Trojan win32 sirefef-ZT Dell 1557
antoinearchi
Messages postés
13
Statut
Membre
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Pas plus tard qu'il y a un instant, l'ordinateur de mon frère s'est encombré d'un : trojan win32 sirefef-ZT détécté par avast antivirus.
Actuellement le pc est mode sans echec car il reste bloqué sur la page bienvenue de windows lors du démarrage normal. Le pc est un pc portable studio 1557, windows 7 professionnel 64bits, i7 a 1,60ghz , 4go de ram ...
J'ai consulté divers annonce à propos de ce trojan, les manipulations à faire etaient indiquées par une bonne âme passagère qui savent vraissembablement comment s'y prendre :). J'ai également noté que ces dernieres sont spécifiques à chaque ordinateur et inféctions, c'est pourquoi je me permet de créer un nouveau post !
Cependant, j'ai entammé le travail en desinstallant avast et en installant le logiciel combofix (qui apparaissait souvent en premiere ligne des manip à faire), j'ai son rapport d'analyse sur le bureau.
J'attends impatiemment un confirmé pour son aide ;), merci !
Pas plus tard qu'il y a un instant, l'ordinateur de mon frère s'est encombré d'un : trojan win32 sirefef-ZT détécté par avast antivirus.
Actuellement le pc est mode sans echec car il reste bloqué sur la page bienvenue de windows lors du démarrage normal. Le pc est un pc portable studio 1557, windows 7 professionnel 64bits, i7 a 1,60ghz , 4go de ram ...
J'ai consulté divers annonce à propos de ce trojan, les manipulations à faire etaient indiquées par une bonne âme passagère qui savent vraissembablement comment s'y prendre :). J'ai également noté que ces dernieres sont spécifiques à chaque ordinateur et inféctions, c'est pourquoi je me permet de créer un nouveau post !
Cependant, j'ai entammé le travail en desinstallant avast et en installant le logiciel combofix (qui apparaissait souvent en premiere ligne des manip à faire), j'ai son rapport d'analyse sur le bureau.
J'attends impatiemment un confirmé pour son aide ;), merci !
A voir également:
- Trojan win32 sirefef-ZT Dell 1557
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Clavier verrouillé dell - Guide
- Zt za telegram - Accueil - Outils
- Entrée en economiser puissance dell - Forum Ecran
- Virus trojan al11 ✓ - Forum Virus
17 réponses
ok ^^ ouai :
ComboFix 12-11-26.02 - HUGO 1 26/11/2012 23:08:40.1.8 - x64 NETWORK
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.4084.3214 [GMT 1:00]
Lancé depuis: c:\users\HUGO 1\Desktop\ComboFix.exe
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\OfferBox
c:\program files (x86)\OfferBox\help.url
c:\program files (x86)\OfferBox\home.url
c:\program files (x86)\OfferBox\res\about_bk.bmp
c:\program files (x86)\OfferBox\res\Language.xml
c:\program files (x86)\OfferBox\res\loader.gif
c:\program files (x86)\OfferBox\search.url
c:\users\HUGO 1\AppData\Local\assembly\tmp
c:\users\HUGO 1\AppData\Roaming\cacaoweb
c:\users\HUGO 1\AppData\Roaming\cacaoweb\cacaoweb.exe
c:\users\HUGO 1\AppData\Roaming\cacaoweb\npdfile.dat
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0A236C54E8138CB0D964322DBAC1A503.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0BABF894E35353BFA3B931FA94C13D1F.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0E1ACF3C460491B6F78AA65EEDF10912.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0E6F6846A63824F3EDCA0BA6A6F5CFCD.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0FAC4A7048668B6BE37E513D8CBCA027.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating288FD409574DC95B5BB792917615A47D.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating36746F10C6962C62EA89343EA2367B31.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating3BD6D4628AE2E38DAABA33B7626BE3E4.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating43D25B142E3138B0AE7874519035F628.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating49052EFDC3A2B319A8EB78E482DBAA71.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating56FE55B575EA7E48894898CCFD918CB1.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating67927B7FA239FA3674A23B0097928B85.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating77AC405368EB129C027BB1B7E86FEAD6.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating9B1F225C6DE40609117532A51DA315C0.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingC0DB5C79D22409831CBC2E99ACC86DF4.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingD36AD6504DBF509017F27F10A423358D.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingD5E68EC42B246B7036083C704714E4C9.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingDB56DFAB9EA7F78FAC20CE468CB1EC17.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingE0DC123EA8776DD0C5DB141AB2952C3C.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingFDAB58458BB2677913CBBB1A7B6A06F2.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\storage.db
c:\users\HUGO 1\AppData\Roaming\OfferBox
c:\users\HUGO 1\AppData\Roaming\OfferBox\config.dat
c:\users\HUGO 1\AppData\Roaming\OfferBox\config.xml
c:\users\HUGO 1\AppData\Roaming\OfferBox\offerboxffx@offerbox.com\chrome\OfferBoxffx.jar
c:\users\HUGO 1\AppData\Roaming\OfferBox\offerboxffx@offerbox.com\components\DataXPCOM_TypeLib.xpt
c:\users\HUGO 1\AppData\Roaming\OfferBox\offerboxffx@offerbox.com\install.rdf
c:\users\HUGO 1\AppData\Roaming\WTouch
c:\users\HUGO 1\AppData\Roaming\WTouch\WTouch.xml
c:\users\HUGO 1\appinfo.exe
c:\users\HUGO 1\errorlog.tmp
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\L\00000004.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\L\201d3dde
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\00000004.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\00000008.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\000000cb.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\80000000.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\80000032.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\80000064.@
c:\windows\security\Database\tmp.edb
c:\windows\SysWow64\URTTemp
c:\windows\SysWow64\URTTemp\regtlib.exe
.
