Virus ukash

Résolu
JOJO -  
 JOJO -
Bonjour, je vous présente mon problème, enfait hier je surfais tranquillement sur le net et puis un moment je voulais regarder une série en streaming, donc je fais plusieurs site jusqu'à tomber sur un site qui paraissait fiable, je clique sur le lien de la vidéo, environ 5 pages publicitaire s'ouvre, je les ferme toute et une dernière arrive, elle montre le logo de la police nationale et vous indique que vous devez payer une amende en utilisant ukash,j'ai redémarré mon ordi et depuis la session sur laquelle j'ai fait ça est bloqué. Est ce que quelqu'un pourrais m'aider,en ce moment je suis entrain d'effectuer une procédure que j'ai lu ici même sur ce site, celle de anthony5151 ..

55 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un utilisateur signale une infection de type ransomware après avoir cliqué sur des liens publicitaires lors du streaming, affichant le logo de la police et demandant un paiement par ukash, bloquant la session.
Plusieurs réponses proposent une procédure de nettoyage avec Combofix, Defogger et OTL, et recommandent de désactiver provisoirement l’antivirus et les antispywares pour permettre le nettoyage et générer un rapport.
Des conseils évoquent aussi la suppression de composants indésirables (Adaware, Norton, Java) et l’analyse de traces de moteurs de recherche ou de programmes indésirables (Babylon, Conduit).
En cas de doute sur l’outil à employer pour éradiquer Ukash, la discussion ne propose pas de solution unique et privilégie une approche multi-outils après redémarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut en attendant le rapport mais faut pas faire ce qui est fait sur les autres machines , c'est juste à titre info car tu n'as peut-etre pas QUE cette infection-là et suivant les outils passés ca peut planter ta machine...enfin bon là ca va tu risques rien avec roguekiller et malwarebytes
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  2. JOJO
     
    Voici les rapports : RogueKiller V7.6.4 [17/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Danny [Droits d'admin]
    Mode: Suppression -- Date: 23/07/2012 11:51:11

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 2 ¤¤¤
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD10 EADS-00M2B0 SCSI Disk Device +++++
    --- User ---
    [MBR] 93813934eb43b8d64c45f6f9eab71a15
    [BSP] 6f8cb658c7fe880afe8a15108998e734 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30722048 | Size: 469458 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 992172032 | Size: 469409 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    Malwarebytes Anti-Malware (Essai) 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.07.23.05

    Windows Vista Service Pack 2 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Danny :: PC-DE-DANNY [administrateur]

    Protection: Activé

    23/07/2012 11:54:35
    mbam-log-2012-07-23 (11-54-35).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 243752
    Temps écoulé: 7 minute(s), 18 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 3
    HKCR\CLSID\{212B3DCC-A901-4203-B4F2-ADCB957D1887} (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Smart-Shopper (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Shopper (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 4
    C:\Program Files (x86)\Smart-Shopper (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\Smart-Shopper\Bin (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\Smart-Shopper\Bin\2.6.71 (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 6
    C:\ProgramData\tgaufbfu.exe (Trojan.Winlock.P) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Windows\lmbd.dll (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper - Compare product prices.lnk (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper - Compare travel rate.lnk (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper Help.lnk (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\Uninstall SmartShopper.lnk (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  3. g3n-h@ckm@n
     
    et ton pc redemarre encore avec le virus là ?
    0
  4. JOJO
     
    tout marche correctement, c'est juste qu'une session est bloqué, lorsque je clique dessus la page "ukash" apparait et bloque la session plus précisément,j'arrive encore à fermé la session
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    ok on va la faire sauter de cette session alors

    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  7. JOJO
     
    d'accord mais "faire sauter ma session", est ce que ça veut dire qu'elle sera supprimé ?? ah non désolé j'ai mal lu...
    0
    1. g3n-h@ckm@n
       
      lol non faire sauter l'infection pas la session :!! mdr ^^
      0
  8. JOJO
     
    Je l'ai lancé mais j'ai l'impression qu'il y a un problème, l'analyse s'est arrêté après m'avoir indiqué que la corbeille sur C: et D: était endommagée je les ai vidé et un message d'erreur est apparue de la part du logiciel, j'ai fermé le message et l'analyse s'est arrêté. message d'erreur en gros : variable must be type of 'Object'
    0
  9. g3n-h@ckm@n
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

    clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

    0
  10. JOJO
     
    c'est le logiciel que je dois utiliser afin d'eradiquer "ukash" ??
    0
  11. g3n-h@ckm@n
     
    tu n'es pas infecté QUE par Ukash , fais ce que je te demande
    0
  12. JOJO
     
    C'est fait : ComboFix 12-07-21.01 - Danny 23/07/2012 14:07:42.1.2 - x64
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.4094.2140 [GMT 2:00]
    Lancé depuis: c:\users\Danny\Downloads\SUPERMAN.exe
    AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
    AV: Lavasoft Ad-Watch Live! Antivirus *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
    AV: Norton Internet Security *Disabled/Outdated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
    FW: Norton Internet Security *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
    SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
    SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}
    SP: Norton Internet Security *Disabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\programdata\vlqtgtlhqinbupv
    c:\programdata\Windows
    c:\programdata\Windows\msxx.dat
    c:\programdata\Windows\vvve.dat
    c:\programdata\Windows\wjdj.dat
    c:\users\Bennett\Documents\update.exe
    c:\windows\SysWow64\muzapp.exe
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-06-23 au 2012-07-23 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-07-23 12:37 . 2012-07-23 12:37 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-07-23 12:37 . 2012-07-23 12:37 -------- d-----w- c:\users\Bennett\AppData\Local\temp
    2012-07-23 12:37 . 2012-07-23 12:37 -------- d-----w- c:\users\Danny\AppData\Local\temp
    2012-07-23 12:37 . 2012-07-23 12:37 -------- d-----w- c:\users\Kwaku\AppData\Local\temp
    2012-07-23 11:19 . 2012-07-23 11:46 -------- d-----w- C:\Pre_Scan
    2012-07-23 10:23 . 2012-07-23 10:37 -------- d-----w- C:\ZHP
    2012-07-23 10:23 . 2012-07-23 10:23 -------- d-----w- c:\program files (x86)\ZHPDiag
    2012-07-23 09:30 . 2012-07-23 09:30 -------- d-----w- c:\users\Danny\AppData\Roaming\Malwarebytes
    2012-07-23 09:30 . 2012-07-23 09:30 -------- d-----w- c:\programdata\Malwarebytes
    2012-07-23 09:30 . 2012-07-23 09:31 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2012-07-23 09:30 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-07-22 17:13 . 2012-07-22 17:13 -------- d-----w- c:\users\Kwaku\AppData\Roaming\Avira
    2012-07-22 16:59 . 2012-07-22 16:59 -------- d-----w- c:\programdata\stuynoncyrewzon
    2012-07-22 16:32 . 2012-07-22 16:32 -------- d-----w- C:\Kreapixel
    2012-07-22 16:31 . 2012-07-22 16:31 -------- d-----w- c:\users\Bennett\AppData\Roaming\Babylon
    2012-07-22 16:31 . 2012-07-22 16:31 -------- d-----w- c:\programdata\Babylon
    2012-07-20 06:51 . 2012-06-29 10:04 9133488 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{016DFA00-70D6-459F-B87D-C02DD6C6D386}\mpengine.dll
    2012-07-01 09:47 . 2012-07-01 09:47 770384 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr100.dll
    2012-07-01 09:47 . 2012-07-01 09:47 421200 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp100.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-07-12 14:24 . 2006-11-02 12:35 59701280 ----a-w- c:\windows\system32\mrt.exe
    2012-06-02 22:19 . 2012-06-19 14:25 38424 ----a-w- c:\windows\system32\wups.dll
    2012-06-02 22:19 . 2012-06-19 14:25 2428952 ----a-w- c:\windows\system32\wuaueng.dll
    2012-06-02 22:19 . 2012-06-19 14:25 57880 ----a-w- c:\windows\system32\wuauclt.exe
    2012-06-02 22:19 . 2012-06-19 14:25 44056 ----a-w- c:\windows\system32\wups2.dll
    2012-06-02 22:19 . 2012-06-19 14:25 35864 ----a-w- c:\windows\SysWow64\wups.dll
    2012-06-02 22:19 . 2012-06-19 14:25 701976 ----a-w- c:\windows\system32\wuapi.dll
    2012-06-02 22:19 . 2012-06-19 14:25 577048 ----a-w- c:\windows\SysWow64\wuapi.dll
    2012-06-02 22:15 . 2012-06-19 14:25 2622464 ----a-w- c:\windows\system32\wucltux.dll
    2012-06-02 22:15 . 2012-06-19 14:25 99840 ----a-w- c:\windows\system32\wudriver.dll
    2012-06-02 22:12 . 2012-06-19 14:25 88576 ----a-w- c:\windows\SysWow64\wudriver.dll
    2012-06-02 13:19 . 2012-06-19 14:24 186752 ----a-w- c:\windows\system32\wuwebv.dll
    2012-06-02 13:19 . 2012-06-19 14:24 171904 ----a-w- c:\windows\SysWow64\wuwebv.dll
    2012-06-02 13:15 . 2012-06-19 14:24 36864 ----a-w- c:\windows\system32\wuapp.exe
    2012-06-02 13:12 . 2012-06-19 14:24 33792 ----a-w- c:\windows\SysWow64\wuapp.exe
