Virus (?) conime.exe et ctfldr.exe Résolu/Fermé

Question

Bonjour, 

Voilà depuis plus d'une semaine j'ai deux programmes qui s'ouvrent d'eux-mêmes sur mon ordinateur, même quand je les referme (et pas seulement au démarrage). Il s'agit de conime.exe, nommé eMule dans le gestionnaire des processus, et ctfldr.ExE, nommé "Ares p2p for Windows". Le souci, c'est que je n'ai aucun de ces deux logiciels installés sur mon ordinateur, et que je ne peux pas donc les éradiquer. Malgré une analyse complète par l'antivirus Security Essentials, rien n'y fait.

Autre problème, peut-être lié : le Pare-feu Windows ne veut plus se lancer. J'ai comme erreur : "Le Pare-feu Windows ne peut pas modifier certains de vos paramètres. Code d'erreur 0x8007050a". J'ai même essayé de démarrer le service manuellement, impossible.

C'est pourquoi je fais appel à votre aide, si possible bien sûr, pour m'aider à résoudre ces problèmes plutôt embêtants.

Merci beaucoup d'avance,
Nolan

juju666 · Answer

Bonjour Nolan et bon dimanche.

Nous allons réaliser un diagnostic de ton PC : 

&#9654 Télécharge et installe ZHPDiag (de Nicolas Coolman) 

&#9654 Lance ZHPDiag ( Si tu es sous Vista, 7 ou 8, clic droit et "Exécuter en tant qu'administrateur" sur son icône)

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 Pour me transmettre ton rapport utilise le site FEC Upload et copie/colle le lien obtenu en échange

 A+

Nolan · Answer

Bonjour, merci beaucoup de ton aide.

J'ai effectué ce que tu m'as demandé. Voici les résultats de l'analyse :
https://forums-fec.be/upload/www/index.php?action=d&step=3

Bonne soirée,
Nolan

juju666 · Answer

Re Nolan,

Tu as copié/collé le lien de ta barre d'adresse après avoir cliqué sur "Lien de téléchargement : blablabla"

De ce fait le lien est invalide :(

Nolan · Answer

Ah oui en effet, désolé ^^

Voici un lien qui devrait fonctionner :
https://forums-fec.be/upload/www/?a=d&i=3763212132

Nolan

juju666 · Answer

:)

OK ils sont localisés : 

[MD5.E9F20C6E92F267AFC21A33FABC8F4BD8] - (.https://www.emule-project.net/home/perl/general.cgi?l=1 - eMule.) -- C:\Users\Public\AppData\eMuleMorphXT\conime.exe   [5709824] [PID.4936]

et 

[MD5.B9EEA5E3DCCD64E0C1E6EF85F0D670C9] - (.Ares Development Group - Ares p2p for windows.) -- C:\Users\Public\AppData\Aobj\ctfldr.exe   [3306496] [PID.3476]

Apparemment sont pas néfastes.

Désinstalle Adobe Reader 9.5.4  (pas à jour => faille de sécurité)
Pour la dernière version ça se passe là : http://aihdownload.adobe.com/bin/live/install_reader11_fr_mssd_aih.exe

~~

Divers logiciels potentiellement indésirables sur ton ordi.

Évite de télécharger sur softonic et 01.net/telecharger.com c'est pourri !

Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

voir aussi : http://tigzyrk.blogspot.be/2012/06/info-01net-comment-monetiser-sur-le-dos.html

Le mieux étant de se renseigner sur google de l'éditeur OFFICIEL du programme et de le télécharger sur leur site.
 
&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

A+

Nolan · Answer

Le fait c'est que ces logiciels s'ouvrent tout seul, quand je les ferme (via le gestionnaire des tâches, en arrêtant le processus), 10 minutes plus tard (ou peut-être plus d'ailleurs je n'ai pas vérifié) ils se rouvrent. En plus ils sont assez bien cachés sur mon ordi, c'est pour ça que je pensais à un virus.

J'ai installé la dernière version d'Adobe Reader.

Merci pour les conseils et la lecture à propos des téléchargements de logiciel. En général je m'arrange pour télécharger sur le site des éditeurs, mais c'est vrai qu'il m'arrive d'utiliser des sites genre 01.net. Après la lecture du 2e article que tu m'as donné à lire, c'est sûr que ça donne moins envie... Je me demande comment ça se fait que ce genre d'arnaque soit légal...

