Backdoor.Generic.699532 & cie sur mon PC

Résolu/Fermé
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012 - 9 mars 2012 à 08:23
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012 - 9 mars 2012 à 22:57
Bien le bonjour,

Après une nuit sans sommeil à essayer de suivre différentes procédures je n'ai toujours pas réussi à me débarrasser de compagnons assez énervants :

- Backdoor.Generic.699532
- Trojan.Generic.7033886
- Trojan.Generic.6936374
(entre autre)

Dans un premier j'ai remarqué que Bit Defender bloquait via le pare feu l'accès à Internet et que lorsque j'arrivait à le contourner des publicités apparaissaient aléatoirement à la place de Google ou d'autre sites.
Après une recherche appronfondie j'ai découvert la présence de quelques chevaux de troie, dont certains sont cité ci-dessus.
Bit Defender n'étant pas en mesure de palier au problème je l'ai supprimé et fait tourner Malwarebytes qui m'a détecté 6 menaces.
Après avoir fait des recherches j'ai laisser tourner ComboFix, après redémarrage de ma machine et une recherche fructueuse (il a supprimé 5-6 fichiers dont csrsrv.dll du système) j'ai re-redémarré mon PC. Là, impossible de redémarrer normalement j'ai du utiliser l'utilitaire de réparation du système qui précisait que certains fichiers de démarrage étaient absents et dû effectuer une restauration du système.
Retour à la case départ en somme, sauf que Bit Defender, même s'il n'apparait plus dans la liste des "Programmes" du panneau de configuration ni dans le gestionnaire des taches fonctionne quand même, qu'il m'est impossible d'installer un pare feu actuellement (pour Zone Alarm il manquerait l'ordinal 1100 du fichier WSOCK32.dll), et les virus sont toujours présents et detectés par Malwarebytes.



Ne sachant plus que faire, je me tourne vers vous.

En vous remerciant d'avance pour votre aide





A voir également:

14 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
9 mars 2012 à 09:02
Salut,

Poste le rapport de scan BitDefender et Malwarebyte.
0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
9 mars 2012 à 09:32
Tout d'abord merci pour ta réponse.

Je ne suis pas parvenu à mettre la main sur le rapport de Bit Defender (dont seul certains fichiers semblent présents, cela étant surement du aux 3 restaurations de système que j'ai eu à effectuer cette nuit).

Donc ci-dessous les rapports de Malwarebyte et ComboFix (effectué pour celui-ci avant la restauration) :


Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.09.02

Windows 7 Service Pack 1 x64 FAT32
Internet Explorer 9.0.8112.16421
Jacqueline :: JACQUELINE-HP [administrateur]

Protection: Activé

09/03/2012 07:29:24
mbam-log-2012-03-09 (08-19-11).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 384779
Temps écoulé: 48 minute(s), 49 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\Users\Jacqueline\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\5adbd57a-17e89663 (Trojan.FakeMS) -> Aucune action effectuée.
C:\Users\Jacqueline\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\5adbd57a-6ce2610f (Trojan.FakeMS) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\Keygen Adobe Flash Professional CS5.exe (Malware.Packer.Gen) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\Keygen Adobe Photoshop CS5 Extended.exe (Malware.Packer.Gen) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\MultiKeymaker Adobe CS4-CS5-CS5.5.exe (Trojan.Agent.CK) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\MultiKeymaker Adobe CS4-CS5.exe (Trojan.Agent.CK) -> Aucune action effectuée.

(fin)

...........................................................................

Et pour ComboFix :