    2012-05-31 10:25 . 2010-01-01 16:36 279656 ------w- c:\windows\system32\MpSigStub.exe
    2012-05-01 19:30 . 2012-05-01 19:31 476960 ----a-w- c:\windows\SysWow64\npdeployJava1.dll
    2012-05-01 19:30 . 2010-05-11 10:05 472864 ----a-w- c:\windows\SysWow64\deployJava1.dll
    2012-05-01 14:29 . 2012-06-13 16:01 209920 ----a-w- c:\windows\system32\drivers\rdpwd.sys
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{9b339f6e-ddcd-401b-8764-230adbd01761}]
    2010-10-05 16:58 2735200 ----a-w- c:\program files (x86)\Messenger_Plus_Live\tbMes1.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
    "{9b339f6e-ddcd-401b-8764-230adbd01761}"= "c:\program files (x86)\Messenger_Plus_Live\tbMes1.dll" [2010-10-05 2735200]
    .
    [HKEY_CLASSES_ROOT\clsid\{9b339f6e-ddcd-401b-8764-230adbd01761}]
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
    "SmpcSys"="c:\program files (x86)\Packard Bell\SetUpMyPC\SmpSys.exe" [2009-03-18 1160736]
    "swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-03 39408]
    "uTorrent"="c:\program files (x86)\uTorrent\uTorrent.exe" [2010-09-27 328056]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
    "ArcSoft Connection Service"="c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
    "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
    "DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
    "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-04-14 421160]
    "AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
    "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
    "APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
    "Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Philips SA52XX Device Manager.lnk - c:\philips\SA52xx Device Manager\SA52xx_DeviceManager.exe [2010-3-5 1384448]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "EnablELUA"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "aux1"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
    @="FSFilter Activity Monitor"
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    Themes
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-07-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-29 15:06]
    .
    2012-07-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-29 15:06]
    .
    .
    --------- X64 Entries -----------
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-03-30 7574048]
    "Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-03-30 1833504]
    "FijiKeyboard"="c:\acer\Preload\Autorun\DRV\FIJI Keyboard\ABoard.exe" [2008-09-18 79416]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x0
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=imedia_s1710&r=1v3607098606p03c5vq85y47719225
    uLocal Page = c:\windows\system32\blank.htm
    mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=imedia_s1710&r=1v3607098606p03c5vq85y47719225
    mLocal Page = c:\windows\SysWOW64\blank.htm
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
    TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
    CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
    FF - ProfilePath - c:\users\Danny\AppData\Roaming\Mozilla\Firefox\Profiles\hsmolsvp.default\
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Wow6432Node-HKLM-Run-NPSStartup - (no file)
    WebBrowser-{9B339F6E-DDCD-401B-8764-230ADBD01761} - (no file)
    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe
    .
    .
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Norton Internet Security]
    "ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\16.8.3.6\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files (x86)\Norton Internet Security\Engine\16.8.3.6\diMaster.dll\" /prefetch:1"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
    @="Shockwave Flash"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
    @Denied: (A 2) (Everyone)
    @=""
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
    @="FlashBroker"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
    00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    Heure de fin: 2012-07-23 14:42:04
    ComboFix-quarantined-files.txt 2012-07-23 12:42
    .
    Avant-CF: 298 476 961 792 octets libres
    Après-CF: 302 681 038 848 octets libres
    .
    - - End Of File - - 344482180FF31C224813C0C6215A8811
    0
  13. g3n-h@ckm@n
     
    desinstalle messenger plus france live toolbar
    desinstalle babylon

    ===========


    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    ClearJavaCache::

