Backdoor.Generic.699532 & cie sur mon PC

Résolu
payz Messages postés 13 Statut Membre -  
payz Messages postés 13 Statut Membre -
Bien le bonjour,

Après une nuit sans sommeil à essayer de suivre différentes procédures je n'ai toujours pas réussi à me débarrasser de compagnons assez énervants :

- Backdoor.Generic.699532
- Trojan.Generic.7033886
- Trojan.Generic.6936374
(entre autre)

Dans un premier j'ai remarqué que Bit Defender bloquait via le pare feu l'accès à Internet et que lorsque j'arrivait à le contourner des publicités apparaissaient aléatoirement à la place de Google ou d'autre sites.
Après une recherche appronfondie j'ai découvert la présence de quelques chevaux de troie, dont certains sont cité ci-dessus.
Bit Defender n'étant pas en mesure de palier au problème je l'ai supprimé et fait tourner Malwarebytes qui m'a détecté 6 menaces.
Après avoir fait des recherches j'ai laisser tourner ComboFix, après redémarrage de ma machine et une recherche fructueuse (il a supprimé 5-6 fichiers dont csrsrv.dll du système) j'ai re-redémarré mon PC. Là, impossible de redémarrer normalement j'ai du utiliser l'utilitaire de réparation du système qui précisait que certains fichiers de démarrage étaient absents et dû effectuer une restauration du système.
Retour à la case départ en somme, sauf que Bit Defender, même s'il n'apparait plus dans la liste des "Programmes" du panneau de configuration ni dans le gestionnaire des taches fonctionne quand même, qu'il m'est impossible d'installer un pare feu actuellement (pour Zone Alarm il manquerait l'ordinal 1100 du fichier WSOCK32.dll), et les virus sont toujours présents et detectés par Malwarebytes.

Ne sachant plus que faire, je me tourne vers vous.

En vous remerciant d'avance pour votre aide

14 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Poste le rapport de scan BitDefender et Malwarebyte.
    0
  2. payz Messages postés 13 Statut Membre
     
    Tout d'abord merci pour ta réponse.

    Je ne suis pas parvenu à mettre la main sur le rapport de Bit Defender (dont seul certains fichiers semblent présents, cela étant surement du aux 3 restaurations de système que j'ai eu à effectuer cette nuit).

    Donc ci-dessous les rapports de Malwarebyte et ComboFix (effectué pour celui-ci avant la restauration) :

    Malwarebytes Anti-Malware (Essai) 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.03.09.02

    Windows 7 Service Pack 1 x64 FAT32
    Internet Explorer 9.0.8112.16421
    Jacqueline :: JACQUELINE-HP [administrateur]

    Protection: Activé

    09/03/2012 07:29:24
    mbam-log-2012-03-09 (08-19-11).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 384779
    Temps écoulé: 48 minute(s), 49 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 6
    C:\Users\Jacqueline\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\5adbd57a-17e89663 (Trojan.FakeMS) -> Aucune action effectuée.
    C:\Users\Jacqueline\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\5adbd57a-6ce2610f (Trojan.FakeMS) -> Aucune action effectuée.
    C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\Keygen Adobe Flash Professional CS5.exe (Malware.Packer.Gen) -> Aucune action effectuée.
    C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\Keygen Adobe Photoshop CS5 Extended.exe (Malware.Packer.Gen) -> Aucune action effectuée.
    C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\MultiKeymaker Adobe CS4-CS5-CS5.5.exe (Trojan.Agent.CK) -> Aucune action effectuée.
    C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\MultiKeymaker Adobe CS4-CS5.exe (Trojan.Agent.CK) -> Aucune action effectuée.

    (fin)

    ...........................................................................

