDCR"="c:\program files\TOSHIBA\PasswordUtility\TOSDCR.exe" [2007-08-28 169296]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2009-11-05 480608]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2009-03-09 55160]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2009-08-13 521528]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2009-11-10 738616]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-10-30 7856128]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-09-11 241664]
"TNRotate"="c:\program files\TOSHIBA\TNRotate\TNRotate.exe" [2008-06-12 607616]
"TFPUPWDBankService"="c:\program files\TOSHIBA\TFPU\TFPUPWDBank.exe" [2009-11-06 888752]
"TFPUService"="c:\program files\TOSHIBA\TFPU\TFPUTaskMonitor.exe" [2009-11-06 784304]
"TWebCamera"="c:\program files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2009-11-24 2454840]
"SmartFaceVWatcher"="c:\program files\Toshiba\SmartFaceV\SmartFaceVWatcher.exe" [2009-10-19 163840]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2009-07-22 83336]
"Teco"="c:\program files\TOSHIBA\TECO\Teco.exe" [2009-09-28 1328480]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2009-11-05 611672]
"ToshibaServiceStation"="c:\program files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2009-10-06 1294136]
"TosWaitSrv"="c:\program files\TOSHIBA\TPHM\TosWaitSrv.exe" [2009-11-10 611672]
"TUSBSleepChargeSrv"="c:\program files\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe" [2009-10-26 253312]
"TosReelTimeMonitor"="c:\program files\TOSHIBA\ReelTime\TosReelTimeMonitor.exe" [2009-11-30 29528]
"TosNC"="c:\program files\Toshiba\BulletinBoard\TosNcCore.exe" [2009-11-30 467304]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 22840]
"Toshiba TEMPRO"="c:\program files\Toshiba TEMPRO\TemproTray.exe" [2009-10-15 1050000]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2009-08-25 134032]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-28 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-28 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-28 170520]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdcBase.exe" [2007-05-31 648072]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-08-12 6203296]
.
c:\users\NOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\Toshiba\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-08-25 1343400]
S0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\DRIVERS\thpdrv.sys [2009-06-29 30272]
S0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\DRIVERS\Thpevm.SYS [2009-06-29 13120]
S1 aswKbd;aswKbd; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\AtService.exe [2009-11-13 2029568]
S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files\TOSHIBA\ConfigFree\CFIWmxSvcs.exe [2009-10-27 185712]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 rimspci;rimspci;c:\windows\system32\DRIVERS\rimspe86.sys [2009-07-02 47104]
S2 risdpcie;risdpcie;c:\windows\system32\DRIVERS\risdpe86.sys [2009-07-28 49152]
S2 rixdpcie;rixdpcie;c:\windows\system32\DRIVERS\rixdpe86.sys [2011-04-26 45056]
S2 RSELSVC;TOSHIBA Modem region select service;c:\program files\TOSHIBA\RSelect\RSelSvc.exe [2009-07-07 62832]
S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144]
S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-10-15 116104]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2009-09-28 185712]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [2009-06-19 12920]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-09-30 2314240]
S3 ATSwpWDF;AuthenTec TruePrint USB Driver;c:\windows\system32\Drivers\ATSwpWDF.sys [2010-05-20 677320]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k6232.sys [2011-07-20 268968]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 125696]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-30 209920]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
S3 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-10-06 51512]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-11-05 111960]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-11-10 677232]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-28 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-562791879-3943043351-1421150174-1000Core.job
- c:\users\NOM\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-12-12 13:21]
.
2012-02-28 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-562791879-3943043351-1421150174-1000UA.job
- c:\users\NOM\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-12-12 13:21]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\NOM\AppData\Roaming\Mozilla\Firefox\Profiles\pfs74n7i.default\
FF - prefs.js: browser.startup.homepage - www.google.fr|hxxps://messageriepro.orange.fr/OFX?webapp=webmail&dub=1
FF - prefs.js: network.proxy.type - 0
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(5776)
c:\program files\TOSHIBA\TFPU\TFPUOverlayIcon.dll
.
Heure de fin: 2012-03-02 16:46:05
ComboFix-quarantined-files.txt 2012-03-02 15:46
ComboFix2.txt 2012-03-02 15:24
.
Avant-CF: 258 066 939 904 octets libres
Après-CF: 257 760 624 640 octets libres
.
- - End Of File - - F72F7F36D977F41F680476412AFE55EA

"

A voir également:

8 réponses

Réponse 1 / 8
Utilisateur anonyme
 
salut regarde dans le dossier C:\Qoobox , tu dois avoir un fichier texte "Quarantined-Files" poste le contenu
_g3n-h@ckm@n_Developpement__Pre_Scan_
1
Réponse 2 / 8
Utilisateur anonyme
 
telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
1
Réponse 3 / 8
Utilisateur anonyme
 
mozilla pas à jour => à mettre à jour
desinstalle Java update 26

===========

tu as une partition cachée de 6.G .....bizarre.... ca doit etre la recovery... 