    Folder::
    c:\users\Bennett\AppData\Roaming\Babylon
    c:\programdata\Babylon
    c:\programdata\stuynoncyrewzon

    RegLock::
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Norton Internet Security]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  14. JOJO
     
    excuse moi d'avoir mit autant de temps :

    ComboFix 12-07-21.01 - Danny 23/07/2012 16:41:14.2.2 - x64
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.4094.2723 [GMT 2:00]
    Lancé depuis: c:\users\Danny\Desktop\SUPERMAN.exe
    Commutateurs utilisés :: c:\users\Danny\Desktop\CFScript.txt.txt
    AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
    AV: Lavasoft Ad-Watch Live! Antivirus *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
    AV: Norton Internet Security *Disabled/Outdated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
    FW: Norton Internet Security *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
    SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
    SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}
    SP: Norton Internet Security *Disabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\programdata\Babylon
    c:\programdata\stuynoncyrewzon
    c:\programdata\stuynoncyrewzon\btn-green.png
    c:\programdata\stuynoncyrewzon\corners-btn.png
    c:\programdata\stuynoncyrewzon\corners1.png
    c:\programdata\stuynoncyrewzon\corners2.png
    c:\programdata\stuynoncyrewzon\corners3.png
    c:\programdata\stuynoncyrewzon\corners4.png
    c:\programdata\stuynoncyrewzon\fr-flag.png
    c:\programdata\stuynoncyrewzon\fr-image.png
    c:\programdata\stuynoncyrewzon\ie6-7.css
    c:\programdata\stuynoncyrewzon\jquery.main.js
    c:\programdata\stuynoncyrewzon\main.html
    c:\programdata\stuynoncyrewzon\McAfee.png
    c:\programdata\stuynoncyrewzon\pay14.png
    c:\programdata\stuynoncyrewzon\pay15.png
    c:\programdata\stuynoncyrewzon\pay16.png
    c:\programdata\stuynoncyrewzon\steps-en.png
    c:\programdata\stuynoncyrewzon\steps-fr.png
    c:\programdata\stuynoncyrewzon\style.css
    c:\programdata\stuynoncyrewzon\tabs.png
    c:\users\Bennett\AppData\Roaming\Babylon
    c:\users\Bennett\AppData\Roaming\Babylon\log_file.txt
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-06-23 au 2012-07-23 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-07-23 15:08 . 2012-07-23 15:08 -------- d-----w- c:\users\Kwaku\AppData\Local\temp
    2012-07-23 15:08 . 2012-07-23 15:08 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-07-23 15:08 . 2012-07-23 15:08 -------- d-----w- c:\users\Bennett\AppData\Local\temp
    2012-07-23 12:42 . 2012-07-23 15:11 -------- d-----w- c:\users\Danny\AppData\Local\temp
    2012-07-23 11:19 . 2012-07-23 11:46 -------- d-----w- C:\Pre_Scan
    2012-07-23 10:23 . 2012-07-23 10:37 -------- d-----w- C:\ZHP
    2012-07-23 10:23 . 2012-07-23 10:23 -------- d-----w- c:\program files (x86)\ZHPDiag
    2012-07-23 09:30 . 2012-07-23 09:30 -------- d-----w- c:\users\Danny\AppData\Roaming\Malwarebytes
    2012-07-23 09:30 . 2012-07-23 09:30 -------- d-----w- c:\programdata\Malwarebytes
    2012-07-23 09:30 . 2012-07-23 09:31 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2012-07-23 09:30 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-07-22 17:13 . 2012-07-22 17:13 -------- d-----w- c:\users\Kwaku\AppData\Roaming\Avira
    2012-07-22 16:32 . 2012-07-22 16:32 -------- d-----w- C:\Kreapixel
    2012-07-22 16:31 . 2012-07-22 16:31 -------- d-----w- c:\users\Bennett\AppData\Roaming\BabylonToolbar
    2012-07-01 09:47 . 2012-07-01 09:47 770384 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr100.dll
    2012-07-01 09:47 . 2012-07-01 09:47 421200 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp100.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-07-12 14:24 . 2006-11-02 12:35 59701280 ----a-w- c:\windows\system32\mrt.exe
    2012-06-29 10:04 . 2012-07-20 06:51 9133488 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{016DFA00-70D6-459F-B87D-C02DD6C6D386}\mpengine.dll
    2012-06-02 22:19 . 2012-06-19 14:25 38424 ----a-w- c:\windows\system32\wups.dll
    2012-06-02 22:19 . 2012-06-19 14:25 2428952 ----a-w- c:\windows\system32\wuaueng.dll
    2012-06-02 22:19 . 2012-06-19 14:25 57880 ----a-w- c:\windows\system32\wuauclt.exe