    Et pour ComboFix :

    ComboFix 12-03-08.01 - Jacqueline 09/03/2012 0:53.1.4 - x64
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3959.2876 [GMT 1:00]
    Lancé depuis: K:\ComboFix.exe
    AV: BitDefender Antivirus *Enabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E}
    FW: BitDefender Pare-feu *Enabled* {A0115F06-6D34-063E-1C9A-77345A574EF5}
    SP: BitDefender Antispyware *Enabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\windows\assembly\GAC_32\Desktop.ini
    c:\windows\assembly\GAC_64\Desktop.ini
    c:\windows\assembly\temp\@
    c:\windows\assembly\temp\cfg.ini
    c:\windows\system32\consrv.dll
    c:\windows\system32\dds_trash_log.cmd
    c:\windows\System64
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-02-09 au 2012-03-09 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-03-08 23:59 . 2012-03-08 23:59 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-03-08 12:56 . 2012-03-08 12:56 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\Malwarebytes
    2012-03-08 12:56 . 2012-03-09 03:37 -------- d-----w- c:\programdata\Malwarebytes
    2012-03-08 12:56 . 2011-12-10 14:24 23152 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-03-08 12:56 . 2012-03-09 08:48 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2012-03-08 12:36 . 2012-03-08 12:36 -------- d-----w- c:\program files (x86)\Common Files\BitDefender
    2012-03-08 12:23 . 2012-03-08 12:23 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\QuickScan
    2012-03-06 12:27 . 2012-02-08 07:13 8643640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B2FE6227-E6D0-49DF-AE9E-21E8F75ECD2F}\mpengine.dll
    2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
    2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Adobe Download Assistant
    2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Common Files\Adobe AIR
    2012-02-28 12:52 . 2012-02-28 12:52 -------- d-----w- c:\programdata\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
    2012-02-27 13:36 . 2012-02-27 13:36 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\mkvtoolnix
    2012-02-27 13:30 . 2012-02-27 13:31 -------- d-----w- c:\program files (x86)\MKVToolNix
    2012-02-27 09:55 . 2012-02-28 11:22 -------- d-----w- c:\program files (x86)\JDownloader
    2012-02-16 16:08 . 2012-01-04 10:44 509952 ----a-w- c:\windows\system32\ntshrui.dll
    2012-02-16 16:08 . 2012-01-04 08:58 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll
    2012-02-16 16:08 . 2011-12-30 06:26 515584 ----a-w- c:\windows\system32\timedate.cpl
    2012-02-16 16:08 . 2011-12-30 05:27 478720 ----a-w- c:\windows\SysWow64\timedate.cpl
    2012-02-16 16:08 . 2012-01-14 04:06 3145728 ----a-w- c:\windows\system32\win32k.sys
    2012-02-16 16:08 . 2011-12-28 03:59 498688 ----a-w- c:\windows\system32\drivers\afd.sys
    2012-02-16 16:08 . 2011-12-16 08:46 634880 ----a-w- c:\windows\system32\msvcrt.dll
    2012-02-16 16:08 . 2011-12-16 07:52 690688 ----a-w- c:\windows\SysWow64\msvcrt.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-02-28 11:20 . 2011-05-25 17:25 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
    2012-02-23 08:18 . 2010-09-02 19:57 279656 ------w- c:\windows\system32\MpSigStub.exe
    2012-02-01 15:55 . 2012-02-01 15:55 2808 ----a-w- c:\windows\system32\bdaD701.tmp
    2012-01-18 17:34 . 2012-01-18 17:34 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe" [2010-09-28 1715768]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-11 98304]
    "IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-01-15 284696]
    "HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-01-25 61112]
    "Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
    "ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
    "TkBellExe"="c:\program files (x86)\Real\RealPlayer\Update\realsched.exe" [2011-02-24 273544]
    "CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-01-07 253672]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
    "Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "EnableShellExecuteHooks"= 1 (0x1)
    .
    [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "aux1"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
    R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
    R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-02-28 183560]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
    R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28x.sys [x]
    R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
    S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
    S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
    S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-01-15 13336]
    S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
    S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x]
    S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
    S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
    S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
    .
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - WS2IFSL
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 19:20]
    .
    2012-03-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 19:20]
    .
    2012-03-05 c:\windows\Tasks\HPCeeScheduleForJacqueline.job
    - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 10:53]
    .
    2011-11-30 c:\windows\Tasks\PCDRScheduledMaintenance.job
    - c:\program files\PC-Doctor for Windows\pcdrcui.exe [2010-02-01 23:02]
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
    "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
    "combofix"="c:\combofix\CF6906.3XE" [2010-11-20 345088]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x0
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    digirefresh
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.laposte.net/
    uLocal Page = c:\windows\system32\blank.htm
    mLocal Page = c:\windows\SysWOW64\blank.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MIF5BA~1\Office10\EXCEL.EXE/3000
    LSP: mswsock.dll
    Trusted Zone: gouv.fr\www3.telepac.agriculture
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath - c:\users\Jacqueline\AppData\Roaming\Mozilla\Firefox\Profiles\yzduizvi.default\
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\SysWOW64\ezSharedSvcHost.exe
    c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
    c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
    .
    **************************************************************************
    .
    Heure de fin: 2012-03-09 01:04:27 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-03-09 00:04
    ComboFix2.txt 2012-03-08 22:37
    .
    Avant-CF: 654 482 358 272 octets libres
    Après-CF: 653 898 186 752 octets libres
    .
    - - End Of File - - E674D07D57EBDFEE20C3DD28EAD577F1

