Trojan downloader, crss.exe

Question

Bonjour, 

MBAM m'avait détecté plusieurs virus il y a 2 jours, que j'ai aussitôt supprimé. Or, il y en a qui réapparaîssent à chaque fois. J'aperçois le fichier crss.exe qui se télécharge tout seul sur mon ordi, ça doit faire la 10ème fois.

La navigation sur Firefox est assez lente. Chose bizarre: je reçois un message de confirmation de fermeture lorsque je visite des pages web sans avoir cliqué sur 'fermer' auparavant.

J'ai lancé plusieurs scans et supprimé les détections ces derniers 48 heures avec Roguekiller, AdwCleaner, MBAM, Avira sans pouvoir me débarrasser définitivement des malwares.

ZHPDiag ne marche pas. En double-cliquant, j'ai soit le message "Serveur Zebulon n'est pas disponible" ou "Pas de connexion internet". L'analyse ne se termine pas et on m'informe du suivant: "Module: 043 in overflow (4999)"

Voici les derniers scans
Roguekiller: https://pjjoint.malekal.com/files.php?id=20121122_13s13n15k11b12
AdwCleaner: https://pjjoint.malekal.com/files.php?id=20121122_u11v7q14w7o6
MBAM après redémarrage: https://pjjoint.malekal.com/files.php?read=20121122_e5p6b13i10i9

Merci pour toute aide.

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

Thorus12 · Answer

Salut,

j'ai bien suivi les instructions. Le programme se lance or, après environ 30 secondes, j'obtiens ce message d'erreur à chaque fois, que ce soit avec winlogon.exe ou Pre_Scan.pif.

Autolt Error
Line 9516 (File\...winlogon.exe) ou (Pre_Scan.pif)
Error: Variable must be of type "Object"

g3n-h@ckm@n · Answer

selectionne ce texte : 

WMI::  
  
Relance Pre_scan puis choisis l'option "Script" 

une page va s'ouvrir 

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler. 

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

laisse redemarrer l'ordi 

patiente une minute ou deux puis retente de le relancer 
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Thorus12 · Answer

Salut,

malheureusement rien n'a changé, toujours encore ce message d'erreur.

g3n-h@ckm@n · Answer

à quelle occasion ?

Thorus12 · Answer

Il bloque au moment où il est censé s'auto-analyser (fichier winlogon.exe ou Pre_Scan.pif sur le bureau).

g3n-h@ckm@n · Answer

tu attends combien de temps ?

Thorus12 · Answer

J'ai attendu 5 minutes la première fois.

g3n-h@ckm@n · Answer

ok fais-le en mode sans echec

Thorus12 · Answer

Toujours pareil en mode sans échec.