Une copie infectée de c:\windows\system32\services.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-10-26 au 2012-11-26 ))))))))))))))))))))))))))))))))))))
.
.
2012-11-26 20:37 . 2012-11-26 20:37 -------- d-----w- c:\program files\CCleaner
2012-11-26 20:02 . 2012-11-26 20:02 -------- d-sh--w- c:\windows\SysWow64\%APPDATA%
2012-11-26 19:32 . 2012-11-26 19:32 210944 ----a-w- c:\programdata\Microsoft\Media Tools\temp\tmp7A43.exe
2012-11-26 19:31 . 2012-11-26 19:31 220160 ----a-w- c:\programdata\Microsoft\Media Tools\MediaIconsOverlays.dll
2012-11-26 19:31 . 2012-11-26 20:14 -------- d-----w- c:\program files (x86)\Mega Codec Pack
2012-11-23 12:16 . 2012-11-08 17:24 9125352 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AF6F2745-1324-4446-BBC9-8FAC5890A25C}\mpengine.dll
2012-11-18 16:53 . 2012-11-18 16:53 -------- d-----w- c:\programdata\REVOLT
2012-11-18 16:41 . 2012-11-18 16:41 -------- d-----w- c:\program files (x86)\Games
2012-11-17 02:24 . 2012-07-26 05:04 2560 ----a-w- c:\windows\system32\drivers\fr-FR\wdf01000.sys.mui
2012-11-17 02:24 . 2012-07-26 04:55 785512 ----a-w- c:\windows\system32\drivers\Wdf01000.sys
2012-11-17 02:24 . 2012-07-26 04:55 54376 ----a-w- c:\windows\system32\drivers\WdfLdr.sys
2012-11-17 02:24 . 2012-07-26 02:36 9728 ----a-w- c:\windows\system32\Wdfres.dll
2012-11-17 02:04 . 2012-07-26 03:08 84992 ----a-w- c:\windows\system32\WUDFSvc.dll
2012-11-17 02:04 . 2012-07-26 02:26 87040 ----a-w- c:\windows\system32\drivers\WUDFPf.sys
2012-11-17 02:04 . 2012-07-26 02:26 198656 ----a-w- c:\windows\system32\drivers\WUDFRd.sys
2012-11-17 02:04 . 2012-07-26 03:08 194048 ----a-w- c:\windows\system32\WUDFPlatform.dll
2012-11-17 02:04 . 2012-07-26 03:08 229888 ----a-w- c:\windows\system32\WUDFHost.exe
2012-11-17 02:04 . 2012-07-26 03:08 744448 ----a-w- c:\windows\system32\WUDFx.dll
2012-11-17 02:04 . 2012-07-26 03:08 45056 ----a-w- c:\windows\system32\WUDFCoinstaller.dll
2012-11-12 01:20 . 2012-11-12 01:20 -------- dc-h--w- c:\programdata\{7707EA53-E29B-48FC-B28B-C8EE171EA0EB}
2012-11-12 01:19 . 2012-11-12 01:19 -------- d-----w- c:\program files\Common Files\Native Instruments
2012-11-12 01:19 . 2012-11-12 01:19 -------- d-----w- c:\program files (x86)\Common Files\Native Instruments
2012-11-12 01:19 . 2012-11-12 01:19 -------- d-----w- c:\programdata\Native Instruments
2012-11-12 01:19 . 2012-11-12 01:19 -------- d-----w- c:\program files\Native Instruments
2012-10-30 19:56 . 2012-10-30 19:56 -------- d-----w- c:\program files (x86)\2K Games
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-17 02:05 . 2010-08-30 13:07 66395536 ----a-w- c:\windows\system32\MRT.exe
2012-09-14 19:19 . 2012-10-10 09:22 2048 ----a-w- c:\windows\system32\tzres.dll
2012-09-14 18:28 . 2012-10-10 09:22 2048 ----a-w- c:\windows\SysWow64\tzres.dll
2012-08-31 18:19 . 2012-10-10 09:21 1659760 ----a-w- c:\windows\system32\drivers\ntfs.sys
2012-08-30 18:03 . 2012-10-10 09:16 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-08-30 17:12 . 2012-10-10 09:16 3914096 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2012-08-30 17:12 . 2012-10-10 09:16 3968880 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0MediaIconsOerlay]
@="{1EC23CFF-4C58-458f-924C-8519AEF61B32}"
[HKEY_CLASSES_ROOT\CLSID\{1EC23CFF-4C58-458f-924C-8519AEF61B32}]
2012-11-26 19:31 220160 ----a-w- c:\programdata\Microsoft\Media Tools\MediaIconsOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 94208 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 94208 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 94208 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 94208 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"Akamai NetSession Interface"="c:\users\HUGO 1\AppData\Local\Akamai\netsession_win.exe" [2012-10-09 4441920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-30 98304]