    .................................................................

    Désolé de te les envoyer tels quels, j'ai essayé de les charger sur cijoint.fr mais pas moyen d'y accéder
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Combofix a viré ZeroAccess.

    Du coup ça donne quoi ? Encore des détections ?

    Désinstalle Bingbar.
    0
  4. payz Messages postés 13 Statut Membre
     
    Le souci c'est que Combofix a supprimé certains fichiers du registres qui sont necessaires au redémarrage et que du coup j'ai du effectuer une restauration du système donc je ne sais pas si ZeroAccess a été supprimé.

    Entre temps j'ai installé Bit Defender Total Security 2012 (avant j'avais la version 2010 qui bloquait tout accès à Internet via le pare feu).

    Je viens de relancer une analyse et il semble qu'un élément soit encore infecté (pour l'instant) et ça ne fait que 5 minutes qu'il analyse.

    La bingbar est désinstallée.

    Faut-il que je refasse fonctionner Combofix du coup ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      faut boir ce que bitdefender detecte. Poste le rapport.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. payz Messages postés 13 Statut Membre
     
    Voici le rapport de Bit Defender, ça m'a pas l'air bon du tout :

    BitDefender Log File

    Product : Bitdefender Total Security 2012
    Scanning task : Analyse Complète
    Log date : vendredi 9 mars 2012 11:59:59
    Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1331290123_1_03.xml
    Scan Paths:
    Path : C:\Windows\System32\consrv.dll
    Path : C:\Windows\assembly\GAC_64\Desktop.ini
    Path : C:\Windows\assembly\temp\U\80000000.@
    Path : C:\Windows\assembly\GAC_32\Desktop.ini
    Path : C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir
    [-]Scan Results
    [-]Remaining issues:
    Object Path Threat Name Final Status
    Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected
    File: C:\Windows\assembly\GAC_64\Desktop.ini Backdoor.Generic.699532 Infected
    [-]Resolved issues:
    Object Path Threat Name Final Status
    File: C:\Windows\System32\consrv.dll Trojan.Sirefef.BW Deleted
    File: C:\Windows\assembly\temp\U\80000000.@=>(CAB Sfx g)=>1.cab=>1.cod=>(Embedded EXE g)=>(Embedded EXE g) Trojan.Generic.7199094 Moved to Quarantine
    Process: c:\Windows\assembly\GAC_32\Desktop.ini Trojan.Generic.6936374 Deleted after reboot
    File: C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir Trojan.Generic.7199094 Deleted
    [-]Detailed Scan Summary
    [-]Basic
    Scanned items : 5628
    Infected items : 6
    Suspicious items : 0 (no suspected items have been detected)
    Resolved items : 38
    Unresolved items : 0
    [-]Advanced
    Scan time : 0: 02: 20
    Files per second : 40
    Skipped items : 0
    Password-protected items : 0
    Overcompressed items : 0
    Scanned archives : 1
    Input-output errors : 0
    Scanned boot sectors : 0
    Scanned processes : 4193
    Infected processes : 2
    Scanned registry keys : 0
    Infected registry keys : 0
    Scanned cookies : 0
    Infected cookies : 0
    [-]Scan engine summary
    Number of virus signatures : 7011791
    0
  7. payz Messages postés 13 Statut Membre
     