J'ai téléchargé et lancé ADwcleaner, voilà le rapport :
https://forums-fec.be/upload/www/?a=d&i=7506968847

Merci encore beaucoup pour ton aide
Nolan

juju666 · Answer

Nolan,

Après relecture de ton rapport je viens de constater ceci : 

O41 - Driver:  ({63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}) . (...) - C:\Users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.sys
 
 Ce qui pourrait en soi être un rootkit.

Mais j'ai oublié le plus important, c'est que tu tronques tes rapports pour des activités, disons-le clairement, illégales.

Quand je vois cet extrait de ton rapport : 

---\ Crack & Keygen Files (O82)
-429A-BC81-294435B55E1D} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
O69 - SBI: SearchScopes [HKCU] {67A2568C-7A0A-4EED-AECC-B5405DE63B64} - (Google) - https://www.google.com/?gws_rd=ssl
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} - (Google) - https://www.google.com/?gws_rd=ssl
O69 - SBI: SearchScopes [HKCU] {c99fdc39-a1ae-4b24-8d71-e5274f8d7c54} - (Private Search) - https://www.hotspotshield.com/
~ Scan Keys in 00mn 00s

J'ai envie de rire, d'autant plus que normalement 6 lignes avaient été découvertes par le module 082 et que là tu n'en a remis que 3 et une demi.

Tu pratiques le P2P (emule, µtorrent), ces logiciels en eux-même ne sont pas illégaux mais quand à l'utilisation ...

Si tu continue ainsi, on ne te viendra plus en aide ("qui sème le vent récolte la tempête").

~~

Lis bien les instructions afin de configurer correctement le logiciel.

&#9654 Télécharge et lance TDSSKiller.

&#9654 Clique sur Change parameters
&#x25CF Cocher la case Loaded modules. Le message Reboot is required s'affiche.
&#x25CF Il faut le valider en cliquant sur Reboot now.
&#x25CF Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
&#x25CF L'outil TDSSKiller se relance.

&#9654 Cliquer de nouveau sur Change parameters.
&#x25CF Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
&#x25CF Valider par OK 

&#9654 Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.

&#x25CF Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
&#x25CF Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
&#x25CF Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
&#x25CF Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
&#x25CF Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut. 

&#9654 Si l'outil te le demande, redémarre pour finir le nettoyage.

&#9654 Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

&#9654 Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.

A+

Nolan · Answer

Rassure-toi, mon but n'était pas d'interférer avec ce que tu fais, mais d'éviter un débat sur le téléchargement illégal. Si tu y tiens je peux quand même te donner les 6 lignes manquantes.

Voilà le rapport de TDSSKiller, il n'y a eu que des "Suspicious file" et j'ai laissé l'option "Skip" :
https://forums-fec.be/upload/www/?a=d&i=0793319652

juju666 · Answer

Salut,

OK :)

Refais la même chose mais quand il détectera celui-ci : 

10:59:45.0115 4856  [ 66012D9FAB9B787E928203FC142F86A0 ] {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75} C:\Users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.sys
10:59:45.0162 4856  {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75} ( UnsignedFile.Multi.Generic ) - warning
10:59:45.0162 4856  {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75} - detected UnsignedFile.Multi.Generic (1)

Tu fais Delete.

Nolan · Answer

C'est fait, voici le rapport :
https://forums-fec.be/upload/www/?a=d&i=6656565966

juju666 · Answer

Super.

Refais-moi un ZHPDiag désormais.
N'oublie pas de tout cocher au tournevis ;)

Nolan · Answer

C'est fait, voici le rapport complet :
https://forums-fec.be/upload/www/?a=d&i=0833375848

À noter (si ça peut t'aider) que j'ai toujours le problème de conime.exe et ctfldr.exe. J'ai remarqué comment le "virus" opère : lorsque je met fin aux processus et que je supprime les fichiers concernés, après un temps indéterminé (plus de 30mn en fait), l'intégralité des fichiers est entièrement recopié au même endroit. J'ai regardé quel programme copiait ces fichiers, et l'origine vient de fichiers système et d'exécutables temporairement créés. Ensuite les deux exécutables sont lancés. J'ai bien regardé dans les programmes installés il n'y a ni eMule ni Arès (que je n'ai par ailleurs jamais utilisé...).

Nolan

juju666 · Answer

Le rootkit est revenu.

