Backdoor.Generic.699532 & cie sur mon PC
Résolu/Fermé
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
-
9 mars 2012 à 08:23
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012 - 9 mars 2012 à 22:57
payz Messages postés 13 Date d'inscription vendredi 9 mars 2012 Statut Membre Dernière intervention 9 mars 2012 - 9 mars 2012 à 22:57
A voir également:
- Backdoor.Generic.699532 & cie sur mon PC
- Test performance pc - Guide
- Mon pc est lent - Guide
- Plus de son sur mon pc - Guide
- Reinitialiser pc - Guide
- Télécharger musique gratuitement sur pc - Télécharger - Conversion & Extraction
14 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
9 mars 2012 à 09:02
9 mars 2012 à 09:02
Salut,
Poste le rapport de scan BitDefender et Malwarebyte.
Poste le rapport de scan BitDefender et Malwarebyte.
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
9 mars 2012 à 09:32
9 mars 2012 à 09:32
Tout d'abord merci pour ta réponse.
Je ne suis pas parvenu à mettre la main sur le rapport de Bit Defender (dont seul certains fichiers semblent présents, cela étant surement du aux 3 restaurations de système que j'ai eu à effectuer cette nuit).
Donc ci-dessous les rapports de Malwarebyte et ComboFix (effectué pour celui-ci avant la restauration) :
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.09.02
Windows 7 Service Pack 1 x64 FAT32
Internet Explorer 9.0.8112.16421
Jacqueline :: JACQUELINE-HP [administrateur]
Protection: Activé
09/03/2012 07:29:24
mbam-log-2012-03-09 (08-19-11).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 384779
Temps écoulé: 48 minute(s), 49 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 6
C:\Users\Jacqueline\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\5adbd57a-17e89663 (Trojan.FakeMS) -> Aucune action effectuée.
C:\Users\Jacqueline\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\5adbd57a-6ce2610f (Trojan.FakeMS) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\Keygen Adobe Flash Professional CS5.exe (Malware.Packer.Gen) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\Keygen Adobe Photoshop CS5 Extended.exe (Malware.Packer.Gen) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\MultiKeymaker Adobe CS4-CS5-CS5.5.exe (Trojan.Agent.CK) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\MultiKeymaker Adobe CS4-CS5.exe (Trojan.Agent.CK) -> Aucune action effectuée.
(fin)
...........................................................................
Et pour ComboFix :
ComboFix 12-03-08.01 - Jacqueline 09/03/2012 0:53.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3959.2876 [GMT 1:00]
Lancé depuis: K:\ComboFix.exe
AV: BitDefender Antivirus *Enabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E}
FW: BitDefender Pare-feu *Enabled* {A0115F06-6D34-063E-1C9A-77345A574EF5}
SP: BitDefender Antispyware *Enabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\assembly\temp\@
c:\windows\assembly\temp\cfg.ini
c:\windows\system32\consrv.dll
c:\windows\system32\dds_trash_log.cmd
c:\windows\System64
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-09 au 2012-03-09 ))))))))))))))))))))))))))))))))))))
.
.
2012-03-08 23:59 . 2012-03-08 23:59 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-08 12:56 . 2012-03-08 12:56 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\Malwarebytes
2012-03-08 12:56 . 2012-03-09 03:37 -------- d-----w- c:\programdata\Malwarebytes
2012-03-08 12:56 . 2011-12-10 14:24 23152 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-08 12:56 . 2012-03-09 08:48 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-08 12:36 . 2012-03-08 12:36 -------- d-----w- c:\program files (x86)\Common Files\BitDefender
2012-03-08 12:23 . 2012-03-08 12:23 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\QuickScan
2012-03-06 12:27 . 2012-02-08 07:13 8643640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B2FE6227-E6D0-49DF-AE9E-21E8F75ECD2F}\mpengine.dll
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Adobe Download Assistant
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Common Files\Adobe AIR
2012-02-28 12:52 . 2012-02-28 12:52 -------- d-----w- c:\programdata\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
2012-02-27 13:36 . 2012-02-27 13:36 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\mkvtoolnix
2012-02-27 13:30 . 2012-02-27 13:31 -------- d-----w- c:\program files (x86)\MKVToolNix
2012-02-27 09:55 . 2012-02-28 11:22 -------- d-----w- c:\program files (x86)\JDownloader
2012-02-16 16:08 . 2012-01-04 10:44 509952 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-16 16:08 . 2012-01-04 08:58 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll
2012-02-16 16:08 . 2011-12-30 06:26 515584 ----a-w- c:\windows\system32\timedate.cpl
2012-02-16 16:08 . 2011-12-30 05:27 478720 ----a-w- c:\windows\SysWow64\timedate.cpl
2012-02-16 16:08 . 2012-01-14 04:06 3145728 ----a-w- c:\windows\system32\win32k.sys
2012-02-16 16:08 . 2011-12-28 03:59 498688 ----a-w- c:\windows\system32\drivers\afd.sys
2012-02-16 16:08 . 2011-12-16 08:46 634880 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-16 16:08 . 2011-12-16 07:52 690688 ----a-w- c:\windows\SysWow64\msvcrt.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-28 11:20 . 2011-05-25 17:25 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2010-09-02 19:57 279656 ------w- c:\windows\system32\MpSigStub.exe
2012-02-01 15:55 . 2012-02-01 15:55 2808 ----a-w- c:\windows\system32\bdaD701.tmp
2012-01-18 17:34 . 2012-01-18 17:34 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe" [2010-09-28 1715768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-11 98304]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-01-15 284696]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-01-25 61112]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
"ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\Update\realsched.exe" [2011-02-24 273544]
"CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-01-07 253672]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-02-28 183560]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28x.sys [x]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-01-15 13336]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2012-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 19:20]
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 19:20]
.