"FATrayAlert"="c:\program files (x86)\Sensible Vision\Fast Access\FATrayMon.exe" [2009-06-24 95496]
"Dell Webcam Central"="c:\program files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" [2009-06-24 409744]
"DellSupportCenter"="c:\program files (x86)\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2009-10-03 38768]
"Acrobat Assistant 8.0"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2009-10-02 640376]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-03-17 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS6ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-03-09 1073312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe"="c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe" [2011-09-18 560128]
.
c:\users\hugo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files (x86)\Microsoft Office\Office12\ONENOTEM.EXE [N/A]
.
c:\users\HUGO 1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
appinfo.lnk - c:\users\HUGO 1\appinfo.exe [N/A]
Dropbox.lnk - c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Serveur réseau.lnk - c:\program files (x86)\WIBUKEY\Server\WkSvMgr.exe [N/A]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-9-21 1316192]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FastAccess]
2009-06-24 22:31 140552 ----a-w- c:\program files (x86)\Sensible Vision\Fast Access\FALogNot.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli FAPassSync
.
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 27136]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-07-29 203264]
S3 Acceler;Accelerometer Service;c:\windows\system32\DRIVERS\Acceler.sys [2009-07-24 23912]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-18 12:44]
.
2012-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-18 12:44]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 97792 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 97792 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 97792 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 97792 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2009-06-29 444416]
"Broadcom Wireless Manager UI"="c:\program files\Dell\Dell Wireless WLAN Card\WLTRAY.exe" [2009-07-17 4968960]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-04-04 446392]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=c:\windows\System32\acaptuser64.dll
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.jerecherche.org
uDefault_Search_URL = hxxp://www.jerecherche.org/keyword/
uSearchMigratedDefaultURL = hxxp://www.jerecherche.org
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Consulter les dictionnaires (SYSTRAN) - c:\program files (x86)\SYSTRAN\6\\GUIres.dll/lookup.js
IE: Convertir au format Adobe PDF - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
IE: Traduire (SYSTRAN) - c:\program files (x86)\SYSTRAN\6\\GUIres.dll/translate.js
Trusted Zone: chat-land.org
TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
FF - ProfilePath - c:\users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2405725&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://jerecherche.org/?v=d
FF - prefs.js: keyword.URL - hxxp://www.jerecherche.org/result.php?&q=
.
.
------- Associations de fichier -------
.
.txt=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Wow6432Node-HKCU-Run-AdobeBridge - (no file)
Wow6432Node-HKCU-Run-cacaoweb - c:\users\HUGO 1\AppData\Roaming\cacaoweb\cacaoweb.exe
Wow6432Node-HKLM-Run-FAStartup - (no file)
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
SafeBoot-mcmscsvc
SafeBoot-MCODS
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai]
"ServiceDll"="c:\program files (x86)\common files\akamai/netsession_win_ce5ba24.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-11-26 23:18:22
ComboFix-quarantined-files.txt 2012-11-26 22:18
.
Avant-CF: 190 018 371 584 octets libres
Après-CF: 190 576 324 608 octets libres
.