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Thorus12 · Answer

ComboFix 12-11-23.02 - clement 23/11/2012  23:23:07.1.2 - x64
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3070.1806 [GMT 1:00]
Lancé depuis: c:\users\clement\Desktop\CboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\config.bin
c:\config.bin\1746945B3C5C612
c:\config.bin\99DA4FFA3C5C612
c:\config.bin\9A052F91F11.exe
c:\config.bin\BD840F913C5C612
c:\config.bin\D9957AD43C5C612
c:\program files (x86)\GooglePlusVideos
c:\program files (x86)\GooglePlusVideos\DeploymentHelper.exe
c:\program files (x86)\GooglePlusVideos\FFExt\chrome.manifest
c:\program files (x86)\GooglePlusVideos\FFExt\chrome\content\googleplusvideos.xul
c:\program files (x86)\GooglePlusVideos\FFExt\chrome\content\script-injector.js
c:\program files (x86)\GooglePlusVideos\FFExt\install.rdf
c:\program files (x86)\GooglePlusVideos\GooglePlusVideosLicense.txt
c:\program files (x86)\GooglePlusVideos\GVConfig.ini
c:\program files (x86)\GooglePlusVideos\MFC42U.DLL
c:\program files (x86)\GooglePlusVideos\Uninstall.bat
C:\sysmon
c:\users\clement\AppData\Roaming\.#
c:\users\clement\AppData\Roaming\.#\MBX@118C@2312930.###
c:\users\clement\AppData\Roaming\.#\MBX@118C@2312960.###
c:\users\clement\AppData\Roaming\.#\MBX@118C@2312990.###
c:\users\clement\AppData\Roaming\.#\MBX@E10@6F2930.###
c:\users\clement\AppData\Roaming\.#\MBX@E10@6F2960.###
c:\users\clement\AppData\Roaming\.#\MBX@E10@6F2990.###
c:\users\clement\AppData\Roaming\Amcixo
c:\users\clement\AppData\Roaming\Amcixo\ofbe.eru
c:\users\clement\AppData\Roaming\GetValue.vbs
c:\users\clement\crss.exe
c:\users\clement\Documents\crss.exe
c:\users\clement\Downloads\crss.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-23 au 2012-11-23  ))))))))))))))))))))))))))))))))))))
.
.
2012-11-23 22:35 . 2012-11-23 22:35	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-11-23 22:35 . 2012-11-23 22:35	--------	d-----w-	c:\users\clement\AppData\Local	emp
2012-11-23 22:20 . 2012-11-23 22:20	--------	d-----w-	C:\32788R22FWJFW
2012-11-23 21:28 . 2012-11-23 21:28	--------	d-----w-	c:\programdata\Local Settings
2012-11-23 17:53 . 2012-11-08 17:24	9125352	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{6003B26E-2C6D-42B0-A0F2-BAE88D3F6F37}\mpengine.dll
2012-11-23 01:06 . 2012-11-23 21:01	--------	d-----w-	C:\Pre_Scan
2012-11-18 11:07 . 2012-11-23 08:45	--------	d-----w-	c:\users\UpdatusUser
2012-11-18 11:07 . 2012-11-18 11:08	--------	d-----w-	c:\program files (x86)\NVIDIA Corporation
2012-11-18 11:05 . 2012-10-10 20:24	52584	----a-w-	c:\windows\SysWow64\OpenCL.dll
2012-11-18 11:05 . 2012-10-10 20:23	60776	----a-w-	c:\windows\system32\OpenCL.dll
2012-11-18 11:04 . 2012-11-18 11:04	--------	d-----w-	c:\programdata\NVIDIA Corporation
2012-11-18 11:03 . 2012-11-18 11:07	--------	d-----w-	c:\program files\NVIDIA Corporation
2012-11-15 02:40 . 2012-09-25 16:31	91648	----a-w-	c:\windows\system32\synceng.dll
2012-11-15 02:40 . 2012-09-25 16:19	75776	----a-w-	c:\windows\SysWow64\synceng.dll
2012-11-15 02:26 . 2012-10-12 14:53	2769920	----a-w-	c:\windows\system32\win32k.sys
2012-11-09 19:41 . 2012-11-14 03:14	--------	d-----w-	c:\users\clement\AppData\Roaming\Hofyip
2012-11-09 19:41 . 2012-11-14 01:09	--------	d-----w-	c:\users\clement\AppData\Roaming\Tagy
2012-11-05 00:26 . 2012-11-05 00:26	--------	d-----w-	c:\users\clement\AppData\Local\ExeOutput
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-15 11:03 . 2006-11-02 12:35	66395536	----a-w-	c:\windows\system32\mrt.exe
2012-10-22 02:06 . 2012-10-22 02:06	108008	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-22 02:06 . 2012-10-22 02:06	289768	----a-w-	c:\windows\system32\javaws.exe
2012-10-22 02:06 . 2012-10-22 02:06	189416	----a-w-	c:\windows\system32\javaw.exe
2012-10-22 02:06 . 2012-10-22 02:06	188904	----a-w-	c:\windows\system32\java.exe
2012-10-22 02:06 . 2012-09-15 16:28	916456	----a-w-	c:\windows\system32\deployJava1.dll
2012-10-22 02:06 . 2012-09-15 16:28	1034216	----a-w-	c:\windows\system32
pDeployJava1.dll
2012-10-10 20:23 . 2012-10-10 20:23	1867112	----a-w-	c:\windows\SysWow64
vcuvenc.dll
2012-10-10 20:23 . 2009-05-26 02:14	18252136	----a-w-	c:\windows\system32
vd3dumx.dll
2012-10-10 20:23 . 2012-10-10 20:23	1482600	----a-w-	c:\windows\system32
vdispgenco64.dll
2012-10-10 20:23 . 2012-10-10 20:23	6127464	----a-w-	c:\windows\SysWow64
vopencl.dll
2012-10-10 20:23 . 2012-10-10 20:23	2574696	----a-w-	c:\windows\SysWow64
vcuvid.dll
2012-10-10 20:23 . 2012-10-10 20:23	25256296	----a-w-	c:\windows\system32
vcompiler.dll
2012-10-10 20:23 . 2012-10-10 20:23	7414632	----a-w-	c:\windows\system32
vopencl.dll
2012-10-10 20:23 . 2009-05-26 02:14	2731880	----a-w-	c:\windows\system32
vapi64.dll
2012-10-10 20:23 . 2012-10-10 20:23	14922600	----a-w-	c:\windows\system32
vwgf2umx.dll
2012-10-10 20:23 . 2012-10-10 20:23	9146728	----a-w-	c:\windows\system32
vcuda.dll
2012-10-10 20:23 . 2012-10-10 20:23	7697768	----a-w-	c:\windows\SysWow64
vcuda.dll
2012-10-10 20:23 . 2012-10-10 20:23	2218344	----a-w-	c:\windows\system32
vcuvenc.dll
2012-10-10 20:23 . 2012-10-10 20:23	12501352	----a-w-	c:\windows\SysWow64
vwgf2um.dll
2012-10-10 20:22 . 2012-10-10 20:22	2428776	----a-w-	c:\windows\SysWow64
vapi.dll
2012-10-10 20:22 . 2012-10-10 20:22	26331496	----a-w-	c:\windows\system32
voglv64.dll
2012-10-10 20:22 . 2012-10-10 20:22	1760104	----a-w-	c:\windows\system32
vdispco64.dll
