Encore une victime de "Ukash Gendarmerie"
Résolu
ladymix
Messages postés
202
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Comment beaucoup je viens d'être infectée par le virus "Ukash Gendarmerie" suite à la visualisation d'une video en streaming.
Après avoir lu plusieurs post sur le même sujet j'ai effectué un scan avec Roguekiller et un scan avec ZHPdiag (dans cet ordre).
Pour info je suis sous Windows 7.
Pouvez-vous lire les rapports des scan et diagnostiquer le problème ?
https://www.cjoint.com/?BHDkyAycUsZ
https://www.cjoint.com/?BHDkzpwlBHj
Merci par avance
Ladymix
Comment beaucoup je viens d'être infectée par le virus "Ukash Gendarmerie" suite à la visualisation d'une video en streaming.
Après avoir lu plusieurs post sur le même sujet j'ai effectué un scan avec Roguekiller et un scan avec ZHPdiag (dans cet ordre).
Pour info je suis sous Windows 7.
Pouvez-vous lire les rapports des scan et diagnostiquer le problème ?
https://www.cjoint.com/?BHDkyAycUsZ
https://www.cjoint.com/?BHDkzpwlBHj
Merci par avance
Ladymix
A voir également:
- Encore une victime de "Ukash Gendarmerie"
- Victime - Accueil - Piratage
- Ukash - Forum Loisirs / Divertissements
- Victime de linkeo - Forum Consommation & Internet
- Au sujet de la STE LINKEO - Forum Hébergement
- La gendarmerie peut elle appeler avec un portable - Forum Vos droits sur internet
26 réponses
salut
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
mirroirs :
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
mirroirs :
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Merci pour votre réponse.
Je suis au taf pour le moment donc j'effectuerai les manipulations demandées ce soir en rentrant.
Ai-je bien fait de faire les scans RK et ZHPdiag ? Les rapports indiquent-ils une infection coriace ? Pensez-vous pouvoir l'éradiquer facilement ?
A+
Ladymix
Je suis au taf pour le moment donc j'effectuerai les manipulations demandées ce soir en rentrant.
Ai-je bien fait de faire les scans RK et ZHPdiag ? Les rapports indiquent-ils une infection coriace ? Pensez-vous pouvoir l'éradiquer facilement ?
A+
Ladymix
Ok parfait !
Est ce que je dois continuer à travailler en "mode sans échec avec assistance réseau" pour effectuer le Pre_Scan et les autres manipulations à venir ?
Est ce que je dois continuer à travailler en "mode sans échec avec assistance réseau" pour effectuer le Pre_Scan et les autres manipulations à venir ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Oups j'avais zappé la ligne qui disait de tout désactivé :S désolée...
Est ce que je peux recommencer le processus en procédant de la bonne manière cette fois ci ?
Est ce que je peux recommencer le processus en procédant de la bonne manière cette fois ci ?
J'ai désactivé le pare feu + mon antivirus et fait le scan
Voici le rapport
https://pjjoint.malekal.com/files.php?id=20120830_5f7d11l7i13
a+
Voici le rapport
https://pjjoint.malekal.com/files.php?id=20120830_5f7d11l7i13
a+
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur
clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
Bonjour,
Je vois que tu m'as répondu 5 min après que j'ai éteins mon pc...dommage j'aurais pu faire la manip directe hier mais bon tant pis je vais faire ce qu'il faut ce soir en rentrant.
Aux vues de ce que tu me demandes de faire, j'en déduis que mon pc est vraiment très infecté !! :( pas cool !
- Qu'est ce que AVG ? / "Choisis la version adéquate 32 ou 64 bits" Comment puis-je savoir quelle version choisir ?
- J'ai Malwarebytes et SuperAntiSpyware installer sur mon pc, comment dois-je les désactiver provisoirement ?
Merci pour tes réponses
A+
Je vois que tu m'as répondu 5 min après que j'ai éteins mon pc...dommage j'aurais pu faire la manip directe hier mais bon tant pis je vais faire ce qu'il faut ce soir en rentrant.
Aux vues de ce que tu me demandes de faire, j'en déduis que mon pc est vraiment très infecté !! :( pas cool !