2012-03-05 c:\windows\Tasks\HPCeeScheduleForJacqueline.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 10:53]
.
2011-11-30 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdrcui.exe [2010-02-01 23:02]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
"combofix"="c:\combofix\CF6906.3XE" [2010-11-20 345088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
digirefresh
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.laposte.net/
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MIF5BA~1\Office10\EXCEL.EXE/3000
LSP: mswsock.dll
Trusted Zone: gouv.fr\www3.telepac.agriculture
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Jacqueline\AppData\Roaming\Mozilla\Firefox\Profiles\yzduizvi.default\
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SysWOW64\ezSharedSvcHost.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
.
**************************************************************************
.
Heure de fin: 2012-03-09 01:04:27 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-03-09 00:04
ComboFix2.txt 2012-03-08 22:37
.
Avant-CF: 654 482 358 272 octets libres
Après-CF: 653 898 186 752 octets libres
.
- - End Of File - - E674D07D57EBDFEE20C3DD28EAD577F1
.................................................................
Désolé de te les envoyer tels quels, j'ai essayé de les charger sur cijoint.fr mais pas moyen d'y accéder
Je ne suis pas parvenu à mettre la main sur le rapport de Bit Defender (dont seul certains fichiers semblent présents, cela étant surement du aux 3 restaurations de système que j'ai eu à effectuer cette nuit).
Donc ci-dessous les rapports de Malwarebyte et ComboFix (effectué pour celui-ci avant la restauration) :
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.09.02
Windows 7 Service Pack 1 x64 FAT32
Internet Explorer 9.0.8112.16421
Jacqueline :: JACQUELINE-HP [administrateur]
Protection: Activé
09/03/2012 07:29:24
mbam-log-2012-03-09 (08-19-11).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 384779
Temps écoulé: 48 minute(s), 49 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 6
C:\Users\Jacqueline\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\5adbd57a-17e89663 (Trojan.FakeMS) -> Aucune action effectuée.
C:\Users\Jacqueline\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\5adbd57a-6ce2610f (Trojan.FakeMS) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\Keygen Adobe Flash Professional CS5.exe (Malware.Packer.Gen) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\Keygen Adobe Photoshop CS5 Extended.exe (Malware.Packer.Gen) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\MultiKeymaker Adobe CS4-CS5-CS5.5.exe (Trojan.Agent.CK) -> Aucune action effectuée.
C:\Users\Jacqueline\Documents\Sylvain\MK-ACS-4-5-5.5\MK-ACS-4-5-5.5\MultiKeymaker Adobe CS4-CS5-CS5.5\MultiKeymaker Adobe CS4-CS5.exe (Trojan.Agent.CK) -> Aucune action effectuée.
(fin)
...........................................................................
Et pour ComboFix :
ComboFix 12-03-08.01 - Jacqueline 09/03/2012 0:53.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3959.2876 [GMT 1:00]
Lancé depuis: K:\ComboFix.exe
AV: BitDefender Antivirus *Enabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E}
FW: BitDefender Pare-feu *Enabled* {A0115F06-6D34-063E-1C9A-77345A574EF5}
SP: BitDefender Antispyware *Enabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\assembly\temp\@
c:\windows\assembly\temp\cfg.ini
c:\windows\system32\consrv.dll
c:\windows\system32\dds_trash_log.cmd
c:\windows\System64
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-02-09 au 2012-03-09 ))))))))))))))))))))))))))))))))))))
.