    2012-06-02 22:19 . 2012-06-19 14:25 44056 ----a-w- c:\windows\system32\wups2.dll
    2012-06-02 22:19 . 2012-06-19 14:25 35864 ----a-w- c:\windows\SysWow64\wups.dll
    2012-06-02 22:19 . 2012-06-19 14:25 701976 ----a-w- c:\windows\system32\wuapi.dll
    2012-06-02 22:19 . 2012-06-19 14:25 577048 ----a-w- c:\windows\SysWow64\wuapi.dll
    2012-06-02 22:15 . 2012-06-19 14:25 2622464 ----a-w- c:\windows\system32\wucltux.dll
    2012-06-02 22:15 . 2012-06-19 14:25 99840 ----a-w- c:\windows\system32\wudriver.dll
    2012-06-02 22:12 . 2012-06-19 14:25 88576 ----a-w- c:\windows\SysWow64\wudriver.dll
    2012-06-02 13:19 . 2012-06-19 14:24 186752 ----a-w- c:\windows\system32\wuwebv.dll
    2012-06-02 13:19 . 2012-06-19 14:24 171904 ----a-w- c:\windows\SysWow64\wuwebv.dll
    2012-06-02 13:15 . 2012-06-19 14:24 36864 ----a-w- c:\windows\system32\wuapp.exe
    2012-06-02 13:12 . 2012-06-19 14:24 33792 ----a-w- c:\windows\SysWow64\wuapp.exe
    2012-05-31 10:25 . 2010-01-01 16:36 279656 ------w- c:\windows\system32\MpSigStub.exe
    2012-05-01 19:30 . 2012-05-01 19:31 476960 ----a-w- c:\windows\SysWow64\npdeployJava1.dll
    2012-05-01 19:30 . 2010-05-11 10:05 472864 ----a-w- c:\windows\SysWow64\deployJava1.dll
    2012-05-01 14:29 . 2012-06-13 16:01 209920 ----a-w- c:\windows\system32\drivers\rdpwd.sys
    .
    .
    ((((((((((((((((((((((((((((( SnapShot@2012-07-23_12.38.21 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2008-01-21 03:20 . 2012-07-23 15:09 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    - 2008-01-21 03:20 . 2012-07-23 12:01 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    - 2008-01-21 03:20 . 2012-07-23 12:01 65536 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    + 2008-01-21 03:20 . 2012-07-23 15:09 65536 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    + 2008-01-21 03:20 . 2012-07-23 15:09 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    - 2008-01-21 03:20 . 2012-07-23 12:01 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    + 2008-01-21 02:23 . 2012-07-23 15:11 70634 c:\windows\system32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
    + 2006-11-02 15:45 . 2012-07-23 15:11 78592 c:\windows\system32\WDI\BootPerformanceDiagnostics_SystemData.bin
    + 2009-10-03 13:08 . 2012-07-23 15:11 13342 c:\windows\system32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1564971943-2704332384-2596639609-1000_UserData.bin
    - 2012-07-23 10:10 . 2012-07-23 10:10 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
    + 2012-07-23 15:09 . 2012-07-23 15:09 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
    - 2012-07-23 10:10 . 2012-07-23 10:10 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
    + 2012-07-23 15:09 . 2012-07-23 15:09 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
    + 2009-10-03 13:27 . 2012-07-23 14:02 329014 c:\windows\system32\WDI\SuspendPerformanceDiagnostics_SystemData_FastS4.bin
    - 2010-10-25 00:09 . 2012-07-23 10:09 409864 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
    + 2010-10-25 00:09 . 2012-07-23 15:08 409864 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
    + 2011-07-27 02:46 . 2012-07-23 15:08 842808 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1564971943-2704332384-2596639609-1000-12288.dat
    - 2011-07-27 02:46 . 2012-04-20 22:24 842808 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1564971943-2704332384-2596639609-1000-12288.dat
    - 2010-10-25 00:09 . 2012-07-23 10:09 2280052 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1564971943-2704332384-2596639609-1000-8192.dat
    + 2010-10-25 00:09 . 2012-07-23 15:08 2280052 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1564971943-2704332384-2596639609-1000-8192.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
    "SmpcSys"="c:\program files (x86)\Packard Bell\SetUpMyPC\SmpSys.exe" [2009-03-18 1160736]
    "swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-03 39408]
    "uTorrent"="c:\program files (x86)\uTorrent\uTorrent.exe" [2010-09-27 328056]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
    "ArcSoft Connection Service"="c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