ComboFix 12-03-08.01 - Jacqueline 09/03/2012 0:53.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3959.2876 [GMT 1:00]
Lancé depuis: K:\ComboFix.exe
AV: BitDefender Antivirus *Enabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E}
FW: BitDefender Pare-feu *Enabled* {A0115F06-6D34-063E-1C9A-77345A574EF5}
SP: BitDefender Antispyware *Enabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\assembly\temp\@
c:\windows\assembly\temp\cfg.ini
c:\windows\system32\consrv.dll
c:\windows\system32\dds_trash_log.cmd
c:\windows\System64
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-09 au 2012-03-09 ))))))))))))))))))))))))))))))))))))
.
.
2012-03-08 23:59 . 2012-03-08 23:59 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-08 12:56 . 2012-03-08 12:56 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\Malwarebytes
2012-03-08 12:56 . 2012-03-09 03:37 -------- d-----w- c:\programdata\Malwarebytes
2012-03-08 12:56 . 2011-12-10 14:24 23152 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-08 12:56 . 2012-03-09 08:48 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-08 12:36 . 2012-03-08 12:36 -------- d-----w- c:\program files (x86)\Common Files\BitDefender
2012-03-08 12:23 . 2012-03-08 12:23 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\QuickScan
2012-03-06 12:27 . 2012-02-08 07:13 8643640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B2FE6227-E6D0-49DF-AE9E-21E8F75ECD2F}\mpengine.dll
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Adobe Download Assistant
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Common Files\Adobe AIR
2012-02-28 12:52 . 2012-02-28 12:52 -------- d-----w- c:\programdata\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
2012-02-27 13:36 . 2012-02-27 13:36 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\mkvtoolnix
2012-02-27 13:30 . 2012-02-27 13:31 -------- d-----w- c:\program files (x86)\MKVToolNix
2012-02-27 09:55 . 2012-02-28 11:22 -------- d-----w- c:\program files (x86)\JDownloader
2012-02-16 16:08 . 2012-01-04 10:44 509952 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-16 16:08 . 2012-01-04 08:58 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll
2012-02-16 16:08 . 2011-12-30 06:26 515584 ----a-w- c:\windows\system32\timedate.cpl
2012-02-16 16:08 . 2011-12-30 05:27 478720 ----a-w- c:\windows\SysWow64\timedate.cpl
2012-02-16 16:08 . 2012-01-14 04:06 3145728 ----a-w- c:\windows\system32\win32k.sys
2012-02-16 16:08 . 2011-12-28 03:59 498688 ----a-w- c:\windows\system32\drivers\afd.sys
2012-02-16 16:08 . 2011-12-16 08:46 634880 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-16 16:08 . 2011-12-16 07:52 690688 ----a-w- c:\windows\SysWow64\msvcrt.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-28 11:20 . 2011-05-25 17:25 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2010-09-02 19:57 279656 ------w- c:\windows\system32\MpSigStub.exe
2012-02-01 15:55 . 2012-02-01 15:55 2808 ----a-w- c:\windows\system32\bdaD701.tmp
2012-01-18 17:34 . 2012-01-18 17:34 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe" [2010-09-28 1715768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-11 98304]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-01-15 284696]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-01-25 61112]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
"ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\Update\realsched.exe" [2011-02-24 273544]
"CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-01-07 253672]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-02-28 183560]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28x.sys [x]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-01-15 13336]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2012-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 19:20]
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 19:20]
.
2012-03-05 c:\windows\Tasks\HPCeeScheduleForJacqueline.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 10:53]
.
2011-11-30 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdrcui.exe [2010-02-01 23:02]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
"combofix"="c:\combofix\CF6906.3XE" [2010-11-20 345088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
digirefresh
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.laposte.net/
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MIF5BA~1\Office10\EXCEL.EXE/3000
LSP: mswsock.dll
Trusted Zone: gouv.fr\www3.telepac.agriculture
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Jacqueline\AppData\Roaming\Mozilla\Firefox\Profiles\yzduizvi.default\
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SysWOW64\ezSharedSvcHost.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
.
**************************************************************************
.
Heure de fin: 2012-03-09 01:04:27 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-03-09 00:04
ComboFix2.txt 2012-03-08 22:37
.
Avant-CF: 654 482 358 272 octets libres
Après-CF: 653 898 186 752 octets libres
.
- - End Of File - - E674D07D57EBDFEE20C3DD28EAD577F1

.................................................................

Désolé de te les envoyer tels quels, j'ai essayé de les charger sur cijoint.fr mais pas moyen d'y accéder
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
9 mars 2012 à 10:19
Combofix a viré ZeroAccess.

Du coup ça donne quoi ? Encore des détections ?

Désinstalle Bingbar.
0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
9 mars 2012 à 10:46
Le souci c'est que Combofix a supprimé certains fichiers du registres qui sont necessaires au redémarrage et que du coup j'ai du effectuer une restauration du système donc je ne sais pas si ZeroAccess a été supprimé.

Entre temps j'ai installé Bit Defender Total Security 2012 (avant j'avais la version 2010 qui bloquait tout accès à Internet via le pare feu).