2    2    17-NTFS    5.9G   No    Yes  613,050,368   12,091,392

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKU\S-1-5-21-562791879-3943043351-1421150174-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"Facebook Update"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\YourApp.exe]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6}]
[-HKCU\Software\cda105d6]

txt::
C:\windows\System32\Tasks\{98999FB9-A522-48C2-9C41-31B92BFCB894}
C:\windows\System32\Tasks\{E7DCFAEE-7389-400A-93B3-8926C8888464}

file::
C:\Users\ADMINI~1\AppData\Local\Temp\{1EC0609C-A071-477D-BEF6-B78997DFB175}\{022CBB38-CEF0-42BA-906A-A49BEFAE0BEE}\YourApp.exe
C:\windows\èöX

folder::
C:\e31b515616646d19aa076bda
C:\f0f461e1a4f5a7c3c3

Mbr::

clean::

Reboot::
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

_g3n-h@ckm@n_Developpement__Pre_Scan_
1
Réponse 4 / 8
Utilisateur anonyme
 
▶ Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : clique pour la version FREE

ou : lien mirroir

▶ enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

▶ Installe-le puis configure-le comme ceci :

Configuration

si tu n'as rien modifié fais directement quitter sinon enregistrer

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

▶▶▶ Ce logiciel gratuit est à garder.

===================================================

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

▶ Exécute le fichier après l'installation de MBAM

===================================================

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.

▶ Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : ▶ clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Binny
 
Voici le contenu du fichier texte:

2012-03-02 15:43:15 . 2012-03-02 15:43:15 0 ----a-w- C:\Qoobox\Quarantine\Replicators\Replicator_1.txt
2012-03-02 15:23:56 . 2012-03-02 15:23:56 1,044 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-TOSHIBA Software Modem.reg.dat
2012-03-02 15:23:56 . 2012-03-02 15:23:56 3,358 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-PunkBusterSvc.reg.dat
2012-03-02 15:23:36 . 2012-03-02 15:23:36 534 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-MCODS.reg.dat
2012-03-02 15:23:36 . 2012-03-02 15:23:36 546 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-mcmscsvc.reg.dat
2012-03-02 15:16:18 . 2012-03-02 15:39:04 12,266 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2012-03-02 14:57:30 . 2012-03-02 15:32:10 226 ----a-w- C:\Qoobox\Quarantine\catchme.log
2012-02-26 20:59:11 . 2012-02-26 20:59:11 2,048 -c--a-w- C:\Qoobox\Quarantine\C\Windows\$NtUninstallKB14216$\3449882070\@.vir
2012-02-26 20:59:11 . 2012-02-26 20:59:11 338,944 -c--a-w- C:\Qoobox\Quarantine\C\Windows\$NtUninstallKB14216$\3449882070\L\xadqgnnk.vir
2012-02-26 20:59:09 . 2012-02-26 20:59:09 0 -c--a-we C:\Qoobox\Quarantine\C\Windows\$NtUninstallKB14216$\2741064704.vir
2011-06-08 14:25:04 . 2010-11-20 02:17:30 55,808 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\oobe\oobeldr.exe.vir
2011-06-08 14:25:04 . 2010-11-20 02:17:24 67,584 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\oobe\msoobe.exe.vir
2011-06-08 14:25:02 . 2010-11-20 02:16:56 67,584 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\oobe\audit.exe.vir
2011-06-08 14:24:58 . 2010-11-20 02:17:54 96,768 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\oobe\windeploy.exe.vir
2011-06-08 14:24:56 . 2010-11-20 02:17:40 245,248 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\oobe\Setup.exe.vir
2011-06-08 14:24:56 . 2010-11-20 02:17:40 25,088 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\oobe\setupsqm.exe.vir
2009-07-14 00:11:56 . 2009-07-14 01:14:28 86,016 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\odbcad32.exe.vir
0
Réponse 6 / 8
Binny
 
voici le lien: http://pjjoint.malekal.com/files.php?id=20120302_c15g6r6j10i14
0
Réponse 7 / 8
Binny
 
voilà le pré-sript:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.301 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Système d'exploitation : Windows 7 Professional (32 bits) Service Pack 1

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray::

Script : 19:20:19

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Absent : C:\Users\ADMINI~1\AppData\Local\Temp\{1EC0609C-A071-477D-BEF6-B78997DFB175}\{022CBB38-CEF0-42BA-906A-A49BEFAE0BEE}\YourApp.exe
Supprimé : C:\windows\èöX

¤

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\windows\system32\pcalua.exe</Command>
<Arguments>-a "E:\Acer recovery manager\erecovery_1.2.14.5\eRecovery 1.2.14.5\setup.exe" -d "E:\Acer recovery manager\erecovery_1.2.14.5\eRecovery 1.2.14.5"</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>NOM-TOSH\NOM</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\windows\system32\pcalua.exe</Command>
<Arguments>-a C:\Users\NOM\Downloads\RocketDock-v1.3.5.exe -d C:\Users\NOM\Downloads</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>NOM-TOSH\NOM</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

¤

non Supprimé : C:\e31b515616646d19aa076bda
Supprimé : C:\f0f461e1a4f5a7c3c3

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows 7 Professional
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: TOSHIBA
BIOS Manufacturer: TOSHIBA
System Manufacturer: TOSHIBA
System Product Name: TECRA A11
Logical Drives Mask: 0x0000001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 2008 MBR code detected

¤

¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤

explorer.exe -> Processus redémarré

Fin : 19:20:55

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Réponse 8 / 8
Binny
 
voici le rapport de MBAM, il n'as rien trouvé. Es-que ça veut dire qu'il n'y a plus de virus sur mon ordinateur?... en tout cas merci pour votre aide précieuse!

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.02.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
NOM :: NOM-TOSH [administrateur]

02/03/2012 20:28:48
mbam-log-2012-03-02 (20-28-48).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 270030
Temps écoulé: 28 minute(s), 51 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
Google Chrome "  Échec de l'analyse antivirus "
jmpower -
RBmoon -

18 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
Huawei P8 Lite "nouveau tag ajouté"
ArianeKathleen -
Mn -

25 réponses
Nouveau tag ajouté - Utilité
Eerfers -
madmyke -

1 réponse