2012-10-10 20:22 . 2012-10-10 20:22	15309160	----a-w-	c:\windows\SysWow64
vd3dum.dll
2012-10-10 20:22 . 2012-10-10 20:22	2747240	----a-w-	c:\windows\system32
vcuvid.dll
2012-10-10 20:22 . 2012-10-10 20:22	19906920	----a-w-	c:\windows\SysWow64
voglv32.dll
2012-10-10 20:22 . 2012-10-10 20:22	13443944	----a-w-	c:\windows\system32\drivers
vlddmkm.sys
2012-10-10 20:22 . 2012-10-10 20:22	17559912	----a-w-	c:\windows\SysWow64
vcompiler.dll
2012-10-09 16:32 . 2012-08-23 23:08	696760	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-09 16:32 . 2011-08-07 13:29	73656	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-10-02 19:51 . 2009-04-19 20:51	3293544	----a-w-	c:\windows\system32
vsvc64.dll
2012-10-02 19:51 . 2009-04-19 20:51	6200680	----a-w-	c:\windows\system32
vcpl.dll
2012-10-02 19:50 . 2009-04-19 20:51	891240	----a-w-	c:\windows\system32
vvsvc.exe
2012-10-02 19:50 . 2009-04-19 20:51	63336	----a-w-	c:\windows\system32
vshext.dll
2012-10-02 19:50 . 2009-04-19 20:51	2557800	----a-w-	c:\windows\system32
vsvcr.dll
2012-10-02 19:50 . 2009-04-19 20:51	118120	----a-w-	c:\windows\system32
vmctray.dll
2012-10-02 12:15 . 2012-10-02 12:15	430952	----a-w-	c:\windows\SysWow64
vStreaming.exe
2012-09-29 18:54 . 2010-07-20 13:04	25928	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-13 13:45 . 2012-10-10 14:47	2048	----a-w-	c:\windows\system32	zres.dll
2012-09-13 13:28 . 2012-10-10 14:47	2048	----a-w-	c:\windows\SysWow64	zres.dll
2012-08-29 11:40 . 2012-10-10 12:19	4699520	----a-w-	c:\windows\system32
toskrnl.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files (x86)\Packard Bell\SetUpMyPC\SmpSys.exe" [2009-03-18 1160736]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-07-03 152064]
"RoboForm"="c:\program files (x86)\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2010-12-26 107000]
"Free Download Manager"="c:\program files (x86)\Free Download Manager\fdm.exe" [2010-04-28 3727411]
"Xvid"="c:\program files (x86)\Xvid\CheckUpdate.exe" [2011-01-17 8192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files (x86)\Winamp\winampa.exe" [2003-12-13 33792]
"PSDrvCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-08-28 396800]
"CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"54206"="c:\progra~3\LOCALS~1\Temp\msnwmq.com" [2008-01-21 391168]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616]
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-23 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-23 16:32]
.
2012-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-09 22:43]
.
2012-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-09 22:43]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2011-03-02 15:23	85232	----a-w-	c:\program files (x86)\Internet Download Manager\IDMShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-03-30 7574048]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-03-30 1833504]
"FijiKeyboard"="c:\acer\Preload\Autorun\DRV\FIJI Keyboard\ABoard.exe" [2008-09-18 79416]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.free.fr/
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = hxxp://http=127.0.0.1:57838
IE: Barre RoboForm - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Enregistrer le formulaire - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Personnaliser le menu - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: Tout télécharger avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dllink.htm
IE: Télécharger avec IDM - c:\program files (x86)\Internet Download Manager\IEExt.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlfvideo.htm
IE: Télécharger tous les liens avec IDM - c:\program files (x86)\Internet Download Manager\IEGetAll.htm
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files (x86)\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\users\clement\AppData\Roaming\Mozilla\Firefox\Profiles\j6x47whq.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Wow6432Node-HKCU-Run-Profile Manager2 - c:\users\clement\crss.exe
Wow6432Node-HKCU-Run-Document Explorer2 - c:\users\clement\Documents\crss.exe
Wow6432Node-HKCU-Run-Download Manager2 - c:\users\clement\Downloads\crss.exe
Wow6432Node-HKCU-Run-ZXWHXC5I2HVWWJUVVPRVDBFTISN - c:\config.bin\9A052F91F11.exe
Wow6432Node-HKCU-Run-WMPNSCFG - c:\program files (x86)\Windows Media Player\WMPNSCFG.exe
AddRemove-vShare.tv plugin - c:\program files (x86)\vShare.tv plugin\uninst.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msiserver]
"ImagePath"="%systemroot%\system32\msiexec /V"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3134296232-2412903082-1817574899-1000_Classes\Wow6432Node\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
@Allowed: (Read) (RestrictedCode)
"scansk"=hex(0):de,ea,b6,f3,f5,c8,35,ea,1c,04,32,bf,68,c0,f6,e4,6c,73,c6,97,23,
   1c,4b,dc,50,91,51,d8,3d,80,ec,7f,56,75,7e,da,dc,13,65,7f,00,00,00,00,00,00,\
.
[HKEY_USERS\S-1-5-21-3134296232-2412903082-1817574899-1000_Classes\Wow6432Node\CLSID\{feed447b-c7fd-4711-b449-d583c2ad1017}]
@Denied: (Full) (Everyone)
@Allowed: (Read) (RestrictedCode)
"Model"=dword:00000105
"Therad"=dword:00000027
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,85,b1,12,f9,90,dd,23,a1,c7,5e,4d,58,ed,39,ae,96,93,c0,68,3f,8b,b1,\
.
Heure de fin: 2012-11-23  23:37:53
ComboFix-quarantined-files.txt  2012-11-23 22:37
.
Avant-CF: 29 048 479 744 octets libres
Après-CF: 28 912 939 008 octets libres
.
- - End Of File - - DB7FFB15B4CE8F8ED68B7B7D58DA2858