    En précisant, que après redémarrage (ordonné par Bit Defender),
    j'ai eu un fichier "desktop.ini" qui s'est ouvert avec comme info :

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

    et il détecte en permanence un processus malveillant qu'il bloque : "C:\Windows\SysWOW64\ping.exe"

    Merci pour ton aide :)
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    bon il est encore là lui :
    File: C:\Windows\System32\consrv.dll Trojan.Sirefef.BW Deleted

    C'est pas plus mal que BitDefender ne le supprime pas car sinon ton PC ne démarrerai plus.

    Combofix le vire, mais bon si ça fait comme la fois d'avant, on sera pas plus avancé.

    Regarde là : https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/

    Tu te sens capable de faire les manips avec un CD Live ?
    0
  9. payz Messages postés 13 Statut Membre
     
    J'ai refait tourner Combofix cet après-midi et il semble qu'il n'y ai pas eu de problème, en tout cas le PC redémarre au quart de tour.

    Le rapport :

    ComboFix 12-03-08.01 - Jacqueline 09/03/2012  15:54:11.1.4 - x64
    Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.3959.2360 [GMT 1:00]
    Lancé depuis: K:\ComboFix.exe
    AV: BitDefender Antivirus *Enabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E}
    FW: BitDefender Pare-feu *Enabled* {A0115F06-6D34-063E-1C9A-77345A574EF5}
    SP: BitDefender Antispyware *Enabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    ((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\windows\assembly\GAC_32\Desktop.ini
    c:\windows\assembly\GAC_64\Desktop.ini
    c:\windows\assembly\temp\@
    c:\windows\assembly\temp\cfg.ini
    c:\windows\system32\consrv.dll
    c:\windows\system32\dds_trash_log.cmd
    c:\windows\System64
    .
    .
    (((((((((((((((((((((((((((((   Fichiers créés du 2012-02-09 au 2012-03-09  ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-03-09 15:02 . 2012-03-09 15:02	--------	d-----w-	c:\users\Default\AppData\Local\temp
    2012-03-09 09:22 . 2012-03-09 09:22	260826	----a-w-	c:\programdata\1331284514.bdinstall.bin
    2012-03-09 09:21 . 2012-03-09 09:21	--------	d-----w-	c:\programdata\BDLogging
    2012-03-09 09:15 . 2011-08-16 12:59	442088	------w-	c:\windows\system32\drivers\bdfsfltr.sys
    2012-03-09 09:15 . 2011-10-27 13:07	329800	----a-w-	c:\windows\system32\drivers\trufos.sys
    2012-03-08 22:53 . 2012-03-08 22:53	--------	d-----w-	C:\ZHP
    2012-03-08 22:53 . 2012-03-09 08:48	--------	d-----w-	c:\program files (x86)\ZHPFix
    2012-03-08 22:44 . 2012-03-09 08:48	--------	d-----w-	C:\UsbFix
    2012-03-08 12:56 . 2012-03-08 12:56	--------	d-----w-	c:\users\Jacqueline\AppData\Roaming\Malwarebytes
    2012-03-08 12:56 . 2012-03-09 15:07	--------	d-----w-	c:\programdata\Malwarebytes
    2012-03-08 12:56 . 2012-03-09 09:14	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
    2012-03-08 12:36 . 2012-03-09 09:12	--------	d-----w-	c:\program files (x86)\Common Files\BitDefender
    2012-03-08 12:23 . 2012-03-08 12:23	--------	d-----w-	c:\users\Jacqueline\AppData\Roaming\QuickScan
    2012-03-06 12:27 . 2012-02-08 07:13	8643640	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B2FE6227-E6D0-49DF-AE9E-21E8F75ECD2F}\mpengine.dll
    2012-03-05 12:51 . 2012-03-05 12:51	--------	d-----w-	c:\users\Jacqueline\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
    2012-03-05 12:51 . 2012-03-05 12:51	--------	d-----w-	c:\program files (x86)\Adobe Download Assistant
    2012-03-05 12:51 . 2012-03-05 12:51	--------	d-----w-	c:\program files (x86)\Common Files\Adobe AIR
    2012-02-28 12:52 . 2012-02-28 12:52	--------	d-----w-	c:\programdata\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
    2012-02-27 13:36 . 2012-02-27 13:36	--------	d-----w-	c:\users\Jacqueline\AppData\Roaming\mkvtoolnix
    2012-02-27 13:30 . 2012-02-27 13:31	--------	d-----w-	c:\program files (x86)\MKVToolNix
    2012-02-27 09:55 . 2012-02-28 11:22	--------	d-----w-	c:\program files (x86)\JDownloader
    2012-02-16 16:08 . 2012-01-04 10:44	509952	----a-w-	c:\windows\system32\ntshrui.dll
    2012-02-16 16:08 . 2012-01-04 08:58	442880	----a-w-	c:\windows\SysWow64\ntshrui.dll
    2012-02-16 16:08 . 2011-12-30 06:26	515584	----a-w-	c:\windows\system32\timedate.cpl
    2012-02-16 16:08 . 2011-12-30 05:27	478720	----a-w-	c:\windows\SysWow64\timedate.cpl
    2012-02-16 16:08 . 2012-01-14 04:06	3145728	----a-w-	c:\windows\system32\win32k.sys
    2012-02-16 16:08 . 2011-12-28 03:59	498688	----a-w-	c:\windows\system32\drivers\afd.sys
    2012-02-16 16:08 . 2011-12-16 08:46	634880	----a-w-	c:\windows\system32\msvcrt.dll
    2012-02-16 16:08 . 2011-12-16 07:52	690688	----a-w-	c:\windows\SysWow64\msvcrt.dll
    .
    .
    .
    ((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-02-28 11:20 . 2011-05-25 17:25	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
    2012-02-23 08:18 . 2010-09-02 19:57	279656	------w-	c:\windows\system32\MpSigStub.exe
    2012-02-01 15:55 . 2012-02-01 15:55	2808	----a-w-	c:\windows\system32\bdaD701.tmp
    2012-01-18 17:34 . 2012-01-18 17:34	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