.
2012-03-08 23:59 . 2012-03-08 23:59 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-08 12:56 . 2012-03-08 12:56 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\Malwarebytes
2012-03-08 12:56 . 2012-03-09 03:37 -------- d-----w- c:\programdata\Malwarebytes
2012-03-08 12:56 . 2011-12-10 14:24 23152 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-08 12:56 . 2012-03-09 08:48 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-08 12:36 . 2012-03-08 12:36 -------- d-----w- c:\program files (x86)\Common Files\BitDefender
2012-03-08 12:23 . 2012-03-08 12:23 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\QuickScan
2012-03-06 12:27 . 2012-02-08 07:13 8643640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B2FE6227-E6D0-49DF-AE9E-21E8F75ECD2F}\mpengine.dll
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Adobe Download Assistant
2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Common Files\Adobe AIR
2012-02-28 12:52 . 2012-02-28 12:52 -------- d-----w- c:\programdata\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
2012-02-27 13:36 . 2012-02-27 13:36 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\mkvtoolnix
2012-02-27 13:30 . 2012-02-27 13:31 -------- d-----w- c:\program files (x86)\MKVToolNix
2012-02-27 09:55 . 2012-02-28 11:22 -------- d-----w- c:\program files (x86)\JDownloader
2012-02-16 16:08 . 2012-01-04 10:44 509952 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-16 16:08 . 2012-01-04 08:58 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll
2012-02-16 16:08 . 2011-12-30 06:26 515584 ----a-w- c:\windows\system32\timedate.cpl
2012-02-16 16:08 . 2011-12-30 05:27 478720 ----a-w- c:\windows\SysWow64\timedate.cpl
2012-02-16 16:08 . 2012-01-14 04:06 3145728 ----a-w- c:\windows\system32\win32k.sys
2012-02-16 16:08 . 2011-12-28 03:59 498688 ----a-w- c:\windows\system32\drivers\afd.sys
2012-02-16 16:08 . 2011-12-16 08:46 634880 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-16 16:08 . 2011-12-16 07:52 690688 ----a-w- c:\windows\SysWow64\msvcrt.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-28 11:20 . 2011-05-25 17:25 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2010-09-02 19:57 279656 ------w- c:\windows\system32\MpSigStub.exe
2012-02-01 15:55 . 2012-02-01 15:55 2808 ----a-w- c:\windows\system32\bdaD701.tmp
2012-01-18 17:34 . 2012-01-18 17:34 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe" [2010-09-28 1715768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-11 98304]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-01-15 284696]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-01-25 61112]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
"ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\Update\realsched.exe" [2011-02-24 273544]
"CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-01-07 253672]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-02-28 183560]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176]
R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28x.sys [x]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-01-15 13336]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2012-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 19:20]
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 19:20]
.
2012-03-05 c:\windows\Tasks\HPCeeScheduleForJacqueline.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 10:53]
.
2011-11-30 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdrcui.exe [2010-02-01 23:02]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
"combofix"="c:\combofix\CF6906.3XE" [2010-11-20 345088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
digirefresh
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.laposte.net/
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MIF5BA~1\Office10\EXCEL.EXE/3000
LSP: mswsock.dll
Trusted Zone: gouv.fr\www3.telepac.agriculture
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Jacqueline\AppData\Roaming\Mozilla\Firefox\Profiles\yzduizvi.default\
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SysWOW64\ezSharedSvcHost.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
.
**************************************************************************
.
Heure de fin: 2012-03-09 01:04:27 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-03-09 00:04
ComboFix2.txt 2012-03-08 22:37
.
Avant-CF: 654 482 358 272 octets libres
Après-CF: 653 898 186 752 octets libres
.
- - End Of File - - E674D07D57EBDFEE20C3DD28EAD577F1
.................................................................
Désolé de te les envoyer tels quels, j'ai essayé de les charger sur cijoint.fr mais pas moyen d'y accéder
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
9 mars 2012 à 10:19
9 mars 2012 à 10:19
Combofix a viré ZeroAccess.
Du coup ça donne quoi ? Encore des détections ?
Désinstalle Bingbar.
Du coup ça donne quoi ? Encore des détections ?
Désinstalle Bingbar.
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
9 mars 2012 à 10:46
9 mars 2012 à 10:46
Le souci c'est que Combofix a supprimé certains fichiers du registres qui sont necessaires au redémarrage et que du coup j'ai du effectuer une restauration du système donc je ne sais pas si ZeroAccess a été supprimé.
Entre temps j'ai installé Bit Defender Total Security 2012 (avant j'avais la version 2010 qui bloquait tout accès à Internet via le pare feu).