- - End Of File - - FB2F58F7AD3D52271A0F83FFD86E5A84
ComboFix 12-11-26.02 - HUGO 1 26/11/2012 23:08:40.1.8 - x64 NETWORK
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.4084.3214 [GMT 1:00]
Lancé depuis: c:\users\HUGO 1\Desktop\ComboFix.exe
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\OfferBox
c:\program files (x86)\OfferBox\help.url
c:\program files (x86)\OfferBox\home.url
c:\program files (x86)\OfferBox\res\about_bk.bmp
c:\program files (x86)\OfferBox\res\Language.xml
c:\program files (x86)\OfferBox\res\loader.gif
c:\program files (x86)\OfferBox\search.url
c:\users\HUGO 1\AppData\Local\assembly\tmp
c:\users\HUGO 1\AppData\Roaming\cacaoweb
c:\users\HUGO 1\AppData\Roaming\cacaoweb\cacaoweb.exe
c:\users\HUGO 1\AppData\Roaming\cacaoweb\npdfile.dat
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0A236C54E8138CB0D964322DBAC1A503.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0BABF894E35353BFA3B931FA94C13D1F.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0E1ACF3C460491B6F78AA65EEDF10912.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0E6F6846A63824F3EDCA0BA6A6F5CFCD.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating0FAC4A7048668B6BE37E513D8CBCA027.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating288FD409574DC95B5BB792917615A47D.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating36746F10C6962C62EA89343EA2367B31.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating3BD6D4628AE2E38DAABA33B7626BE3E4.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating43D25B142E3138B0AE7874519035F628.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating49052EFDC3A2B319A8EB78E482DBAA71.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating56FE55B575EA7E48894898CCFD918CB1.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating67927B7FA239FA3674A23B0097928B85.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating77AC405368EB129C027BB1B7E86FEAD6.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicating9B1F225C6DE40609117532A51DA315C0.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingC0DB5C79D22409831CBC2E99ACC86DF4.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingD36AD6504DBF509017F27F10A423358D.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingD5E68EC42B246B7036083C704714E4C9.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingDB56DFAB9EA7F78FAC20CE468CB1EC17.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingE0DC123EA8776DD0C5DB141AB2952C3C.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\replicatingFDAB58458BB2677913CBBB1A7B6A06F2.cacao
c:\users\HUGO 1\AppData\Roaming\cacaoweb\storage.db
c:\users\HUGO 1\AppData\Roaming\OfferBox
c:\users\HUGO 1\AppData\Roaming\OfferBox\config.dat
c:\users\HUGO 1\AppData\Roaming\OfferBox\config.xml
c:\users\HUGO 1\AppData\Roaming\OfferBox\offerboxffx@offerbox.com\chrome\OfferBoxffx.jar
c:\users\HUGO 1\AppData\Roaming\OfferBox\offerboxffx@offerbox.com\components\DataXPCOM_TypeLib.xpt
c:\users\HUGO 1\AppData\Roaming\OfferBox\offerboxffx@offerbox.com\install.rdf
c:\users\HUGO 1\AppData\Roaming\WTouch
c:\users\HUGO 1\AppData\Roaming\WTouch\WTouch.xml
c:\users\HUGO 1\appinfo.exe
c:\users\HUGO 1\errorlog.tmp
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\L\00000004.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\L\201d3dde
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\00000004.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\00000008.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\000000cb.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\80000000.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\80000032.@
c:\windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\80000064.@
c:\windows\security\Database\tmp.edb
c:\windows\SysWow64\URTTemp
c:\windows\SysWow64\URTTemp\regtlib.exe
.
Une copie infectée de c:\windows\system32\services.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-10-26 au 2012-11-26 ))))))))))))))))))))))))))))))))))))
.
.