- Qu'est ce que AVG ? / "Choisis la version adéquate 32 ou 64 bits" Comment puis-je savoir quelle version choisir ?
- J'ai Malwarebytes et SuperAntiSpyware installer sur mon pc, comment dois-je les désactiver provisoirement ?
Merci pour tes réponses
A+
desinstalle SuperAntispyware qui sert à rien , pour malwarebytes , si tu n'as que la version gratuite c'est bon , pour AVG , c'est un antivirus
ComboFix 12-08-31.01 - pc 31/08/2012 22:11:56.1.2 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.959.315 [GMT 2:00]
Lancé depuis: c:\users\pc\Desktop\Lady.exe
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-28 au 2012-08-31 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-31 20:20 . 2012-08-31 20:20 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-30 20:46 . 2012-08-23 07:15 7022536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{99BB6747-EB15-4EB3-B2B2-D90BF123887A}\mpengine.dll
2012-08-30 20:36 . 2012-08-23 07:15 7022536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-08-29 20:02 . 2012-08-30 20:32 -------- d-----w- C:\Pre_Scan
2012-08-29 05:54 . 2012-08-29 05:56 -------- d-----w- C:\ZHP
2012-08-29 05:54 . 2012-08-29 05:55 -------- d-----w- c:\program files\ZHPDiag
2012-08-28 16:17 . 2012-08-28 16:17 -------- d-----w- c:\users\pc\AppData\Local\ElevatedDiagnostics
2012-08-27 20:11 . 2012-08-27 20:11 -------- d-----w- c:\users\pc\AppData\Roaming\SUPERAntiSpyware.com
2012-08-27 20:11 . 2012-08-27 20:11 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2012-08-27 19:48 . 2012-08-27 19:48 -------- d-----w- c:\users\pc\AppData\Roaming\hellomoto
2012-08-27 17:56 . 2012-08-27 17:56 -------- d-----w- c:\users\pc\AppData\Roaming\Malwarebytes
2012-08-27 17:56 . 2012-08-27 17:56 -------- d-----w- c:\programdata\Malwarebytes
2012-08-27 17:56 . 2012-08-27 17:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-27 17:56 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-15 13:37 . 2012-05-05 07:46 400896 ----a-w- c:\windows\system32\srcore.dll
2012-08-15 13:37 . 2012-07-18 17:47 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-08-15 13:37 . 2012-02-11 05:43 492032 ----a-w- c:\windows\system32\win32spl.dll
2012-08-15 13:37 . 2012-02-11 05:37 317440 ----a-w- c:\windows\system32\spoolsv.exe
2012-08-15 13:37 . 2012-07-04 21:14 102912 ----a-w- c:\windows\system32\browser.dll
2012-08-15 13:37 . 2012-07-04 21:14 41984 ----a-w- c:\windows\system32\browcli.dll
2012-08-15 13:37 . 2012-05-14 04:33 769024 ----a-w- c:\windows\system32\localspl.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-15 08:18 . 2012-04-01 15:35 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-15 08:18 . 2012-02-19 09:00 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-06 05:05 . 2012-07-11 20:29 1390080 ----a-w- c:\windows\system32\msxml6.dll
2012-06-06 05:05 . 2012-07-11 20:29 1236992 ----a-w- c:\windows\system32\msxml3.dll
2012-06-06 05:03 . 2012-07-11 20:29 805376 ----a-w- c:\windows\system32\cdosys.dll
2012-06-02 22:19 . 2012-06-22 17:54 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-22 17:54 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-22 17:54 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-22 17:54 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-22 17:54 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-22 17:54 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-22 17:54 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-08-10 20:56 . 2012-02-19 08:27 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
S0 SASKUTIL;SASKUTIL; [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-31 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 08:18]
.
2012-08-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-929327520-2643527368-530078590-1000Core.job
- c:\users\pc\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 08:24]
.
2012-08-31 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-929327520-2643527368-530078590-1000UA.job
- c:\users\pc\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 08:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\jouebsz8.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - c:\program files\SUPERAntiSpyware\SASSEH.DLL
Notify-!SASWinLogon - c:\program files\SUPERAntiSpyware\SASWINLO.DLL
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-929327520-2643527368-530078590-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-929327520-2643527368-530078590-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-08-31 22:26:59
ComboFix-quarantined-files.txt 2012-08-31 20:26
.