g3n-h@ckm@n · Answer

mets malwarebytes à jour et fais un scan complet

Thorus12 · Answer

J'ai lancé un scan MBAM et au bout d'une heure, le virus gendarmerie est apparu. Je m'en suis débarrassé grâce à Roguekiller, voici le rapport:
https://pjjoint.malekal.com/files.php?id=20121124_n9f1311d11r13

J'ai ensuite relancé un scan MBAM. Rapport ci-dessous.





Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.20.04

Windows Vista Service Pack 2 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
clement :: PC-DE-CLEMENT [administrateur]

24/11/2012 01:13:13
mbam-log-2012-11-24 (01-13-13).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|O:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 427740
Temps écoulé: 1 heure(s), 4 minute(s), 36 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\Users\clement\AppData\Local	emp\2E32.tmp (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\clement\AppData\Local	emp\96D3.tmp (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\clement\AppData\Local	emp\EFAC.tmp (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\clement\AppData\Roaming\msconfig.ini (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\clement\AppData\Local	emp\msuzhp.cmd (Trojan.Downloader.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\clement\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

c'est parce que tu fais n'importe quoi avec ton pc pendant la desinfection

Thorus12 · Answer

Je n'ai rien fait pendant la désinfection. J'ai déjà eu affaire au virus gendarmerie et d'habitude il apparaît à cause d'un pop-up ou lorsque je me retrouve sur un site malveillant. Or là, la page qui me demande de payer avec Ukash est apparu pendant un scan MBAM alors qu'aucun programme était ouvert.

g3n-h@ckm@n · Answer

comme ca d'un coup au milieu d'un scan ?

Thorus12 · Answer

Oui, durant le scan.