Je viens de relancer une analyse et il semble qu'un élément soit encore infecté (pour l'instant) et ça ne fait que 5 minutes qu'il analyse.
La bingbar est désinstallée.
Faut-il que je refasse fonctionner Combofix du coup ?
Entre temps j'ai installé Bit Defender Total Security 2012 (avant j'avais la version 2010 qui bloquait tout accès à Internet via le pare feu).
Je viens de relancer une analyse et il semble qu'un élément soit encore infecté (pour l'instant) et ça ne fait que 5 minutes qu'il analyse.
La bingbar est désinstallée.
Faut-il que je refasse fonctionner Combofix du coup ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
9 mars 2012 à 11:07
9 mars 2012 à 11:07
faut boir ce que bitdefender detecte. Poste le rapport.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
9 mars 2012 à 12:11
9 mars 2012 à 12:11
Voici le rapport de Bit Defender, ça m'a pas l'air bon du tout :
BitDefender Log File
Product : Bitdefender Total Security 2012
Scanning task : Analyse Complète
Log date : vendredi 9 mars 2012 11:59:59
Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1331290123_1_03.xml
Scan Paths:
Path : C:\Windows\System32\consrv.dll
Path : C:\Windows\assembly\GAC_64\Desktop.ini
Path : C:\Windows\assembly\temp\U\80000000.@
Path : C:\Windows\assembly\GAC_32\Desktop.ini
Path : C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir
[-]Scan Results
[-]Remaining issues:
Object Path Threat Name Final Status
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected
File: C:\Windows\assembly\GAC_64\Desktop.ini Backdoor.Generic.699532 Infected
[-]Resolved issues:
Object Path Threat Name Final Status
File: C:\Windows\System32\consrv.dll Trojan.Sirefef.BW Deleted
File: C:\Windows\assembly\temp\U\80000000.@=>(CAB Sfx g)=>1.cab=>1.cod=>(Embedded EXE g)=>(Embedded EXE g) Trojan.Generic.7199094 Moved to Quarantine
Process: c:\Windows\assembly\GAC_32\Desktop.ini Trojan.Generic.6936374 Deleted after reboot
File: C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir Trojan.Generic.7199094 Deleted
[-]Detailed Scan Summary
[-]Basic
Scanned items : 5628
Infected items : 6
Suspicious items : 0 (no suspected items have been detected)
Resolved items : 38
Unresolved items : 0
[-]Advanced
Scan time : 0: 02: 20
Files per second : 40
Skipped items : 0
Password-protected items : 0
Overcompressed items : 0
Scanned archives : 1
Input-output errors : 0
Scanned boot sectors : 0
Scanned processes : 4193
Infected processes : 2
Scanned registry keys : 0
Infected registry keys : 0
Scanned cookies : 0
Infected cookies : 0
[-]Scan engine summary
Number of virus signatures : 7011791
BitDefender Log File
Product : Bitdefender Total Security 2012
Scanning task : Analyse Complète
Log date : vendredi 9 mars 2012 11:59:59
Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1331290123_1_03.xml
Scan Paths:
Path : C:\Windows\System32\consrv.dll
Path : C:\Windows\assembly\GAC_64\Desktop.ini
Path : C:\Windows\assembly\temp\U\80000000.@
Path : C:\Windows\assembly\GAC_32\Desktop.ini
Path : C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir
[-]Scan Results
[-]Remaining issues:
Object Path Threat Name Final Status
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected
File: C:\Windows\assembly\GAC_64\Desktop.ini Backdoor.Generic.699532 Infected
[-]Resolved issues:
Object Path Threat Name Final Status
File: C:\Windows\System32\consrv.dll Trojan.Sirefef.BW Deleted
File: C:\Windows\assembly\temp\U\80000000.@=>(CAB Sfx g)=>1.cab=>1.cod=>(Embedded EXE g)=>(Embedded EXE g) Trojan.Generic.7199094 Moved to Quarantine
Process: c:\Windows\assembly\GAC_32\Desktop.ini Trojan.Generic.6936374 Deleted after reboot
File: C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir Trojan.Generic.7199094 Deleted
[-]Detailed Scan Summary
[-]Basic
Scanned items : 5628
Infected items : 6
Suspicious items : 0 (no suspected items have been detected)
Resolved items : 38
Unresolved items : 0
[-]Advanced
Scan time : 0: 02: 20
Files per second : 40
Skipped items : 0
Password-protected items : 0
Overcompressed items : 0
Scanned archives : 1
Input-output errors : 0
Scanned boot sectors : 0
Scanned processes : 4193
Infected processes : 2
Scanned registry keys : 0
Infected registry keys : 0
Scanned cookies : 0
Infected cookies : 0
[-]Scan engine summary
Number of virus signatures : 7011791
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
Modifié par payz le 9/03/2012 à 12:29
Modifié par payz le 9/03/2012 à 12:29
En précisant, que après redémarrage (ordonné par Bit Defender),
j'ai eu un fichier "desktop.ini" qui s'est ouvert avec comme info :
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
et il détecte en permanence un processus malveillant qu'il bloque : "C:\Windows\SysWOW64\ping.exe"
Merci pour ton aide :)
j'ai eu un fichier "desktop.ini" qui s'est ouvert avec comme info :
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
et il détecte en permanence un processus malveillant qu'il bloque : "C:\Windows\SysWOW64\ping.exe"
Merci pour ton aide :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
9 mars 2012 à 17:03
9 mars 2012 à 17:03
bon il est encore là lui :
File: C:\Windows\System32\consrv.dll Trojan.Sirefef.BW Deleted
C'est pas plus mal que BitDefender ne le supprime pas car sinon ton PC ne démarrerai plus.