Avant-CF: 50 149 634 048 octets libres
Après-CF: 50 313 469 952 octets libres
.
- - End Of File - - 9F1FAA13912DF205DDBBC66F4895665E
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.959.315 [GMT 2:00]
Lancé depuis: c:\users\pc\Desktop\Lady.exe
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-28 au 2012-08-31 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-31 20:20 . 2012-08-31 20:20 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-30 20:46 . 2012-08-23 07:15 7022536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{99BB6747-EB15-4EB3-B2B2-D90BF123887A}\mpengine.dll
2012-08-30 20:36 . 2012-08-23 07:15 7022536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-08-29 20:02 . 2012-08-30 20:32 -------- d-----w- C:\Pre_Scan
2012-08-29 05:54 . 2012-08-29 05:56 -------- d-----w- C:\ZHP
2012-08-29 05:54 . 2012-08-29 05:55 -------- d-----w- c:\program files\ZHPDiag
2012-08-28 16:17 . 2012-08-28 16:17 -------- d-----w- c:\users\pc\AppData\Local\ElevatedDiagnostics
2012-08-27 20:11 . 2012-08-27 20:11 -------- d-----w- c:\users\pc\AppData\Roaming\SUPERAntiSpyware.com
2012-08-27 20:11 . 2012-08-27 20:11 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2012-08-27 19:48 . 2012-08-27 19:48 -------- d-----w- c:\users\pc\AppData\Roaming\hellomoto
2012-08-27 17:56 . 2012-08-27 17:56 -------- d-----w- c:\users\pc\AppData\Roaming\Malwarebytes
2012-08-27 17:56 . 2012-08-27 17:56 -------- d-----w- c:\programdata\Malwarebytes
2012-08-27 17:56 . 2012-08-27 17:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-27 17:56 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-15 13:37 . 2012-05-05 07:46 400896 ----a-w- c:\windows\system32\srcore.dll
2012-08-15 13:37 . 2012-07-18 17:47 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-08-15 13:37 . 2012-02-11 05:43 492032 ----a-w- c:\windows\system32\win32spl.dll
2012-08-15 13:37 . 2012-02-11 05:37 317440 ----a-w- c:\windows\system32\spoolsv.exe
2012-08-15 13:37 . 2012-07-04 21:14 102912 ----a-w- c:\windows\system32\browser.dll
2012-08-15 13:37 . 2012-07-04 21:14 41984 ----a-w- c:\windows\system32\browcli.dll
2012-08-15 13:37 . 2012-05-14 04:33 769024 ----a-w- c:\windows\system32\localspl.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-15 08:18 . 2012-04-01 15:35 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-15 08:18 . 2012-02-19 09:00 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-06 05:05 . 2012-07-11 20:29 1390080 ----a-w- c:\windows\system32\msxml6.dll
2012-06-06 05:05 . 2012-07-11 20:29 1236992 ----a-w- c:\windows\system32\msxml3.dll
2012-06-06 05:03 . 2012-07-11 20:29 805376 ----a-w- c:\windows\system32\cdosys.dll
2012-06-02 22:19 . 2012-06-22 17:54 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-22 17:54 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-22 17:54 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-22 17:54 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-22 17:54 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-22 17:54 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-22 17:54 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-08-10 20:56 . 2012-02-19 08:27 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
S0 SASKUTIL;SASKUTIL; [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-31 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 08:18]
.
2012-08-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-929327520-2643527368-530078590-1000Core.job
- c:\users\pc\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 08:24]
.
2012-08-31 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-929327520-2643527368-530078590-1000UA.job
- c:\users\pc\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 08:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\jouebsz8.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - c:\program files\SUPERAntiSpyware\SASSEH.DLL
Notify-!SASWinLogon - c:\program files\SUPERAntiSpyware\SASWINLO.DLL
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-929327520-2643527368-530078590-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-929327520-2643527368-530078590-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-08-31 22:26:59
ComboFix-quarantined-files.txt 2012-08-31 20:26
.