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Thorus12 · Answer

Salut, voici le rapport de Combofix


ComboFix 12-11-25.01 - clement 26/11/2012   6:20.2.2 - x64
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3070.1396 [GMT 1:00]
Lancé depuis: c:\users\clement\Desktop\CboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-26 au 2012-11-26  ))))))))))))))))))))))))))))))))))))
.
.
2012-11-26 05:30 . 2012-11-26 05:30	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-11-26 05:30 . 2012-11-26 05:30	--------	d-----w-	c:\users\clement\AppData\Local	emp
2012-11-23 22:20 . 2012-11-26 05:18	--------	d-----w-	C:\32788R22FWJFW
2012-11-23 21:28 . 2012-11-23 21:28	--------	d-----w-	c:\programdata\Local Settings
2012-11-23 17:53 . 2012-11-08 17:24	9125352	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{6003B26E-2C6D-42B0-A0F2-BAE88D3F6F37}\mpengine.dll
2012-11-23 01:06 . 2012-11-23 21:01	--------	d-----w-	C:\Pre_Scan
2012-11-18 11:07 . 2012-11-25 13:58	--------	d-----w-	c:\users\UpdatusUser
2012-11-18 11:07 . 2012-11-18 11:08	--------	d-----w-	c:\program files (x86)\NVIDIA Corporation
2012-11-18 11:05 . 2012-10-10 20:24	52584	----a-w-	c:\windows\SysWow64\OpenCL.dll
2012-11-18 11:05 . 2012-10-10 20:23	60776	----a-w-	c:\windows\system32\OpenCL.dll
2012-11-18 11:04 . 2012-11-18 11:04	--------	d-----w-	c:\programdata\NVIDIA Corporation
2012-11-18 11:03 . 2012-11-18 11:07	--------	d-----w-	c:\program files\NVIDIA Corporation
2012-11-15 02:40 . 2012-09-25 16:31	91648	----a-w-	c:\windows\system32\synceng.dll
2012-11-15 02:40 . 2012-09-25 16:19	75776	----a-w-	c:\windows\SysWow64\synceng.dll
2012-11-15 02:26 . 2012-10-12 14:53	2769920	----a-w-	c:\windows\system32\win32k.sys
2012-11-09 19:41 . 2012-11-14 03:14	--------	d-----w-	c:\users\clement\AppData\Roaming\Hofyip
2012-11-09 19:41 . 2012-11-14 01:09	--------	d-----w-	c:\users\clement\AppData\Roaming\Tagy
2012-11-05 00:26 . 2012-11-05 00:26	--------	d-----w-	c:\users\clement\AppData\Local\ExeOutput
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-15 11:03 . 2006-11-02 12:35	66395536	----a-w-	c:\windows\system32\mrt.exe
2012-10-22 02:06 . 2012-10-22 02:06	108008	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-22 02:06 . 2012-10-22 02:06	289768	----a-w-	c:\windows\system32\javaws.exe
2012-10-22 02:06 . 2012-10-22 02:06	189416	----a-w-	c:\windows\system32\javaw.exe
2012-10-22 02:06 . 2012-10-22 02:06	188904	----a-w-	c:\windows\system32\java.exe
2012-10-22 02:06 . 2012-09-15 16:28	916456	----a-w-	c:\windows\system32\deployJava1.dll
2012-10-22 02:06 . 2012-09-15 16:28	1034216	----a-w-	c:\windows\system32
pDeployJava1.dll
2012-10-10 20:23 . 2012-10-10 20:23	1867112	----a-w-	c:\windows\SysWow64
vcuvenc.dll
2012-10-10 20:23 . 2009-05-26 02:14	18252136	----a-w-	c:\windows\system32
vd3dumx.dll
2012-10-10 20:23 . 2012-10-10 20:23	1482600	----a-w-	c:\windows\system32
vdispgenco64.dll
2012-10-10 20:23 . 2012-10-10 20:23	6127464	----a-w-	c:\windows\SysWow64
vopencl.dll
2012-10-10 20:23 . 2012-10-10 20:23	2574696	----a-w-	c:\windows\SysWow64
vcuvid.dll
2012-10-10 20:23 . 2012-10-10 20:23	25256296	----a-w-	c:\windows\system32
vcompiler.dll
2012-10-10 20:23 . 2012-10-10 20:23	7414632	----a-w-	c:\windows\system32
vopencl.dll
2012-10-10 20:23 . 2009-05-26 02:14	2731880	----a-w-	c:\windows\system32
vapi64.dll
2012-10-10 20:23 . 2012-10-10 20:23	14922600	----a-w-	c:\windows\system32
vwgf2umx.dll
2012-10-10 20:23 . 2012-10-10 20:23	9146728	----a-w-	c:\windows\system32
vcuda.dll
2012-10-10 20:23 . 2012-10-10 20:23	7697768	----a-w-	c:\windows\SysWow64
vcuda.dll
2012-10-10 20:23 . 2012-10-10 20:23	2218344	----a-w-	c:\windows\system32
vcuvenc.dll
2012-10-10 20:23 . 2012-10-10 20:23	12501352	----a-w-	c:\windows\SysWow64
vwgf2um.dll
2012-10-10 20:22 . 2012-10-10 20:22	2428776	----a-w-	c:\windows\SysWow64
vapi.dll
2012-10-10 20:22 . 2012-10-10 20:22	26331496	----a-w-	c:\windows\system32
voglv64.dll
2012-10-10 20:22 . 2012-10-10 20:22	1760104	----a-w-	c:\windows\system32
vdispco64.dll
2012-10-10 20:22 . 2012-10-10 20:22	15309160	----a-w-	c:\windows\SysWow64
vd3dum.dll
2012-10-10 20:22 . 2012-10-10 20:22	2747240	----a-w-	c:\windows\system32
vcuvid.dll
2012-10-10 20:22 . 2012-10-10 20:22	19906920	----a-w-	c:\windows\SysWow64
voglv32.dll
2012-10-10 20:22 . 2012-10-10 20:22	13443944	----a-w-	c:\windows\system32\drivers
vlddmkm.sys
2012-10-10 20:22 . 2012-10-10 20:22	17559912	----a-w-	c:\windows\SysWow64
vcompiler.dll