Je viens de relancer une analyse et il semble qu'un élément soit encore infecté (pour l'instant) et ça ne fait que 5 minutes qu'il analyse.

La bingbar est désinstallée.

Faut-il que je refasse fonctionner Combofix du coup ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
9 mars 2012 à 11:07
faut boir ce que bitdefender detecte. Poste le rapport.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
9 mars 2012 à 12:11
Voici le rapport de Bit Defender, ça m'a pas l'air bon du tout :

BitDefender Log File

Product : Bitdefender Total Security 2012
Scanning task : Analyse Complète
Log date : vendredi 9 mars 2012 11:59:59
Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1331290123_1_03.xml
Scan Paths:
Path : C:\Windows\System32\consrv.dll
Path : C:\Windows\assembly\GAC_64\Desktop.ini
Path : C:\Windows\assembly\temp\U\80000000.@
Path : C:\Windows\assembly\GAC_32\Desktop.ini
Path : C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir
[-]Scan Results
[-]Remaining issues:
Object Path Threat Name Final Status
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected
File: C:\Windows\assembly\GAC_64\Desktop.ini Backdoor.Generic.699532 Infected
[-]Resolved issues:
Object Path Threat Name Final Status
File: C:\Windows\System32\consrv.dll Trojan.Sirefef.BW Deleted
File: C:\Windows\assembly\temp\U\80000000.@=>(CAB Sfx g)=>1.cab=>1.cod=>(Embedded EXE g)=>(Embedded EXE g) Trojan.Generic.7199094 Moved to Quarantine
Process: c:\Windows\assembly\GAC_32\Desktop.ini Trojan.Generic.6936374 Deleted after reboot
File: C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir Trojan.Generic.7199094 Deleted
[-]Detailed Scan Summary
[-]Basic
Scanned items : 5628
Infected items : 6
Suspicious items : 0 (no suspected items have been detected)
Resolved items : 38
Unresolved items : 0
[-]Advanced
Scan time : 0: 02: 20
Files per second : 40
Skipped items : 0
Password-protected items : 0
Overcompressed items : 0
Scanned archives : 1
Input-output errors : 0
Scanned boot sectors : 0
Scanned processes : 4193
Infected processes : 2
Scanned registry keys : 0
Infected registry keys : 0
Scanned cookies : 0
Infected cookies : 0
[-]Scan engine summary
Number of virus signatures : 7011791
0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
Modifié par payz le 9/03/2012 à 12:29
En précisant, que après redémarrage (ordonné par Bit Defender),
j'ai eu un fichier "desktop.ini" qui s'est ouvert avec comme info :

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

et il détecte en permanence un processus malveillant qu'il bloque : "C:\Windows\SysWOW64\ping.exe"

Merci pour ton aide :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
9 mars 2012 à 17:03
bon il est encore là lui :
File: C:\Windows\System32\consrv.dll Trojan.Sirefef.BW Deleted

C'est pas plus mal que BitDefender ne le supprime pas car sinon ton PC ne démarrerai plus.

Combofix le vire, mais bon si ça fait comme la fois d'avant, on sera pas plus avancé.

Regarde là : https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/

Tu te sens capable de faire les manips avec un CD Live ?
0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
9 mars 2012 à 17:26
J'ai refait tourner Combofix cet après-midi et il semble qu'il n'y ai pas eu de problème, en tout cas le PC redémarre au quart de tour.

Le rapport :