Combofix le vire, mais bon si ça fait comme la fois d'avant, on sera pas plus avancé.
Regarde là : https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/
Tu te sens capable de faire les manips avec un CD Live ?
File: C:\Windows\System32\consrv.dll Trojan.Sirefef.BW Deleted
C'est pas plus mal que BitDefender ne le supprime pas car sinon ton PC ne démarrerai plus.
Combofix le vire, mais bon si ça fait comme la fois d'avant, on sera pas plus avancé.
Regarde là : https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/
Tu te sens capable de faire les manips avec un CD Live ?
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
9 mars 2012 à 17:26
9 mars 2012 à 17:26
J'ai refait tourner Combofix cet après-midi et il semble qu'il n'y ai pas eu de problème, en tout cas le PC redémarre au quart de tour.
Le rapport :
Après ça j'ai refait une analyse avec Bit Defender. Voici le résultat :
Le fichier C:\Windows\System32\consrv.dll est-il encore là après ces manip' ?
Et du coup faut-il que je suive les instructions de ton site ? Pas de problème au niveau du CD Live, j'en ai déjà utilisés pour du formatage.
Le rapport :
ComboFix 12-03-08.01 - Jacqueline 09/03/2012 15:54:11.1.4 - x64 Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3959.2360 [GMT 1:00] Lancé depuis: K:\ComboFix.exe AV: BitDefender Antivirus *Enabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E} FW: BitDefender Pare-feu *Enabled* {A0115F06-6D34-063E-1C9A-77345A574EF5} SP: BitDefender Antispyware *Enabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\assembly\GAC_32\Desktop.ini c:\windows\assembly\GAC_64\Desktop.ini c:\windows\assembly\temp\@ c:\windows\assembly\temp\cfg.ini c:\windows\system32\consrv.dll c:\windows\system32\dds_trash_log.cmd c:\windows\System64 . . ((((((((((((((((((((((((((((( Fichiers créés du 2012-02-09 au 2012-03-09 )))))))))))))))))))))))))))))))))))) . . 2012-03-09 15:02 . 2012-03-09 15:02 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-03-09 09:22 . 2012-03-09 09:22 260826 ----a-w- c:\programdata\1331284514.bdinstall.bin 2012-03-09 09:21 . 2012-03-09 09:21 -------- d-----w- c:\programdata\BDLogging 2012-03-09 09:15 . 2011-08-16 12:59 442088 ------w- c:\windows\system32\drivers\bdfsfltr.sys 2012-03-09 09:15 . 2011-10-27 13:07 329800 ----a-w- c:\windows\system32\drivers\trufos.sys 2012-03-08 22:53 . 2012-03-08 22:53 -------- d-----w- C:\ZHP 2012-03-08 22:53 . 2012-03-09 08:48 -------- d-----w- c:\program files (x86)\ZHPFix 2012-03-08 22:44 . 2012-03-09 08:48 -------- d-----w- C:\UsbFix 2012-03-08 12:56 . 2012-03-08 12:56 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\Malwarebytes 2012-03-08 12:56 . 2012-03-09 15:07 -------- d-----w- c:\programdata\Malwarebytes 2012-03-08 12:56 . 2012-03-09 09:14 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2012-03-08 12:36 . 2012-03-09 09:12 -------- d-----w- c:\program files (x86)\Common Files\BitDefender 2012-03-08 12:23 . 2012-03-08 12:23 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\QuickScan 2012-03-06 12:27 . 2012-02-08 07:13 8643640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B2FE6227-E6D0-49DF-AE9E-21E8F75ECD2F}\mpengine.dll 2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant 2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Adobe Download Assistant 2012-03-05 12:51 . 2012-03-05 12:51 -------- d-----w- c:\program files (x86)\Common Files\Adobe AIR 2012-02-28 12:52 . 2012-02-28 12:52 -------- d-----w- c:\programdata\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E} 2012-02-27 13:36 . 2012-02-27 13:36 -------- d-----w- c:\users\Jacqueline\AppData\Roaming\mkvtoolnix 2012-02-27 13:30 . 2012-02-27 13:31 -------- d-----w- c:\program files (x86)\MKVToolNix 2012-02-27 09:55 . 2012-02-28 11:22 -------- d-----w- c:\program files (x86)\JDownloader 2012-02-16 16:08 . 2012-01-04 10:44 509952 ----a-w- c:\windows\system32\ntshrui.dll 2012-02-16 16:08 . 2012-01-04 08:58 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll 2012-02-16 16:08 . 2011-12-30 06:26 515584 ----a-w- c:\windows\system32\timedate.cpl 2012-02-16 16:08 . 2011-12-30 05:27 478720 ----a-w- c:\windows\SysWow64\timedate.cpl 2012-02-16 16:08 . 2012-01-14 04:06 3145728 ----a-w- c:\windows\system32\win32k.sys 2012-02-16 16:08 . 2011-12-28 03:59 498688 ----a-w- c:\windows\system32\drivers\afd.sys 2012-02-16 16:08 . 2011-12-16 08:46 634880 ----a-w- c:\windows\system32\msvcrt.dll 2012-02-16 16:08 . 