2012-11-26 20:37 . 2012-11-26 20:37 -------- d-----w- c:\program files\CCleaner
2012-11-26 20:02 . 2012-11-26 20:02 -------- d-sh--w- c:\windows\SysWow64\%APPDATA%
2012-11-26 19:32 . 2012-11-26 19:32 210944 ----a-w- c:\programdata\Microsoft\Media Tools\temp\tmp7A43.exe
2012-11-26 19:31 . 2012-11-26 19:31 220160 ----a-w- c:\programdata\Microsoft\Media Tools\MediaIconsOverlays.dll
2012-11-26 19:31 . 2012-11-26 20:14 -------- d-----w- c:\program files (x86)\Mega Codec Pack
2012-11-23 12:16 . 2012-11-08 17:24 9125352 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AF6F2745-1324-4446-BBC9-8FAC5890A25C}\mpengine.dll
2012-11-18 16:53 . 2012-11-18 16:53 -------- d-----w- c:\programdata\REVOLT
2012-11-18 16:41 . 2012-11-18 16:41 -------- d-----w- c:\program files (x86)\Games
2012-11-17 02:24 . 2012-07-26 05:04 2560 ----a-w- c:\windows\system32\drivers\fr-FR\wdf01000.sys.mui
2012-11-17 02:24 . 2012-07-26 04:55 785512 ----a-w- c:\windows\system32\drivers\Wdf01000.sys
2012-11-17 02:24 . 2012-07-26 04:55 54376 ----a-w- c:\windows\system32\drivers\WdfLdr.sys
2012-11-17 02:24 . 2012-07-26 02:36 9728 ----a-w- c:\windows\system32\Wdfres.dll
2012-11-17 02:04 . 2012-07-26 03:08 84992 ----a-w- c:\windows\system32\WUDFSvc.dll
2012-11-17 02:04 . 2012-07-26 02:26 87040 ----a-w- c:\windows\system32\drivers\WUDFPf.sys
2012-11-17 02:04 . 2012-07-26 02:26 198656 ----a-w- c:\windows\system32\drivers\WUDFRd.sys
2012-11-17 02:04 . 2012-07-26 03:08 194048 ----a-w- c:\windows\system32\WUDFPlatform.dll
2012-11-17 02:04 . 2012-07-26 03:08 229888 ----a-w- c:\windows\system32\WUDFHost.exe
2012-11-17 02:04 . 2012-07-26 03:08 744448 ----a-w- c:\windows\system32\WUDFx.dll
2012-11-17 02:04 . 2012-07-26 03:08 45056 ----a-w- c:\windows\system32\WUDFCoinstaller.dll
2012-11-12 01:20 . 2012-11-12 01:20 -------- dc-h--w- c:\programdata\{7707EA53-E29B-48FC-B28B-C8EE171EA0EB}
2012-11-12 01:19 . 2012-11-12 01:19 -------- d-----w- c:\program files\Common Files\Native Instruments
2012-11-12 01:19 . 2012-11-12 01:19 -------- d-----w- c:\program files (x86)\Common Files\Native Instruments
2012-11-12 01:19 . 2012-11-12 01:19 -------- d-----w- c:\programdata\Native Instruments
2012-11-12 01:19 . 2012-11-12 01:19 -------- d-----w- c:\program files\Native Instruments
2012-10-30 19:56 . 2012-10-30 19:56 -------- d-----w- c:\program files (x86)\2K Games
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-17 02:05 . 2010-08-30 13:07 66395536 ----a-w- c:\windows\system32\MRT.exe
2012-09-14 19:19 . 2012-10-10 09:22 2048 ----a-w- c:\windows\system32\tzres.dll
2012-09-14 18:28 . 2012-10-10 09:22 2048 ----a-w- c:\windows\SysWow64\tzres.dll
2012-08-31 18:19 . 2012-10-10 09:21 1659760 ----a-w- c:\windows\system32\drivers\ntfs.sys
2012-08-30 18:03 . 2012-10-10 09:16 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-08-30 17:12 . 2012-10-10 09:16 3914096 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2012-08-30 17:12 . 2012-10-10 09:16 3968880 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0MediaIconsOerlay]
@="{1EC23CFF-4C58-458f-924C-8519AEF61B32}"
[HKEY_CLASSES_ROOT\CLSID\{1EC23CFF-4C58-458f-924C-8519AEF61B32}]
2012-11-26 19:31 220160 ----a-w- c:\programdata\Microsoft\Media Tools\MediaIconsOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 94208 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 94208 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 94208 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 94208 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"Akamai NetSession Interface"="c:\users\HUGO 1\AppData\Local\Akamai\netsession_win.exe" [2012-10-09 4441920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-30 98304]
"FATrayAlert"="c:\program files (x86)\Sensible Vision\Fast Access\FATrayMon.exe" [2009-06-24 95496]
"Dell Webcam Central"="c:\program files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" [2009-06-24 409744]
"DellSupportCenter"="c:\program files (x86)\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2009-10-03 38768]
"Acrobat Assistant 8.0"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2009-10-02 640376]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-03-17 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS6ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-03-09 1073312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe"="c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe" [2011-09-18 560128]
.
c:\users\hugo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files (x86)\Microsoft Office\Office12\ONENOTEM.EXE [N/A]
.
c:\users\HUGO 1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
appinfo.lnk - c:\users\HUGO 1\appinfo.exe [N/A]
Dropbox.lnk - c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Serveur réseau.lnk - c:\program files (x86)\WIBUKEY\Server\WkSvMgr.exe [N/A]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-9-21 1316192]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FastAccess]
2009-06-24 22:31 140552 ----a-w- c:\program files (x86)\Sensible Vision\Fast Access\FALogNot.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli FAPassSync
.