2012-10-09 16:32 . 2012-08-23 23:08	696760	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-09 16:32 . 2011-08-07 13:29	73656	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-10-02 19:51 . 2009-04-19 20:51	3293544	----a-w-	c:\windows\system32
vsvc64.dll
2012-10-02 19:51 . 2009-04-19 20:51	6200680	----a-w-	c:\windows\system32
vcpl.dll
2012-10-02 19:50 . 2009-04-19 20:51	891240	----a-w-	c:\windows\system32
vvsvc.exe
2012-10-02 19:50 . 2009-04-19 20:51	63336	----a-w-	c:\windows\system32
vshext.dll
2012-10-02 19:50 . 2009-04-19 20:51	2557800	----a-w-	c:\windows\system32
vsvcr.dll
2012-10-02 19:50 . 2009-04-19 20:51	118120	----a-w-	c:\windows\system32
vmctray.dll
2012-10-02 12:15 . 2012-10-02 12:15	430952	----a-w-	c:\windows\SysWow64
vStreaming.exe
2012-09-29 18:54 . 2010-07-20 13:04	25928	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-13 13:45 . 2012-10-10 14:47	2048	----a-w-	c:\windows\system32	zres.dll
2012-09-13 13:28 . 2012-10-10 14:47	2048	----a-w-	c:\windows\SysWow64	zres.dll
2012-08-29 11:40 . 2012-10-10 12:19	4699520	----a-w-	c:\windows\system32
toskrnl.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files (x86)\Packard Bell\SetUpMyPC\SmpSys.exe" [2009-03-18 1160736]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-07-03 152064]
"RoboForm"="c:\program files (x86)\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2010-12-26 107000]
"Free Download Manager"="c:\program files (x86)\Free Download Manager\fdm.exe" [2010-04-28 3727411]
"Xvid"="c:\program files (x86)\Xvid\CheckUpdate.exe" [2011-01-17 8192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files (x86)\Winamp\winampa.exe" [2003-12-13 33792]
"PSDrvCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-08-28 396800]
"CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616]
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-23 16:32]
.
2012-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-09 22:43]
.
2012-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-09 22:43]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2011-03-02 15:23	85232	----a-w-	c:\program files (x86)\Internet Download Manager\IDMShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-03-30 7574048]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-03-30 1833504]
"FijiKeyboard"="c:\acer\Preload\Autorun\DRV\FIJI Keyboard\ABoard.exe" [2008-09-18 79416]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.free.fr/
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = hxxp://http=127.0.0.1:57838
IE: Barre RoboForm - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Enregistrer le formulaire - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Personnaliser le menu - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: Tout télécharger avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dllink.htm
IE: Télécharger avec IDM - c:\program files (x86)\Internet Download Manager\IEExt.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlfvideo.htm
IE: Télécharger tous les liens avec IDM - c:\program files (x86)\Internet Download Manager\IEGetAll.htm
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files (x86)\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\users\clement\AppData\Roaming\Mozilla\Firefox\Profiles\j6x47whq.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-vShare.tv plugin - c:\program files (x86)\vShare.tv plugin\uninst.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msiserver]
"ImagePath"="%systemroot%\system32\msiexec /V"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3134296232-2412903082-1817574899-1000_Classes\Wow6432Node\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
@Allowed: (Read) (RestrictedCode)
"scansk"=hex(0):de,ea,b6,f3,f5,c8,35,ea,1c,04,32,bf,68,c0,f6,e4,6c,73,c6,97,23,
   1c,4b,dc,50,91,51,d8,3d,80,ec,7f,56,75,7e,da,dc,13,65,7f,00,00,00,00,00,00,\
.
[HKEY_USERS\S-1-5-21-3134296232-2412903082-1817574899-1000_Classes\Wow6432Node\CLSID\{feed447b-c7fd-4711-b449-d583c2ad1017}]
@Denied: (Full) (Everyone)
@Allowed: (Read) (RestrictedCode)
"Model"=dword:00000105
"Therad"=dword:00000027
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,85,b1,12,f9,90,dd,23,a1,c7,5e,4d,58,ed,39,ae,96,93,c0,68,3f,8b,b1,\
.
Heure de fin: 2012-11-26  06:32:13
ComboFix-quarantined-files.txt  2012-11-26 05:32
ComboFix2.txt  2012-11-23 22:37
.
Avant-CF: 25 589 202 944 octets libres
Après-CF: 25 246 072 832 octets libres
.
- - End Of File - - A896B36B4B2392C52464E4D809D69912