2011-12-16 07:52 690688 ----a-w- c:\windows\SysWow64\msvcrt.dll . . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-28 11:20 . 2011-05-25 17:25 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2012-02-23 08:18 . 2010-09-02 19:57 279656 ------w- c:\windows\system32\MpSigStub.exe 2012-02-01 15:55 . 2012-02-01 15:55 2808 ----a-w- c:\windows\system32\bdaD701.tmp 2012-01-18 17:34 . 2012-01-18 17:34 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll 2012-01-18 16:16 . 2012-01-18 16:16 544552 ------w- c:\windows\system32\drivers\avckf.sys 2012-01-18 16:16 . 2012-01-18 16:16 691384 ------w- c:\windows\system32\drivers\avc3.sys . . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\DOCK\HPAdvisorDock.exe" [2010-09-28 1715768] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-11 98304] "IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-01-15 284696] "HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576] "Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-01-25 61112] "Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568] "ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2009-09-12 103768] "CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112] "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "EnableShellExecuteHooks"= 1 (0x1) . [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks] . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32] "aux1"=wdmaud.drv . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp . R1 bdfwfpf;bdfwfpf;c:\program files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys [2012-03-08 89680] R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176] R3 bdsandbox;bdsandbox;c:\windows\system32\drivers\bdsandbox.sys [x] R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-05-05 136176] R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28x.sys [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x] R3 Update Server;BitDefender Update Server v2;c:\program files\Common Files\Bitdefender\Bitdefender Arrakis Server\bin\arrakis3.exe [2011-10-14 466736] R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x] S0 avc3;avc3;c:\windows\system32\DRIVERS\avc3.sys [x] S1 BDVEDISK;BDVEDISK;c:\windows\system32\DRIVERS\bdvedisk.sys [x] S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [x] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x] S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928] S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x] S2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072] S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264] S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-01-15 13336] S2 SafeBox;SafeBox;c:\program files\Bitdefender\Bitdefender SafeBox\safeboxservice.exe [2011-12-21 75384] S2 UPDATESRV;BitDefender Desktop Update Service;c:\program files\Bitdefender\Bitdefender 2012\updatesrv.exe [2012-01-23 62512] S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x] S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x] S3 avchv;avchv Function Driver;c:\windows\system32\DRIVERS\avchv.sys [x] S3 avckf;avckf;c:\windows\system32\DRIVERS\avckf.sys [x] S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x] S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x] . . --- Autres Services/Pilotes en mémoire --- . *NewlyCreated* - WS2IFSL . Contenu du dossier 'Tâches planifiées' c:\windows\Tasks\GoogleUpdateTaskMachineCore.job c:\windows\Tasks\GoogleUpdateTaskMachineUA.job c:\windows\Tasks\HPCeeScheduleForJacqueline.job c:\windows\Tasks\PCDRScheduledMaintenance.job . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox1] @="{152C96EB-288E-4EDC-B7C6-D21F8250ADF3}" [HKEY_CLASSES_ROOT\CLSID\{152C96EB-288E-4EDC-B7C6-D21F8250ADF3}] 2011-12-21 10:16 264344 ------w- c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox2] @="{342DAA0B-D796-460D-8566-901E08A1CCAD}" [HKEY_CLASSES_ROOT\CLSID\{342DAA0B-D796-460D-8566-901E08A1CCAD}] 2011-12-21 10:16 264344 ------w- c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox3] @="{57595DAE-1AE1-4D97-A49E-67CBB53B52DF}" [HKEY_CLASSES_ROOT\CLSID\{57595DAE-1AE1-4D97-A49E-67CBB53B52DF}] 2011-12-21 10:16 264344 ------w- c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\__SafeBox4] @="{33816773-98AE-4723-ADE0-EBE54C8B5A67}" [HKEY_CLASSES_ROOT\CLSID\{33816773-98AE-4723-ADE0-EBE54C8B5A67}] 2011-12-21 10:16 264344 ------w- c:\program files\BitDefender\Bitdefender Safebox\safeboxshell.