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 27136]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-07-29 203264]
S3 Acceler;Accelerometer Service;c:\windows\system32\DRIVERS\Acceler.sys [2009-07-24 23912]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-18 12:44]
.
2012-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-18 12:44]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 97792 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 97792 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 97792 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-14 22:58 97792 ----a-w- c:\users\HUGO 1\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2009-06-29 444416]
"Broadcom Wireless Manager UI"="c:\program files\Dell\Dell Wireless WLAN Card\WLTRAY.exe" [2009-07-17 4968960]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-04-04 446392]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=c:\windows\System32\acaptuser64.dll
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.jerecherche.org
uDefault_Search_URL = hxxp://www.jerecherche.org/keyword/
uSearchMigratedDefaultURL = hxxp://www.jerecherche.org
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Consulter les dictionnaires (SYSTRAN) - c:\program files (x86)\SYSTRAN\6\\GUIres.dll/lookup.js
IE: Convertir au format Adobe PDF - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
IE: Traduire (SYSTRAN) - c:\program files (x86)\SYSTRAN\6\\GUIres.dll/translate.js
Trusted Zone: chat-land.org
TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
FF - ProfilePath - c:\users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2405725&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://jerecherche.org/?v=d
FF - prefs.js: keyword.URL - hxxp://www.jerecherche.org/result.php?&q=
.
.
------- Associations de fichier -------
.
.txt=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Wow6432Node-HKCU-Run-AdobeBridge - (no file)
Wow6432Node-HKCU-Run-cacaoweb - c:\users\HUGO 1\AppData\Roaming\cacaoweb\cacaoweb.exe
Wow6432Node-HKLM-Run-FAStartup - (no file)
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
SafeBoot-mcmscsvc
SafeBoot-MCODS
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai]
"ServiceDll"="c:\program files (x86)\common files\akamai/netsession_win_ce5ba24.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-11-26 23:18:22
ComboFix-quarantined-files.txt 2012-11-26 22:18
.
Avant-CF: 190 018 371 584 octets libres
Après-CF: 190 576 324 608 octets libres
.
- - End Of File - - FB2F58F7AD3D52271A0F83FFD86E5A84
C'est du propre cet ordi ! :-P
Dis lui que chatland c'est pourri : https://forum.malekal.com/viewtopic.php?t=22652&start=
▶ Télécharge sur cette page: AdwCleaner (de Xplode)
▶ Lance-le
clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
Dis lui que chatland c'est pourri : https://forum.malekal.com/viewtopic.php?t=22652&start=
▶ Télécharge sur cette page: AdwCleaner (de Xplode)
▶ Lance-le
clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
# AdwCleaner v2.009 - Rapport créé le 27/11/2012 à 00:28:16
# Mis à jour le 24/11/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : HUGO 1 - HUGO-PC
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Users\HUGO 1\Desktop\AdwCleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Users\HUGO 1\AppData\Local\Babylon
Dossier Supprimé : C:\Users\HUGO 1\AppData\LocalLow\BabylonToolbar
Dossier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\Conduit
Dossier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\extensions\cacaoweb@cacaoweb.org
Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\Components\AskSearch.js
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\appinfo.lnk
Fichier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\searchplugins\jerecherche.xml
***** [Registre] *****
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.jerecherche.org --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Secondary_Page_URL] = hxxp://www.jerecherche.org --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page_bak] = hxxp://www.jerecherche.org --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Search_URL] = hxxp://www.jerecherche.org/keyword/ --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultName] = www.jerecherche.org --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultURL] = hxxp://www.jerecherche.org --> hxxp://www.google.com
-\\ Mozilla Firefox v12.0 (fr)
Nom du profil : default
Fichier : C:\Users\hugo\AppData\Roaming\Mozilla\Firefox\Profiles\xjg9oavw.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
Nom du profil : default
Fichier : C:\Users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\prefs.js
Supprimée : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Supprimée : user_pref("browser.search.defaultthis.engineName", "Radio Bar 1 Customized Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2405725&Sea[...]
Supprimée : user_pref("browser.startup.homepage", "hxxp://jerecherche.org/?v=d");
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.babTrack", "affID=18474");
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 7);
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Supprimée : user_pref("extensions.BabylonToolbar.hmpg", true);
Supprimée : user_pref("extensions.BabylonToolbar.id", "3c096d84000000000000701a0474da4b");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15289");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://isearch.babylon.com/?babsrc=SP_ss&q={searc[...]