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: Folder:: c:\programdata\Local Settings c:\users\clement\AppData\Roaming\Hofyip c:\users\clement\AppData\Roaming\Tagy c:\users\clement\AppData\Local\ExeOutput DDs:: uInternet Settings,ProxyOverride = uInternet Settings,ProxyServer = hxxp://http=127.0.0.1:57838 RegLock:: [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msiserver] [HKEY_USERS\S-1-5-21-3134296232-2412903082-1817574899-1000_Classes\Wow6432Node\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}] [HKEY_USERS\S-1-5-21-3134296232-2412903082-1817574899-1000_Classes\Wow6432Node\CLSID\{feed447b-c7fd-4711-b449-d583c2ad1017}] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Thorus12 · Answer

ComboFix 12-11-26.02 - clement 27/11/2012   2:21.3.2 - x64
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3070.1570 [GMT 1:00]
Lancé depuis: c:\users\clement\Desktop\CboFix.exe
Commutateurs utilisés :: c:\users\clement\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Local Settings
c:\users\clement\AppData\Local\ExeOutput
c:\users\clement\AppData\Local\ExeOutput\UserApplication\{F0414460-6A0D-4663-BF03-F91A651C1DF2}\state.hed
c:\users\clement\AppData\Roaming\Hofyip
c:\users\clement\AppData\Roaming\Tagy
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-27 au 2012-11-27  ))))))))))))))))))))))))))))))))))))
.
.
2012-11-27 01:29 . 2012-11-27 01:32	--------	d-----w-	c:\users\clement\AppData\Local	emp
2012-11-27 01:29 . 2012-11-27 01:29	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-11-26 05:18 . 2012-11-26 05:32	--------	d-----w-	C:\CboFix
2012-11-23 17:53 . 2012-11-08 17:24	9125352	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{6003B26E-2C6D-42B0-A0F2-BAE88D3F6F37}\mpengine.dll
2012-11-23 01:06 . 2012-11-23 21:01	--------	d-----w-	C:\Pre_Scan
2012-11-18 11:07 . 2012-11-25 13:58	--------	d-----w-	c:\users\UpdatusUser
2012-11-18 11:07 . 2012-11-18 11:08	--------	d-----w-	c:\program files (x86)\NVIDIA Corporation
2012-11-18 11:05 . 2012-10-10 20:24	52584	----a-w-	c:\windows\SysWow64\OpenCL.dll
2012-11-18 11:05 . 2012-10-10 20:23	60776	----a-w-	c:\windows\system32\OpenCL.dll
2012-11-18 11:04 . 2012-11-18 11:04	--------	d-----w-	c:\programdata\NVIDIA Corporation
2012-11-18 11:03 . 2012-11-18 11:07	--------	d-----w-	c:\program files\NVIDIA Corporation
2012-11-15 02:40 . 2012-09-25 16:31	91648	----a-w-	c:\windows\system32\synceng.dll
2012-11-15 02:40 . 2012-09-25 16:19	75776	----a-w-	c:\windows\SysWow64\synceng.dll
2012-11-15 02:26 . 2012-10-12 14:53	2769920	----a-w-	c:\windows\system32\win32k.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-15 11:03 . 2006-11-02 12:35	66395536	----a-w-	c:\windows\system32\mrt.exe
2012-10-22 02:06 . 2012-10-22 02:06	108008	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-22 02:06 . 2012-10-22 02:06	289768	----a-w-	c:\windows\system32\javaws.exe
2012-10-22 02:06 . 2012-10-22 02:06	189416	----a-w-	c:\windows\system32\javaw.exe
2012-10-22 02:06 . 2012-10-22 02:06	188904	----a-w-	c:\windows\system32\java.exe
2012-10-22 02:06 . 2012-09-15 16:28	916456	----a-w-	c:\windows\system32\deployJava1.dll
2012-10-22 02:06 . 2012-09-15 16:28	1034216	----a-w-	c:\windows\system32
pDeployJava1.dll
2012-10-10 20:23 . 2012-10-10 20:23	1867112	----a-w-	c:\windows\SysWow64
vcuvenc.dll
2012-10-10 20:23 . 2009-05-26 02:14	18252136	----a-w-	c:\windows\system32
vd3dumx.dll
2012-10-10 20:23 . 2012-10-10 20:23	1482600	----a-w-	c:\windows\system32
vdispgenco64.dll
2012-10-10 20:23 . 2012-10-10 20:23	6127464	----a-w-	c:\windows\SysWow64
vopencl.dll
2012-10-10 20:23 . 2012-10-10 20:23	2574696	----a-w-	c:\windows\SysWow64
vcuvid.dll
2012-10-10 20:23 . 2012-10-10 20:23	25256296	----a-w-	c:\windows\system32
vcompiler.dll
2012-10-10 20:23 . 2012-10-10 20:23	7414632	----a-w-	c:\windows\system32
vopencl.dll
2012-10-10 20:23 . 2009-05-26 02:14	2731880	----a-w-	c:\windows\system32
vapi64.dll
2012-10-10 20:23 . 2012-10-10 20:23	14922600	----a-w-	c:\windows\system32
vwgf2umx.dll
2012-10-10 20:23 . 2012-10-10 20:23	9146728	----a-w-	c:\windows\system32
vcuda.dll
2012-10-10 20:23 . 2012-10-10 20:23	7697768	----a-w-	c:\windows\SysWow64
vcuda.dll
2012-10-10 20:23 . 2012-10-10 20:23	2218344	----a-w-	c:\windows\system32
vcuvenc.dll
2012-10-10 20:23 . 2012-10-10 20:23	12501352	----a-w-	c:\windows\SysWow64
vwgf2um.dll
2012-10-10 20:22 . 2012-10-10 20:22	2428776	----a-w-	c:\windows\SysWow64
vapi.dll
2012-10-10 20:22 . 2012-10-10 20:22	26331496	----a-w-	c:\windows\system32
voglv64.dll
2012-10-10 20:22 . 2012-10-10 20:22	1760104	----a-w-	c:\windows\system32
vdispco64.dll
2012-10-10 20:22 . 2012-10-10 20:22	15309160	----a-w-	c:\windows\SysWow64
vd3dum.dll
2012-10-10 20:22 . 2012-10-10 20:22	2747240	----a-w-	c:\windows\system32
vcuvid.dll
2012-10-10 20:22 . 2012-10-10 20:22	19906920	----a-w-	c:\windows\SysWow64
voglv32.dll
2012-10-10 20:22 . 2012-10-10 20:22	13443944	----a-w-	c:\windows\system32\drivers
vlddmkm.sys
2012-10-10 20:22 . 2012-10-10 20:22	17559912	----a-w-	c:\windows\SysWow64
vcompiler.dll
2012-10-09 16:32 . 2012-08-23 23:08	696760	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-09 16:32 . 2011-08-07 13:29	73656	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-10-02 19:51 . 2009-04-19 20:51	3293544	----a-w-	c:\windows\system32
vsvc64.dll