    2012-01-18 16:16 . 2012-01-18 16:16	544552	------w-	c:\windows\system32\drivers\avckf.sys
    2012-01-18 16:16 . 2012-01-18 16:16	691384	------w-	c:\windows\system32\drivers\avc3.sys
    .
    .
    (((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe" [2010-09-28 1715768]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-11 98304]
    "IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-01-15 284696]
    "HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-01-25 61112]
    "Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
    "ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
    "CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "EnableShellExecuteHooks"= 1 (0x1)
    .
    [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "aux1"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    R1 bdfwfpf;bdfwfpf;c:\program files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys [2012-03-08 89680]
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
    R3 bdsandbox;bdsandbox;c:\windows\system32\drivers\bdsandbox.sys [x]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
    R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28x.sys [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
    R3 Update Server;BitDefender Update Server v2;c:\program files\Common Files\Bitdefender\Bitdefender Arrakis Server\bin\arrakis3.exe [2011-10-14 466736]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    S0 avc3;avc3;c:\windows\system32\DRIVERS\avc3.sys [x]
    S1 BDVEDISK;BDVEDISK;c:\windows\system32\DRIVERS\bdvedisk.sys [x]
    S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
    S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
    S2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
    S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
    S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-01-15 13336]
    S2 SafeBox;SafeBox;c:\program files\Bitdefender\Bitdefender SafeBox\safeboxservice.exe [2011-12-21 75384]
    S2 UPDATESRV;BitDefender Desktop Update Service;c:\program files\Bitdefender\Bitdefender 2012\updatesrv.exe [2012-01-23 62512]
    S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x]
    S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
    S3 avchv;avchv Function Driver;c:\windows\system32\DRIVERS\avchv.sys [x]
    S3 avckf;avckf;c:\windows\system32\DRIVERS\avckf.sys [x]
    S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
    .
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - WS2IFSL
    .
    Contenu du dossier 'Tâches planifiées'
    c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    c:\windows\Tasks\HPCeeScheduleForJacqueline.job
    c:\windows\Tasks\PCDRScheduledMaintenance.job
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox1]
    @="{152C96EB-288E-4EDC-B7C6-D21F8250ADF3}"
    [HKEY_CLASSES_ROOT\CLSID\{152C96EB-288E-4EDC-B7C6-D21F8250ADF3}]
    2011-12-21 10:16	264344	------w-	c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox2]
    @="{342DAA0B-D796-460D-8566-901E08A1CCAD}"
    [HKEY_CLASSES_ROOT\CLSID\{342DAA0B-D796-460D-8566-901E08A1CCAD}]
    2011-12-21 10:16	264344	------w-	c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox3]
    @="{57595DAE-1AE1-4D97-A49E-67CBB53B52DF}"
    [HKEY_CLASSES_ROOT\CLSID\{57595DAE-1AE1-4D97-A49E-67CBB53B52DF}]
    2011-12-21 10:16	264344	------w-	c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox4]
    @="{33816773-98AE-4723-ADE0-EBE54C8B5A67}"
    [HKEY_CLASSES_ROOT\CLSID\{33816773-98AE-4723-ADE0-EBE54C8B5A67}]
    2011-12-21 10:16	264344	------w-	c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
    "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
    "BDAgent"="c:\program files\Bitdefender\Bitdefender 2012\bdagent.exe" [2012-01-24 1066744]
    "combofix"="c:\combofix\CF19646.3XE" [2010-11-20 345088]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x0
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
    digirefresh
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = about:blank
    uLocal Page = c:\windows\system32\blank.htm
    mStart Page = about:blank
    mLocal Page = c:\windows\SysWOW64\blank.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MIF5BA~1\Office10\EXCEL.EXE/3000
    LSP: mswsock.dll
    Trusted Zone: gouv.fr\www3.telepac.agriculture
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath - c:\users\Jacqueline\AppData\Roaming\Mozilla\Firefox\Profiles\yzduizvi.default\
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\SysWOW64\ezSharedSvcHost.exe
    c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
    c:\program files (x86)\Citrix\ICA Client\wfcrun32.exe
    c:\program files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-03-09  16:09:29 - La machine a redémarré
    ComboFix-quarantined-files.txt  2012-03-09 15:09
    ComboFix2.txt  2012-03-09 00:04
    ComboFix3.txt  2012-03-08 22:37
    .
    Avant-CF: 652 611 190 784 octets libres
    Après-CF: 652 462 026 752 octets libres
    .
    - - End Of File - - 6DCD21B4406D44065A44459144BAADD9