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 7);
Supprimée : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.4.35.1018:34:04");
Supprimée : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.6");
Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 61848327);
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Supprimée : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar.srchPrvdr", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.4.35.10");
Supprimée : user_pref("extensions.BabylonToolbar.vrsnTs", "1.4.35.1018:34:04");
Supprimée : user_pref("keyword.URL", "hxxp://www.jerecherche.org/result.php?&q=");
Supprimée : user_pref("newtaburl.def_url", "hxxp://www.jerecherche.org/");
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\HUGO 1\AppData\Local\Google\Chrome\User Data\Default\Preferences
Supprimée [l.12] : homepage = "hxxp://jerecherche.org/?v=d",
Supprimée [l.1434] : homepage = "hxxp://jerecherche.org/?v=d",
*************************
AdwCleaner[S3].txt - [6123 octets] - [27/11/2012 00:28:16]
########## EOF - C:\AdwCleaner[S3].txt - [6183 octets] ##########
# Mis à jour le 24/11/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : HUGO 1 - HUGO-PC
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Users\HUGO 1\Desktop\AdwCleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Users\HUGO 1\AppData\Local\Babylon
Dossier Supprimé : C:\Users\HUGO 1\AppData\LocalLow\BabylonToolbar
Dossier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\Conduit
Dossier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\extensions\cacaoweb@cacaoweb.org
Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\Components\AskSearch.js
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\appinfo.lnk
Fichier Supprimé : C:\Users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\searchplugins\jerecherche.xml
***** [Registre] *****
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.jerecherche.org --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Secondary_Page_URL] = hxxp://www.jerecherche.org --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page_bak] = hxxp://www.jerecherche.org --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Search_URL] = hxxp://www.jerecherche.org/keyword/ --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultName] = www.jerecherche.org --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultURL] = hxxp://www.jerecherche.org --> hxxp://www.google.com
-\\ Mozilla Firefox v12.0 (fr)
Nom du profil : default
Fichier : C:\Users\hugo\AppData\Roaming\Mozilla\Firefox\Profiles\xjg9oavw.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
Nom du profil : default
Fichier : C:\Users\HUGO 1\AppData\Roaming\Mozilla\Firefox\Profiles\6ct7hwff.default\prefs.js
Supprimée : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Supprimée : user_pref("browser.search.defaultthis.engineName", "Radio Bar 1 Customized Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2405725&Sea[...]
Supprimée : user_pref("browser.startup.homepage", "hxxp://jerecherche.org/?v=d");
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.babTrack", "affID=18474");
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 7);
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Supprimée : user_pref("extensions.BabylonToolbar.hmpg", true);
Supprimée : user_pref("extensions.BabylonToolbar.id", "3c096d84000000000000701a0474da4b");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15289");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://isearch.babylon.com/?babsrc=SP_ss&q={searc[...]
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 7);
Supprimée : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.4.35.1018:34:04");
Supprimée : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.6");
Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 61848327);
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Supprimée : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar.srchPrvdr", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.4.35.10");
Supprimée : user_pref("extensions.BabylonToolbar.vrsnTs", "1.4.35.1018:34:04");
Supprimée : user_pref("keyword.URL", "hxxp://www.jerecherche.org/result.php?&q=");
Supprimée : user_pref("newtaburl.def_url", "hxxp://www.jerecherche.org/");
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\HUGO 1\AppData\Local\Google\Chrome\User Data\Default\Preferences
Supprimée [l.12] : homepage = "hxxp://jerecherche.org/?v=d",
Supprimée [l.1434] : homepage = "hxxp://jerecherche.org/?v=d",
*************************
AdwCleaner[S3].txt - [6123 octets] - [27/11/2012 00:28:16]
########## EOF - C:\AdwCleaner[S3].txt - [6183 octets] ##########
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bien un scan généraliste et si on a pas d'autres suprises c'est plié :)
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
● Uniquement en cas de problème de mise à jour:
● Télécharger mises à jour manuelles MBAM
● Exécute le fichier après l'installation de MBAM
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
● Uniquement en cas de problème de mise à jour:
● Télécharger mises à jour manuelles MBAM
● Exécute le fichier après l'installation de MBAM
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.11.26.10
Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
HUGO 1 :: HUGO-PC [administrateur]