ComboFix 12-03-08.01 - Jacqueline 09/03/2012  15:54:11.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.3959.2360 [GMT 1:00]
Lancé depuis: K:\ComboFix.exe
AV: BitDefender Antivirus *Enabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E}
FW: BitDefender Pare-feu *Enabled* {A0115F06-6D34-063E-1C9A-77345A574EF5}
SP: BitDefender Antispyware *Enabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\assembly\temp\@
c:\windows\assembly\temp\cfg.ini
c:\windows\system32\consrv.dll
c:\windows\system32\dds_trash_log.cmd
c:\windows\System64
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-02-09 au 2012-03-09  ))))))))))))))))))))))))))))))))))))
.
.
2012-03-09 15:02 . 2012-03-09 15:02	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-03-09 09:22 . 2012-03-09 09:22	260826	----a-w-	c:\programdata\1331284514.bdinstall.bin
2012-03-09 09:21 . 2012-03-09 09:21	--------	d-----w-	c:\programdata\BDLogging
2012-03-09 09:15 . 2011-08-16 12:59	442088	------w-	c:\windows\system32\drivers\bdfsfltr.sys
2012-03-09 09:15 . 2011-10-27 13:07	329800	----a-w-	c:\windows\system32\drivers\trufos.sys
2012-03-08 22:53 . 2012-03-08 22:53	--------	d-----w-	C:\ZHP
2012-03-08 22:53 . 2012-03-09 08:48	--------	d-----w-	c:\program files (x86)\ZHPFix
2012-03-08 22:44 . 2012-03-09 08:48	--------	d-----w-	C:\UsbFix
2012-03-08 12:56 . 2012-03-08 12:56	--------	d-----w-	c:\users\Jacqueline\AppData\Roaming\Malwarebytes
2012-03-08 12:56 . 2012-03-09 15:07	--------	d-----w-	c:\programdata\Malwarebytes
2012-03-08 12:56 . 2012-03-09 09:14	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-08 12:36 . 2012-03-09 09:12	--------	d-----w-	c:\program files (x86)\Common Files\BitDefender
2012-03-08 12:23 . 2012-03-08 12:23	--------	d-----w-	c:\users\Jacqueline\AppData\Roaming\QuickScan
2012-03-06 12:27 . 2012-02-08 07:13	8643640	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B2FE6227-E6D0-49DF-AE9E-21E8F75ECD2F}\mpengine.dll
2012-03-05 12:51 . 2012-03-05 12:51	--------	d-----w-	c:\users\Jacqueline\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
2012-03-05 12:51 . 2012-03-05 12:51	--------	d-----w-	c:\program files (x86)\Adobe Download Assistant
2012-03-05 12:51 . 2012-03-05 12:51	--------	d-----w-	c:\program files (x86)\Common Files\Adobe AIR
2012-02-28 12:52 . 2012-02-28 12:52	--------	d-----w-	c:\programdata\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
2012-02-27 13:36 . 2012-02-27 13:36	--------	d-----w-	c:\users\Jacqueline\AppData\Roaming\mkvtoolnix
2012-02-27 13:30 . 2012-02-27 13:31	--------	d-----w-	c:\program files (x86)\MKVToolNix
2012-02-27 09:55 . 2012-02-28 11:22	--------	d-----w-	c:\program files (x86)\JDownloader
2012-02-16 16:08 . 2012-01-04 10:44	509952	----a-w-	c:\windows\system32\ntshrui.dll
2012-02-16 16:08 . 2012-01-04 08:58	442880	----a-w-	c:\windows\SysWow64\ntshrui.dll
2012-02-16 16:08 . 2011-12-30 06:26	515584	----a-w-	c:\windows\system32\timedate.cpl
2012-02-16 16:08 . 2011-12-30 05:27	478720	----a-w-	c:\windows\SysWow64\timedate.cpl
2012-02-16 16:08 . 2012-01-14 04:06	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-02-16 16:08 . 2011-12-28 03:59	498688	----a-w-	c:\windows\system32\drivers\afd.sys
2012-02-16 16:08 . 2011-12-16 08:46	634880	----a-w-	c:\windows\system32\msvcrt.dll
2012-02-16 16:08 . 2011-12-16 07:52	690688	----a-w-	c:\windows\SysWow64\msvcrt.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-28 11:20 . 2011-05-25 17:25	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2010-09-02 19:57	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-02-01 15:55 . 2012-02-01 15:55	2808	----a-w-	c:\windows\system32\bdaD701.tmp
2012-01-18 17:34 . 2012-01-18 17:34	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-01-18 16:16 . 2012-01-18 16:16	544552	------w-	c:\windows\system32\drivers\avckf.sys
2012-01-18 16:16 . 2012-01-18 16:16	691384	------w-	c:\windows\system32\drivers\avc3.sys
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe" [2010-09-28 1715768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-11 98304]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-01-15 284696]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-01-25 61112]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
"ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R1 bdfwfpf;bdfwfpf;c:\program files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys [2012-03-08 89680]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
R3 bdsandbox;bdsandbox;c:\windows\system32\drivers\bdsandbox.sys [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28x.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 Update Server;BitDefender Update Server v2;c:\program files\Common Files\Bitdefender\Bitdefender Arrakis Server\bin\arrakis3.exe [2011-10-14 466736]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 avc3;avc3;c:\windows\system32\DRIVERS\avc3.sys [x]
S1 BDVEDISK;BDVEDISK;c:\windows\system32\DRIVERS\bdvedisk.sys [x]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-01-15 13336]
S2 SafeBox;SafeBox;c:\program files\Bitdefender\Bitdefender SafeBox\safeboxservice.exe [2011-12-21 75384]
S2 UPDATESRV;BitDefender Desktop Update Service;c:\program files\Bitdefender\Bitdefender 2012\updatesrv.exe [2012-01-23 62512]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 avchv;avchv Function Driver;c:\windows\system32\DRIVERS\avchv.sys [x]
S3 avckf;avckf;c:\windows\system32\DRIVERS\avckf.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
c:\windows\Tasks\HPCeeScheduleForJacqueline.job
c:\windows\Tasks\PCDRScheduledMaintenance.job
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox1]
@="{152C96EB-288E-4EDC-B7C6-D21F8250ADF3}"
[HKEY_CLASSES_ROOT\CLSID\{152C96EB-288E-4EDC-B7C6-D21F8250ADF3}]
2011-12-21 10:16	264344	------w-	c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox2]
@="{342DAA0B-D796-460D-8566-901E08A1CCAD}"
[HKEY_CLASSES_ROOT\CLSID\{342DAA0B-D796-460D-8566-901E08A1CCAD}]
2011-12-21 10:16	264344	------w-	c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox3]
@="{57595DAE-1AE1-4D97-A49E-67CBB53B52DF}"
[HKEY_CLASSES_ROOT\CLSID\{57595DAE-1AE1-4D97-A49E-67CBB53B52DF}]
2011-12-21 10:16	264344	------w-	c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox4]
@="{33816773-98AE-4723-ADE0-EBE54C8B5A67}"
[HKEY_CLASSES_ROOT\CLSID\{33816773-98AE-4723-ADE0-EBE54C8B5A67}]
2011-12-21 10:16	264344	------w-	c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
"BDAgent"="c:\program files\Bitdefender\Bitdefender 2012\bdagent.exe" [2012-01-24 1066744]
"combofix"="c:\combofix\CF19646.3XE" [2010-11-20 345088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
digirefresh
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uLocal Page = c:\windows\system32\blank.htm
mStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MIF5BA~1\Office10\EXCEL.EXE/3000
LSP: mswsock.dll
Trusted Zone: gouv.fr\www3.telepac.agriculture
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Jacqueline\AppData\Roaming\Mozilla\Firefox\Profiles\yzduizvi.default\
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SysWOW64\ezSharedSvcHost.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Citrix\ICA Client\wfcrun32.exe
c:\program files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe
.
**************************************************************************
.
Heure de fin: 2012-03-09  16:09:29 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-03-09 15:09
ComboFix2.txt  2012-03-09 00:04
ComboFix3.txt  2012-03-08 22:37
.
Avant-CF: 652 611 190 784 octets libres
Après-CF: 652 462 026 752 octets libres
.
- - End Of File - - 6DCD21B4406D44065A44459144BAADD9