On va l'abattre autrement :)

&#9654 Télécharge ici :  RogueKiller  (choisis la version x64)
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA qui va apparaître puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
 
A+

Nolan · Answer

Voilà le rapport :

RogueKiller V8.5.2 _x64_ [Mar  9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Nolan [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:42:36
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 3 ¤¤¤
[DLL] rundll32.exe -- C:\Windows\SysWOW64\rundll32.exe : C:\Users\Nolan\AppData\Local\Temp\_132deb6_.ocx [x] -> TUÉ [TermProc]
[SUSP PATH] conime.exe -- C:\Users\Public\AppData\eMuleMorphXT\conime.exe [-] -> TUÉ [TermProc]
[SUSP PATH] ctfldr.ExE -- C:\Users\Public\AppData\Aobj\ctfldr.ExE [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 13 ¤¤¤
[STARTUP][BLACKLISTDLL] {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.lnk @Common : C:\Windows\System32\rundll32.exe|"C:\Users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.dll",AppStartup CommonStartup -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{780C1CF0-5D91-469B-8D88-DE511024C37E} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{9F7547AA-0DC6-4D70-9D11-97D11E9135C2} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{780C1CF0-5D91-469B-8D88-DE511024C37E} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{9F7547AA-0DC6-4D70-9D11-97D11E9135C2} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1       localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000BEVT-22A0RT0 +++++
--- User ---
[MBR] 53aa6fcd1210ecd3bfbc94a160ae8b0a
[BSP] 4b5e042791631ae37d5240b04f25deb8 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 26830848 | Size: 463838 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_11032013_134236.txt >>
RKreport[1]_S_11032013_134236.txt

juju666 · Answer

OK il l'a localisé, tu peux cliquer sur Suppression et poster le rapport.

Nolan · Answer

Voici le rapport de suppression :

RogueKiller V8.5.2 _x64_ [Mar  9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Nolan [Droits d'admin]
Mode : Suppression -- Date : 11/03/2013 15:55:22
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 11 ¤¤¤
[STARTUP][PREVRUN] {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.lnk @Common : C:\Windows\System32\rundll32.exe|"C:\Users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.dll",AppStartup CommonStartup [7] -> SUPPRIMÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{780C1CF0-5D91-469B-8D88-DE511024C37E} : NameServer (178.33.41.181,88.191.223.122) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{9F7547AA-0DC6-4D70-9D11-97D11E9135C2} : NameServer (178.33.41.181,88.191.223.122) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{780C1CF0-5D91-469B-8D88-DE511024C37E} : NameServer (178.33.41.181,88.191.223.122) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{9F7547AA-0DC6-4D70-9D11-97D11E9135C2} : NameServer (178.33.41.181,88.191.223.122) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1       localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000BEVT-22A0RT0 +++++
--- User ---
[MBR] 53aa6fcd1210ecd3bfbc94a160ae8b0a
[BSP] 4b5e042791631ae37d5240b04f25deb8 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 26830848 | Size: 463838 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_D_11032013_155522.txt >>
RKreport[1]_S_11032013_134236.txt ; RKreport[2]_S_11032013_151817.txt ; RKreport[3]_D_11032013_155522.txt

juju666 · Answer

Nolan,

1) Utilise l'option DNS RAZ de RogueKiller

2) Repasse un coup de TDSSKiller STP

Bonne soirée

Nolan · Answer

Et voilà les deux rapports :
https://forums-fec.be/upload/www/?a=d&i=7489424332
https://forums-fec.be/upload/www/?a=d&i=2629584470

Bonne soirée de même,
Nolan

juju666 · Answer

Re Nolan,

Bon il ne va plus nous enquiquiner longtemps celui-là !