Protection: Désactivé
27/11/2012 00:45:44
mbam-log-2012-11-27 (00-45-44).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 457139
Temps écoulé: 1 heure(s), 6 minute(s), 55 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 8
C:\Program Files (x86)\Mozilla Firefox\u\u991.exe (PUP.UltraReach) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Media Tools\temp\tmp7A43.exe (RootKit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Users\HUGO 1\appinfo.exe.vir (Troja.StartPage) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Users\HUGO 1\AppData\Roaming\cacaoweb\cacaoweb.exe.vir (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\00000008.@.vir (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\000000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\80000032.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\System32\services.exe.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
(fin)
www.malwarebytes.org
Version de la base de données: v2012.11.26.10
Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
HUGO 1 :: HUGO-PC [administrateur]
Protection: Désactivé
27/11/2012 00:45:44
mbam-log-2012-11-27 (00-45-44).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 457139
Temps écoulé: 1 heure(s), 6 minute(s), 55 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 8
C:\Program Files (x86)\Mozilla Firefox\u\u991.exe (PUP.UltraReach) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Media Tools\temp\tmp7A43.exe (RootKit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Users\HUGO 1\appinfo.exe.vir (Troja.StartPage) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Users\HUGO 1\AppData\Roaming\cacaoweb\cacaoweb.exe.vir (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\00000008.@.vir (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\000000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{99934ea1-5b62-2ea6-c7ba-0dafa76d820b}\U\80000032.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\System32\services.exe.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
(fin)
Hello,
Bah il a vidé la 40aine de combofix :-)
Le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
:-)
Bah il a vidé la 40aine de combofix :-)
Le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
:-)
en suivant la procédure, je n'arrive pas à installer java, un message d'erreur apparait en me disant qu'un fichier java.dll is corrupt. Idem pour desinstaller java 6 , impossible car message d'erreur :/
de plus, je crois qu'il m'est impossible de telecharger car je suis sur le reseau de l'ecole : par exemple deflix ou un message d'erreur apparait egalement lorsque je clique sur download : 176.31.101.106:80->172.16.12.21:49371 Download request is dropped due to exceeding max decompress layer limit.
Au fait c'est hugo le proprio de l'ordi :) ! Je reviens ce soir pour voir tout ca ! encore merci pour ton aide !
Au fait c'est hugo le proprio de l'ordi :) ! Je reviens ce soir pour voir tout ca ! encore merci pour ton aide !
Ok je suis chez moi, j'accede a l'installation de java mais nouveau probleme : impossible d'installer en mode sans echec ! :/
Impossible de desinstaller et reinstaller java , idem pour adobe reader et flashplayer :/ , j'ai tout de meme installer defix , voici son rapport :
# DelFix v6.2 - Rapport créé le 27/11/2012 à 18:05:23
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : HUGO 1 - HUGO-PC
# Exécuté depuis : C:\Users\HUGO 1\Desktop\delfix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\Qoobox
Supprimé : C:\MyHosts
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\Users\HUGO 1\Desktop\AdwCleaner.exe
Supprimé : C:\Users\HUGO 1\Desktop\AdwCleaner[S3].txt
Supprimé : C:\Users\HUGO 1\Desktop\ComboFix.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [1177 octets] - [27/11/2012 18:05:23]
########## EOF - C:\DelFix[S1].txt - [1301 octets] ##########
# DelFix v6.2 - Rapport créé le 27/11/2012 à 18:05:23
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : HUGO 1 - HUGO-PC
# Exécuté depuis : C:\Users\HUGO 1\Desktop\delfix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\Qoobox
Supprimé : C:\MyHosts
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\Users\HUGO 1\Desktop\AdwCleaner.exe
Supprimé : C:\Users\HUGO 1\Desktop\AdwCleaner[S3].txt
Supprimé : C:\Users\HUGO 1\Desktop\ComboFix.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [1177 octets] - [27/11/2012 18:05:23]
########## EOF - C:\DelFix[S1].txt - [1301 octets] ##########
le probleme c'est que je n'accede plus au mode normal , car il reste bloqué sur l'ecran "bienvenue", c'est pourquoi j'utilise le mode sans echec :/
salut ! bon mon ordi demarre en mode normal bien que la fenetre de lecran bienvenue soit plus longue qu'avant, j'ai fait ce que tu m'as dit le scan systeme de windows, des fichiers ont ete rerparer mais pas tous ! donc bah tanpis ^^ pour l'instant.
Pour le virus c'est donc ok il est effacé ? comment puis je le verifier une derniere fois ? scan avec MABM ?
En tout cas merci pour ton aide , jvais finnaliser la propreté de mon ordi par les points détaillé de ton tuto ;) !
Pour le virus c'est donc ok il est effacé ? comment puis je le verifier une derniere fois ? scan avec MABM ?
En tout cas merci pour ton aide , jvais finnaliser la propreté de mon ordi par les points détaillé de ton tuto ;) !