Après ça j'ai refait une analyse avec Bit Defender. Voici le résultat :




BitDefender Log File 


Product : Bitdefender Total Security 2012
Scanning task : Analyse Complète
Log date : vendredi 9 mars 2012 17:14:18
Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1331309495_1_03.xml
 
Scan Paths: 
Path : C:\Windows\assembly\GAC_64\Desktop.ini
Path : C:\Windows\assembly\temp\U\80000000.@
Path : C:\Windows\assembly\GAC_32\Desktop.ini
Path : C:\Windows\assembly\temp\U\80000004.@
Path : C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir
 
[-]Scan Results 
[-]Remaining issues:Object Path Threat Name Final Status 
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected 
 
[-]Resolved issues:Object Path Threat Name Final Status 
File: C:\Windows\assembly\GAC_64\Desktop.ini Backdoor.Generic.699532 Moved to Quarantine after reboot 
File: C:\Windows\assembly\temp\U\80000000.@=>(CAB Sfx g)=>1.cab=>1.cod=>(Embedded EXE g)=>(Embedded EXE g) Trojan.Generic.7199094 Moved to Quarantine 
Process: c:\Windows\assembly\GAC_32\Desktop.ini Trojan.Generic.6936374 Clean 
File: C:\Windows\assembly\temp\U\80000004.@ Trojan.Generic.7026655 Deleted 
File: C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir Trojan.Generic.7199094 Deleted 
 