2012-10-02 19:51 . 2009-04-19 20:51	6200680	----a-w-	c:\windows\system32
vcpl.dll
2012-10-02 19:50 . 2009-04-19 20:51	891240	----a-w-	c:\windows\system32
vvsvc.exe
2012-10-02 19:50 . 2009-04-19 20:51	63336	----a-w-	c:\windows\system32
vshext.dll
2012-10-02 19:50 . 2009-04-19 20:51	2557800	----a-w-	c:\windows\system32
vsvcr.dll
2012-10-02 19:50 . 2009-04-19 20:51	118120	----a-w-	c:\windows\system32
vmctray.dll
2012-10-02 12:15 . 2012-10-02 12:15	430952	----a-w-	c:\windows\SysWow64
vStreaming.exe
2012-09-29 18:54 . 2010-07-20 13:04	25928	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-13 13:45 . 2012-10-10 14:47	2048	----a-w-	c:\windows\system32	zres.dll
2012-09-13 13:28 . 2012-10-10 14:47	2048	----a-w-	c:\windows\SysWow64	zres.dll
2012-08-29 11:40 . 2012-10-10 12:19	4699520	----a-w-	c:\windows\system32
toskrnl.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files (x86)\Packard Bell\SetUpMyPC\SmpSys.exe" [2009-03-18 1160736]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-07-03 152064]
"RoboForm"="c:\program files (x86)\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2010-12-26 107000]
"Free Download Manager"="c:\program files (x86)\Free Download Manager\fdm.exe" [2010-04-28 3727411]
"Xvid"="c:\program files (x86)\Xvid\CheckUpdate.exe" [2011-01-17 8192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files (x86)\Winamp\winampa.exe" [2003-12-13 33792]
"PSDrvCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-08-28 396800]
"CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616]
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-23 16:32]
.
2012-11-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-09 22:43]
.
2012-11-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-09 22:43]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2011-03-02 15:23	85232	----a-w-	c:\program files (x86)\Internet Download Manager\IDMShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-03-30 7574048]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-03-30 1833504]
"FijiKeyboard"="c:\acer\Preload\Autorun\DRV\FIJI Keyboard\ABoard.exe" [2008-09-18 79416]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.free.fr/
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Barre RoboForm - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Enregistrer le formulaire - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Personnaliser le menu - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files (x86)\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: Tout télécharger avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dllink.htm
IE: Télécharger avec IDM - c:\program files (x86)\Internet Download Manager\IEExt.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files (x86)\Free Download Manager\dlfvideo.htm
IE: Télécharger tous les liens avec IDM - c:\program files (x86)\Internet Download Manager\IEGetAll.htm
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files (x86)\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\users\clement\AppData\Roaming\Mozilla\Firefox\Profiles\j6x47whq.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-vShare.tv plugin - c:\program files (x86)\vShare.tv plugin\uninst.exe
.
.
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe
c:\program files (x86)\Avira\AntiVir Desktop\sched.exe
c:\program files (x86)\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\HidService.exe
c:\program files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\SysWOW64\IoctlSvc.exe
c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
c:\program files (x86)\TomTom HOME 2\TomTomHOMEService.exe
c:\acer\Preload\Autorun\DRV\Fiji Keyboard\AOSD.exe
c:\windows\SysWOW64\PSDrvCheck.exe
c:\program files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
.
**************************************************************************
.
Heure de fin: 2012-11-27  02:38:26 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-11-27 01:38
ComboFix2.txt  2012-11-26 05:32
ComboFix3.txt  2012-11-23 22:37
.
Avant-CF: 24 609 316 864 octets libres
Après-CF: 24 579 391 488 octets libres
.
- - End Of File - - 8162168F1CC36565D4340D30A96BE856

g3n-h@ckm@n · Answer

ok des soucis persistent ?

Thorus12 · Answer

J'ai toujours encore ce message de confirmation de fermeture qui apparaît de temps en temps et lorsque je lance Roguekiller juste après, il me trouve des choses. Voici le dernier: RogueKiller V8.3.1 [Nov 20 2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version Demarrage : Mode normal Utilisateur : clement [Droits d'admin] Mode : Suppression -- Date : 27/11/2012 23:49:10 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HDT721032SLA SCSI Disk Device +++++ --- User --- [MBR] c8e6d933b68308de78259955153b3d56 [BSP] 520551a1d32b5cbebba490a2a4963a69 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30722048 | Size: 145146 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 327981056 | Size: 145097 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_27112012_234910.txt >> RKreport[1]_S_27112012_234901.txt ; RKreport[2]_D_27112012_234910.txt

g3n-h@ckm@n · Answer

on s'en fout de ca

je comprends pas pourquoi tu t'evertues à lancer roguekiller tous les quarts d'heure ?

Trojan downloader, crss.exe

25 réponses

Votre réponse

Discussions similaires

Newsletters