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768] "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888] "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728] "BDAgent"="c:\program files\Bitdefender\Bitdefender 2012\bdagent.exe" [2012-01-24 1066744] "combofix"="c:\combofix\CF19646.3XE" [2010-11-20 345088] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "LoadAppInit_DLLs"=0x0 . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs digirefresh . ------- Examen supplémentaire ------- . uStart Page = about:blank uLocal Page = c:\windows\system32\blank.htm mStart Page = about:blank mLocal Page = c:\windows\SysWOW64\blank.htm IE: E&xporter vers Microsoft Excel - c:\progra~2\MIF5BA~1\Office10\EXCEL.EXE/3000 LSP: mswsock.dll Trusted Zone: gouv.fr\www3.telepac.agriculture TCP: DhcpNameServer = 192.168.1.1 FF - ProfilePath - c:\users\Jacqueline\AppData\Roaming\Mozilla\Firefox\Profiles\yzduizvi.default\ . . --------------------- CLES DE REGISTRE BLOQUEES --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Autres processus actifs ------------------------ . c:\windows\SysWOW64\ezSharedSvcHost.exe c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe c:\program files (x86)\Citrix\ICA Client\wfcrun32.exe c:\program files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe . ************************************************************************** . Heure de fin: 2012-03-09 16:09:29 - La machine a redémarré ComboFix-quarantined-files.txt 2012-03-09 15:09 ComboFix2.txt 2012-03-09 00:04 ComboFix3.txt 2012-03-08 22:37 . Avant-CF: 652 611 190 784 octets libres Après-CF: 652 462 026 752 octets libres . - - End Of File - - 6DCD21B4406D44065A44459144BAADD9
Après ça j'ai refait une analyse avec Bit Defender. Voici le résultat :
BitDefender Log File Product : Bitdefender Total Security 2012 Scanning task : Analyse Complète Log date : vendredi 9 mars 2012 17:14:18 Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1331309495_1_03.xml Scan Paths: Path : C:\Windows\assembly\GAC_64\Desktop.ini Path : C:\Windows\assembly\temp\U\80000000.@ Path : C:\Windows\assembly\GAC_32\Desktop.ini Path : C:\Windows\assembly\temp\U\80000004.@ Path : C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir [-]Scan Results [-]Remaining issues:Object Path Threat Name Final Status Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected [-]Resolved issues:Object Path Threat Name Final Status File: C:\Windows\assembly\GAC_64\Desktop.ini Backdoor.Generic.699532 Moved to Quarantine after reboot File: C:\Windows\assembly\temp\U\80000000.@=>(CAB Sfx g)=>1.cab=>1.cod=>(Embedded EXE g)=>(Embedded EXE g) Trojan.Generic.7199094 Moved to Quarantine Process: c:\Windows\assembly\GAC_32\Desktop.ini Trojan.Generic.6936374 Clean File: C:\Windows\assembly\temp\U\80000004.@ Trojan.Generic.7026655 Deleted File: C:\Qoobox\Quarantine\C\Windows\System32\consrv.dll.vir Trojan.Generic.7199094 Deleted [-]Detailed Scan Summary [-]Basic Scanned items : 5019 Infected items : 6 Suspicious items : 0 (no suspected items have been detected) Resolved items : 16 Unresolved items : 0 [-]Advanced Scan time : 0: 02: 10 Files per second : 38 Skipped items : 0 Password-protected items : 0 Overcompressed items : 0 Scanned archives : 1 Input-output errors : 0 Scanned boot sectors : 0 Scanned processes : 3705 Infected processes : 2 Scanned registry keys : 0 Infected registry keys : 0 Scanned cookies : 0 Infected cookies : 0 [-]Scan Options [-]Target Threat Types: Scan for viruses : Yes Scan for adware : Yes Scan for spyware : Yes Scan for applications : Yes Scan for dialers : Yes Scan for rootkits : No Scan for keyloggers : Yes [-]Target Selection Options: Scan registry keys : No Scan cookies : No Scan boot sectors : No Scan memory processes : Yes Scan archives : Yes Scan runtime packers : Yes Scan emails : Yes Scan all files : Yes Heuristic Scan : Yes Scanned extensions : none configured Excluded extensions : none configured [-]Target Processing: Default primary action for infected objects : Disinfect Default secondary action for infected objects : Move to Quarantine Default primary action for suspicious objects : Move to Quarantine Default secondary action for suspicious objects : None Default action for hidden objects : Disinfect Default action for password-protected objects : Prompt for password [-]Scan engines summary Number of virus signatures : 7012700
Le fichier C:\Windows\System32\consrv.dll est-il encore là après ces manip' ?