Avant-CF: 50 149 634 048 octets libres
Après-CF: 50 313 469 952 octets libres
.
- - End Of File - - 9F1FAA13912DF205DDBBC66F4895665E
re
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
RegLock::
[HKEY_USERS\S-1-5-21-929327520-2643527368-530078590-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
[HKEY_USERS\S-1-5-21-929327520-2643527368-530078590-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
RegLock::
[HKEY_USERS\S-1-5-21-929327520-2643527368-530078590-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
[HKEY_USERS\S-1-5-21-929327520-2643527368-530078590-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
ComboFix 12-08-31.08 - pc 01/09/2012 15:13:19.2.2 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.959.386 [GMT 2:00]
Lancé depuis: c:\users\pc\Desktop\Lady.exe
Commutateurs utilisés :: c:\users\pc\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-08-01 au 2012-09-01 ))))))))))))))))))))))))))))))))))))
.
.
2012-09-01 13:21 . 2012-09-01 13:21 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-31 20:28 . 2012-08-23 07:15 7022536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FB29078B-13CA-4625-904F-FC693B304FE6}\mpengine.dll
2012-08-30 20:36 . 2012-08-23 07:15 7022536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-08-29 20:02 . 2012-08-30 20:32 -------- d-----w- C:\Pre_Scan
2012-08-29 05:54 . 2012-08-29 05:56 -------- d-----w- C:\ZHP
2012-08-29 05:54 . 2012-08-29 05:55 -------- d-----w- c:\program files\ZHPDiag
2012-08-28 16:17 . 2012-08-28 16:17 -------- d-----w- c:\users\pc\AppData\Local\ElevatedDiagnostics
2012-08-27 20:11 . 2012-08-27 20:11 -------- d-----w- c:\users\pc\AppData\Roaming\SUPERAntiSpyware.com
2012-08-27 20:11 . 2012-08-27 20:11 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2012-08-27 19:48 . 2012-08-27 19:48 -------- d-----w- c:\users\pc\AppData\Roaming\hellomoto
2012-08-27 17:56 . 2012-08-27 17:56 -------- d-----w- c:\users\pc\AppData\Roaming\Malwarebytes
2012-08-27 17:56 . 2012-08-27 17:56 -------- d-----w- c:\programdata\Malwarebytes
2012-08-27 17:56 . 2012-08-27 17:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-27 17:56 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-15 13:37 . 2012-05-05 07:46 400896 ----a-w- c:\windows\system32\srcore.dll
2012-08-15 13:37 . 2012-07-18 17:47 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-08-15 13:37 . 2012-02-11 05:43 492032 ----a-w- c:\windows\system32\win32spl.dll
2012-08-15 13:37 . 2012-02-11 05:37 317440 ----a-w- c:\windows\system32\spoolsv.exe
2012-08-15 13:37 . 2012-07-04 21:14 102912 ----a-w- c:\windows\system32\browser.dll
2012-08-15 13:37 . 2012-07-04 21:14 41984 ----a-w- c:\windows\system32\browcli.dll
2012-08-15 13:37 . 2012-05-14 04:33 769024 ----a-w- c:\windows\system32\localspl.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-15 08:18 . 2012-04-01 15:35 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-15 08:18 . 2012-02-19 09:00 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-06 05:05 . 2012-07-11 20:29 1390080 ----a-w- c:\windows\system32\msxml6.dll
2012-06-06 05:05 . 2012-07-11 20:29 1236992 ----a-w- c:\windows\system32\msxml3.dll
2012-06-06 05:03 . 2012-07-11 20:29 805376 ----a-w- c:\windows\system32\cdosys.dll
2012-08-10 20:56 . 2012-02-19 08:27 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-09-01 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 08:18]
.
2012-08-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-929327520-2643527368-530078590-1000Core.job
- c:\users\pc\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 08:24]
.
2012-08-31 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-929327520-2643527368-530078590-1000UA.job
- c:\users\pc\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 08:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\jouebsz8.default\
.