    Après ça j'ai refait une analyse avec Bit Defender. Voici le résultat :

    BitDefender Log File 
    
    
    Product : Bitdefender Total Security 2012
    Scanning task : Analyse Complète
    Log date : vendredi 9 mars 2012 17:14:18
    Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1331309495_1_03.xml
     
    Scan Paths: 
    Path : C:\Windows\assembly\GAC_64\Desktop.ini
    Path : C:\Windows\assembly\temp\U\80000000.@
    Path : C:\Windows\assembly\GAC_32\Desktop.ini
    Path : C:\Windows\assembly\temp\U\80000004.@
    Path : C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir
     
    [-]Scan Results 
    [-]Remaining issues:Object Path Threat Name Final Status 
    Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected 
     
    [-]Resolved issues:Object Path Threat Name Final Status 
    File: C:\Windows\assembly\GAC_64\Desktop.ini Backdoor.Generic.699532 Moved to Quarantine after reboot 
    File: C:\Windows\assembly\temp\U\80000000.@=>(CAB Sfx g)=>1.cab=>1.cod=>(Embedded EXE g)=>(Embedded EXE g) Trojan.Generic.7199094 Moved to Quarantine 
    Process: c:\Windows\assembly\GAC_32\Desktop.ini Trojan.Generic.6936374 Clean 
    File: C:\Windows\assembly\temp\U\80000004.@ Trojan.Generic.7026655 Deleted 
    File: C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir Trojan.Generic.7199094 Deleted 
     