Et du coup faut-il que je suive les instructions de ton site ? Pas de problème au niveau du CD Live, j'en ai déjà utilisés pour du formatage.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
9 mars 2012 à 17:30
9 mars 2012 à 17:30
ben regarde si c:\windows\system32\consrv.dll existe.
bizarre que BitDefender mentionne encore ça :
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected
Ca tendrait à dire qu'il est encore là mais il ne le détecte plus sur le disque.
bizarre que BitDefender mentionne encore ça :
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected
Ca tendrait à dire qu'il est encore là mais il ne le détecte plus sur le disque.
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
9 mars 2012 à 17:49
9 mars 2012 à 17:49
Il n'y a plus de présence du fichier consrv.dll dans le dossier (avec tous les fichiers visibles) et Bit Defender m'annonce qu'il l'a supprimé à 17:33.
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
Modifié par payz le 9/03/2012 à 18:24
Modifié par payz le 9/03/2012 à 18:24
En fait j'ai l'impression qu'il y a un fichier qui permet de régénérer les autres et qui n'est pas détecté ou nettoyé lors de l'analyse (enfin en novice que je suis) ...
A chaque nouvelle analyse du système il y a toujours 5-6 fichiers détectés qui ont été supprimés juste avant.
A n'y plus rien comprendre ...
Je dois tout de même réparer le registre ?
A chaque nouvelle analyse du système il y a toujours 5-6 fichiers détectés qui ont été supprimés juste avant.
A n'y plus rien comprendre ...
Je dois tout de même réparer le registre ?
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
9 mars 2012 à 18:58
9 mars 2012 à 18:58
Ok, donc mon ordi a de nouveau refusé de démarrer j'ai donc Utilisé Ultimate Boot, changé la valeur dans le registre et ça a fonctionné.
Je procède à une ènième analyse du coup avec Bit Defender ...
Mais le fichier qui pose maintenant problème c'est
Il est quasi intouchable non ?
En tout cas merci pour ta réponse qui m'a permis de régler une partie du problème :)
Je procède à une ènième analyse du coup avec Bit Defender ...
Mais le fichier qui pose maintenant problème c'est
Process: c:\Windows\System32\smss.exe Trojan.Generic.7199094 Infected
Il est quasi intouchable non ?
En tout cas merci pour ta réponse qui m'a permis de régler une partie du problème :)
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
Modifié par payz le 9/03/2012 à 21:32
Modifié par payz le 9/03/2012 à 21:32
Bon ben finalement j'ai formaté le disque, je n'arrivait pas à atteindre le cheval de Troie du fichier smss.exe.
Merci bcp pour tes conseils et le temps que tu m'as consacré :)
Merci bcp pour tes conseils et le temps que tu m'as consacré :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
9 mars 2012 à 22:17
9 mars 2012 à 22:17
ok un truc, t'as des cracks plus haut.
ZeroAccess va en autre par des faux cracks : https://www.malekal.com/faux-site-de-crack-ca-marche-encore-bien/
~~
Sinon maintenir tes programmes à jour :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
ZeroAccess va en autre par des faux cracks : https://www.malekal.com/faux-site-de-crack-ca-marche-encore-bien/
~~
Sinon maintenir tes programmes à jour :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
payz
Messages postés
13
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
9 mars 2012
9 mars 2012 à 22:57
9 mars 2012 à 22:57
Merci pour ces conseils, j'avais oublié de faire ma mise à jour Java depuis quelques mois déjà ... Ca n'a pas aidé