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Client\MsMpEng.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Microsoft\BingBar\SeaPort.EXE
c:\windows\SOUNDMAN.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\DllHost.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Heure de fin: 2012-09-01 15:30:00 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-09-01 13:29
ComboFix2.txt 2012-08-31 20:27
.
Avant-CF: 50 360 578 048 octets libres
Après-CF: 50 294 489 088 octets libres
.
- - End Of File - - 97970E0563407110330BE49C997F54C2
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.959.386 [GMT 2:00]
Lancé depuis: c:\users\pc\Desktop\Lady.exe
Commutateurs utilisés :: c:\users\pc\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-08-01 au 2012-09-01 ))))))))))))))))))))))))))))))))))))
.
.
2012-09-01 13:21 . 2012-09-01 13:21 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-31 20:28 . 2012-08-23 07:15 7022536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FB29078B-13CA-4625-904F-FC693B304FE6}\mpengine.dll
2012-08-30 20:36 . 2012-08-23 07:15 7022536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-08-29 20:02 . 2012-08-30 20:32 -------- d-----w- C:\Pre_Scan
2012-08-29 05:54 . 2012-08-29 05:56 -------- d-----w- C:\ZHP
2012-08-29 05:54 . 2012-08-29 05:55 -------- d-----w- c:\program files\ZHPDiag
2012-08-28 16:17 . 2012-08-28 16:17 -------- d-----w- c:\users\pc\AppData\Local\ElevatedDiagnostics
2012-08-27 20:11 . 2012-08-27 20:11 -------- d-----w- c:\users\pc\AppData\Roaming\SUPERAntiSpyware.com
2012-08-27 20:11 . 2012-08-27 20:11 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2012-08-27 19:48 . 2012-08-27 19:48 -------- d-----w- c:\users\pc\AppData\Roaming\hellomoto
2012-08-27 17:56 . 2012-08-27 17:56 -------- d-----w- c:\users\pc\AppData\Roaming\Malwarebytes
2012-08-27 17:56 . 2012-08-27 17:56 -------- d-----w- c:\programdata\Malwarebytes
2012-08-27 17:56 . 2012-08-27 17:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-27 17:56 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-15 13:37 . 2012-05-05 07:46 400896 ----a-w- c:\windows\system32\srcore.dll
2012-08-15 13:37 . 2012-07-18 17:47 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-08-15 13:37 . 2012-02-11 05:43 492032 ----a-w- c:\windows\system32\win32spl.dll
2012-08-15 13:37 . 2012-02-11 05:37 317440 ----a-w- c:\windows\system32\spoolsv.exe
2012-08-15 13:37 . 2012-07-04 21:14 102912 ----a-w- c:\windows\system32\browser.dll
2012-08-15 13:37 . 2012-07-04 21:14 41984 ----a-w- c:\windows\system32\browcli.dll
2012-08-15 13:37 . 2012-05-14 04:33 769024 ----a-w- c:\windows\system32\localspl.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-15 08:18 . 2012-04-01 15:35 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-15 08:18 . 2012-02-19 09:00 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-06 05:05 . 2012-07-11 20:29 1390080 ----a-w- c:\windows\system32\msxml6.dll
2012-06-06 05:05 . 2012-07-11 20:29 1236992 ----a-w- c:\windows\system32\msxml3.dll
2012-06-06 05:03 . 2012-07-11 20:29 805376 ----a-w- c:\windows\system32\cdosys.dll
2012-08-10 20:56 . 2012-02-19 08:27 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-09-01 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 08:18]
.
2012-08-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-929327520-2643527368-530078590-1000Core.job
- c:\users\pc\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 08:24]
.
2012-08-31 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-929327520-2643527368-530078590-1000UA.job
- c:\users\pc\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 08:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\jouebsz8.default\
.
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Client\MsMpEng.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Microsoft\BingBar\SeaPort.EXE
c:\windows\SOUNDMAN.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\DllHost.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Heure de fin: 2012-09-01 15:30:00 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-09-01 13:29
ComboFix2.txt 2012-08-31 20:27
.
Avant-CF: 50 360 578 048 octets libres
Après-CF: 50 294 489 088 octets libres
.
- - End Of File - - 97970E0563407110330BE49C997F54C2
yes nickel :)
<
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
<
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