[-]Detailed Scan Summary 
[-]Basic 
Scanned items : 5019
Infected items : 6
Suspicious items : 0 (no suspected items have been detected)
Resolved items : 16
Unresolved items : 0 
 
[-]Advanced 
Scan time : 0: 02: 10
Files per second : 38
Skipped items : 0
Password-protected items : 0
Overcompressed items : 0
Scanned archives : 1
Input-output errors : 0
Scanned boot sectors : 0
Scanned processes : 3705
Infected processes : 2
Scanned registry keys : 0
Infected registry keys : 0
Scanned cookies : 0
Infected cookies : 0
 
[-]Scan Options 
[-]Target Threat Types: 
Scan for viruses : Yes
Scan for adware : Yes
Scan for spyware : Yes
Scan for applications : Yes
Scan for dialers : Yes
Scan for rootkits : No
Scan for keyloggers : Yes
 
[-]Target Selection Options: 
Scan registry keys : No
Scan cookies : No
Scan boot sectors : No
Scan memory processes : Yes
Scan archives : Yes
Scan runtime packers : Yes
Scan emails : Yes
Scan all files : Yes
Heuristic Scan : Yes
Scanned extensions : none configured
Excluded extensions : none configured
 
[-]Target Processing: 
Default primary action for infected objects : Disinfect
Default secondary action for infected objects : Move to Quarantine
Default primary action for suspicious objects : Move to Quarantine
Default secondary action for suspicious objects : None
Default action for hidden objects : Disinfect
Default action for password-protected objects : Prompt for password
 
[-]Scan engines summary 
Number of virus signatures : 7012700 


Le fichier C:\Windows\System32\consrv.dll est-il encore là après ces manip' ?
Et du coup faut-il que je suive les instructions de ton site ? Pas de problème au niveau du CD Live, j'en ai déjà utilisés pour du formatage.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
9 mars 2012 à 17:30
ben regarde si c:\windows\system32\consrv.dll existe.

bizarre que BitDefender mentionne encore ça :
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected

Ca tendrait à dire qu'il est encore là mais il ne le détecte plus sur le disque.
0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
9 mars 2012 à 17:49
Il n'y a plus de présence du fichier consrv.dll dans le dossier (avec tous les fichiers visibles) et Bit Defender m'annonce qu'il l'a supprimé à 17:33.
0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
Modifié par payz le 9/03/2012 à 18:24
En fait j'ai l'impression qu'il y a un fichier qui permet de régénérer les autres et qui n'est pas détecté ou nettoyé lors de l'analyse (enfin en novice que je suis) ...

A chaque nouvelle analyse du système il y a toujours 5-6 fichiers détectés qui ont été supprimés juste avant.

A n'y plus rien comprendre ...

Je dois tout de même réparer le registre ?
0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
9 mars 2012 à 18:58
Ok, donc mon ordi a de nouveau refusé de démarrer j'ai donc Utilisé Ultimate Boot, changé la valeur dans le registre et ça a fonctionné.
Je procède à une ènième analyse du coup avec Bit Defender ...

Mais le fichier qui pose maintenant problème c'est
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected 

Il est quasi intouchable non ?

En tout cas merci pour ta réponse qui m'a permis de régler une partie du problème :)
0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
Modifié par payz le 9/03/2012 à 21:32
Bon ben finalement j'ai formaté le disque, je n'arrivait pas à atteindre le cheval de Troie du fichier smss.exe.

Merci bcp pour tes conseils et le temps que tu m'as consacré :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 666
9 mars 2012 à 22:17
ok un truc, t'as des cracks plus haut.

ZeroAccess va en autre par des faux cracks : https://www.malekal.com/faux-site-de-crack-ca-marche-encore-bien/

~~

Sinon maintenir tes programmes à jour :


Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

0
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012
9 mars 2012 à 22:57
Merci pour ces conseils, j'avais oublié de faire ma mise à jour Java depuis quelques mois déjà ... Ca n'a pas aidé
0