    "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
    "DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
    "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-04-14 421160]
    "AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
    "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
    "APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
    "Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Philips SA52XX Device Manager.lnk - c:\philips\SA52xx Device Manager\SA52xx_DeviceManager.exe [2010-3-5 1384448]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "PromptOnSecureDesktop"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "aux1"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
    @="FSFilter Activity Monitor"
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    Themes
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-07-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-29 15:06]
    .
    2012-07-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-29 15:06]
    .
    .
    --------- X64 Entries -----------
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-03-30 7574048]
    "Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-03-30 1833504]
    "FijiKeyboard"="c:\acer\Preload\Autorun\DRV\FIJI Keyboard\ABoard.exe" [2008-09-18 79416]
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=imedia_s1710&r=1v3607098606p03c5vq85y47719225
    uLocal Page = c:\windows\system32\blank.htm
    mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=imedia_s1710&r=1v3607098606p03c5vq85y47719225
    mLocal Page = c:\windows\SysWOW64\blank.htm
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
    TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
    CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
    FF - ProfilePath - c:\users\Danny\AppData\Roaming\Mozilla\Firefox\Profiles\hsmolsvp.default\
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    .
    .
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Norton Internet Security]
    "ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\16.8.3.6\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files (x86)\Norton Internet Security\Engine\16.8.3.6\diMaster.dll\" /prefetch:1"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
    00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files (x86)\Lavasoft\Ad-Aware\AAWService.exe
    c:\program files (x86)\Avira\AntiVir Desktop\sched.exe
    c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
    c:\program files (x86)\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
    c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
    c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\windows\system32\HidService.exe
    c:\program files (x86)\Norton Internet Security\Engine\16.8.3.6\ccSvcHst.exe
    c:\windows\SysWOW64\IoctlSvc.exe
    c:\program files (x86)\Norton Internet Security\Engine\16.8.3.6\ccSvcHst.exe
    c:\program files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
    c:\acer\Preload\Autorun\DRV\Fiji Keyboard\AOSD.exe
    c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
    c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-07-23 17:18:12 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-07-23 15:18
    ComboFix2.txt 2012-07-23 12:42
    .
    Avant-CF: 303 106 531 328 octets libres
    Après-CF: 302 933 442 560 octets libres
    .
    - - End Of File - - D45AF0A8037D25720EBBE7C041E1CE59
    0
  15. JOJO
     
    D'accord, juste une précision : je ne suis pas sur la session infecté est ce que ça change quelque chose ?... j'ai quand même essayé et j'ai toujours le même messages d'erreurs
    0
  16. g3n-h@ckm@n
     
    essaie de demarrer la session infecté en mode sans echec
    0
    1. JOJO
       
      c'est fait, la page n'apparait pas "ukash" ,cependant je n'arrive pas à aller sur internet dans ce mode, on m'indique qu'il n'y a pas de réseau
      0
  17. JOJO
     
    c'est fait, la page n'apparait pas "ukash" ,cependant je n'arrive pas à aller sur internet dans ce mode, on m'indique qu'il n'y a pas de réseau
    0
  18. g3n-h@ckm@n
     
    oué lance pre_scan de cette session
    0
  19. JOJO
     
    ça ne marche pas, je reçois le même message d'erreur
    0
  • 1
  • 2
  • 3