    [-]Detailed Scan Summary 
    [-]Basic 
    Scanned items : 5019
    Infected items : 6
    Suspicious items : 0 (no suspected items have been detected)
    Resolved items : 16
    Unresolved items : 0 
     
    [-]Advanced 
    Scan time : 0: 02: 10
    Files per second : 38
    Skipped items : 0
    Password-protected items : 0
    Overcompressed items : 0
    Scanned archives : 1
    Input-output errors : 0
    Scanned boot sectors : 0
    Scanned processes : 3705
    Infected processes : 2
    Scanned registry keys : 0
    Infected registry keys : 0
    Scanned cookies : 0
    Infected cookies : 0
     
    [-]Scan Options 
    [-]Target Threat Types: 
    Scan for viruses : Yes
    Scan for adware : Yes
    Scan for spyware : Yes
    Scan for applications : Yes
    Scan for dialers : Yes
    Scan for rootkits : No
    Scan for keyloggers : Yes
     
    [-]Target Selection Options: 
    Scan registry keys : No
    Scan cookies : No
    Scan boot sectors : No
    Scan memory processes : Yes
    Scan archives : Yes
    Scan runtime packers : Yes
    Scan emails : Yes
    Scan all files : Yes
    Heuristic Scan : Yes
    Scanned extensions : none configured
    Excluded extensions : none configured
     
    [-]Target Processing: 
    Default primary action for infected objects : Disinfect
    Default secondary action for infected objects : Move to Quarantine
    Default primary action for suspicious objects : Move to Quarantine
    Default secondary action for suspicious objects : None
    Default action for hidden objects : Disinfect
    Default action for password-protected objects : Prompt for password
     
    [-]Scan engines summary 
    Number of virus signatures : 7012700 


    Le fichier C:\Windows\System32\consrv.dll est-il encore là après ces manip' ?
    Et du coup faut-il que je suive les instructions de ton site ? Pas de problème au niveau du CD Live, j'en ai déjà utilisés pour du formatage.
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ben regarde si c:\windows\system32\consrv.dll existe.

    bizarre que BitDefender mentionne encore ça :
    Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected

    Ca tendrait à dire qu'il est encore là mais il ne le détecte plus sur le disque.
    0
  11. payz Messages postés 13 Statut Membre
     
    Il n'y a plus de présence du fichier consrv.dll dans le dossier (avec tous les fichiers visibles) et Bit Defender m'annonce qu'il l'a supprimé à 17:33.
    0
    1. payz Messages postés 13 Statut Membre
       
      En fait j'ai l'impression qu'il y a un fichier qui permet de régénérer les autres et qui n'est pas détecté ou nettoyé lors de l'analyse (enfin en novice que je suis) ...

      A chaque nouvelle analyse du système il y a toujours 5-6 fichiers détectés qui ont été supprimés juste avant.

      A n'y plus rien comprendre ...

      Je dois tout de même réparer le registre ?
      0
  12. payz Messages postés 13 Statut Membre
     
    Ok, donc mon ordi a de nouveau refusé de démarrer j'ai donc Utilisé Ultimate Boot, changé la valeur dans le registre et ça a fonctionné.
    Je procède à une ènième analyse du coup avec Bit Defender ...

    Mais le fichier qui pose maintenant problème c'est
    Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected 

    Il est quasi intouchable non ?

    En tout cas merci pour ta réponse qui m'a permis de régler une partie du problème :)
    0
  13. payz Messages postés 13 Statut Membre
     
    Bon ben finalement j'ai formaté le disque, je n'arrivait pas à atteindre le cheval de Troie du fichier smss.exe.

    Merci bcp pour tes conseils et le temps que tu m'as consacré :)
    0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok un truc, t'as des cracks plus haut.

    ZeroAccess va en autre par des faux cracks : https://www.malekal.com/faux-site-de-crack-ca-marche-encore-bien/

    ~~

    Sinon maintenir tes programmes à jour :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    0
  15. payz Messages postés 13 Statut Membre
     
    Merci pour ces conseils, j'avais oublié de faire ma mise à jour Java depuis quelques mois déjà ... Ca n'a pas aidé
    0