&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

&#9654 Clic droit -> exécuter en tant qu'administrateur sur combofix renommé 

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur  
 
A+

Nolan · Answer

Bonjour,

ComboFix 13-03-11.01 - Nolan 12/03/2013   2:30.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.3956.2813 [GMT 1:00]
Lancé depuis: c:\users\Nolan\Desktop
olan.exe
AV: Microsoft Security Essentials *Disabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Microsoft Security Essentials *Disabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\programdata\AMMYY
c:\programdata\AMMYY\hr
c:\programdata\AMMYY\hr3
c:\programdata\AMMYY\settings3.bin
c:\users\Nolan\age_of_mythology_patch_v1.10_multi-langues_12429.exe
c:\users\Nolan\AppData\Roaming\mshiad.dll
c:\users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.dll
c:\users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.sys
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2013-02-12 au 2013-03-12  ))))))))))))))))))))))))))))))))))))
.
.
2013-03-12 01:41 . 2013-03-12 01:41	--------	d-----w-	c:\users\Default\AppData\Local	emp
2013-03-11 23:56 . 2013-02-08 00:28	9162192	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{8F6055D9-A4D4-4CEF-8A84-445311C1DC32}\mpengine.dll
2013-03-11 23:46 . 2013-03-11 23:46	208216	----a-w-	c:\windows\system32\drivers\05817895.sys
2013-03-11 19:53 . 2013-03-11 19:53	691568	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-03-11 19:53 . 2013-03-11 19:53	71024	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-03-11 10:57 . 2013-03-11 10:57	208216	----a-w-	c:\windows\system32\drivers\34010681.sys
2013-03-11 10:53 . 2013-03-11 10:53	--------	d-----w-	C:\TDSSKiller_Quarantine
2013-03-11 00:49 . 2013-03-11 00:49	--------	d-----w-	c:\users\Nolan\AppData\Roaming\Malwarebytes
2013-03-11 00:48 . 2013-03-11 00:48	--------	d-----w-	c:\programdata\Malwarebytes
2013-03-11 00:48 . 2012-12-14 15:49	24176	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-11 00:48 . 2013-03-11 00:49	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2013-03-11 00:48 . 2013-03-11 00:48	--------	d-----w-	c:\users\Nolan\AppData\Local\Programs
2013-03-11 00:05 . 2013-03-11 09:51	--------	d-----w-	c:\programdata\boost_interprocess
2013-03-10 22:30 . 2013-03-11 11:59	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2013-03-10 21:48 . 2013-03-11 11:59	--------	d-----w-	c:\program files (x86)\ZHPDiag
2013-03-10 21:48 . 2013-03-11 11:33	--------	d-----w-	C:\ZHP
2013-03-10 21:42 . 2013-01-08 22:01	768000	----a-w-	c:\program files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll
2013-03-10 21:42 . 2013-01-09 01:10	996352	----a-w-	c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-03-10 21:27 . 2013-03-10 21:27	--------	d-----w-	c:\windows\SysWow64\wbem\en-US
2013-03-10 21:27 . 2013-03-10 21:27	--------	d-----w-	c:\windows\system32\wbem\en-US
2013-03-10 20:03 . 2013-02-08 00:28	9162192	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-03-10 19:41 . 2013-03-10 19:41	89088	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2013-03-10 19:25 . 2012-11-22 09:50	92184	----a-w-	c:\programdata\Microsoft\BingDesktop\Updater\BingDesktopRestarter.exe
2013-03-10 19:09 . 2013-03-10 19:09	--------	d-----w-	c:\program files (x86)\Microsoft
2013-03-10 18:53 . 2012-08-24 18:13	154480	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2013-03-10 18:53 . 2012-08-24 18:09	458712	----a-w-	c:\windows\system32\drivers\cng.sys
2013-03-10 18:53 . 2012-08-24 18:05	340992	----a-w-	c:\windows\system32\schannel.dll
2013-03-10 18:53 . 2012-08-24 16:57	247808	----a-w-	c:\windows\SysWow64\schannel.dll
2013-03-10 18:53 . 2012-08-24 18:03	1448448	----a-w-	c:\windows\system32\lsasrv.dll
2013-03-10 18:53 . 2012-08-24 16:57	22016	----a-w-	c:\windows\SysWow64\secur32.dll
2013-03-10 18:53 . 2012-08-24 16:53	96768	----a-w-	c:\windows\SysWow64\sspicli.dll
2013-03-10 18:53 . 2012-05-04 09:59	514560	----a-w-	c:\windows\SysWow64\qdvd.dll
2013-03-10 18:53 . 2012-05-04 11:00	366592	----a-w-	c:\windows\system32\qdvd.dll
2013-03-06 21:55 . 2013-03-11 23:38	--------	d-----w-	c:\users\Nolan\AppData\Roaming\Mumble
2013-03-06 21:54 . 2013-03-06 21:55	--------	d-----w-	c:\program files (x86)\Mumble
2013-03-04 11:59 . 2013-03-11 15:28	334	----a-w-	c:\users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.pif
2013-02-27 02:01 . 2013-01-13 19:53	187392	----a-w-	c:\windows\SysWow64\UIAnimation.dll
2013-02-27 02:01 . 2013-01-13 19:24	221184	----a-w-	c:\windows\system32\UIAnimation.dll
2013-02-27 02:01 . 2013-01-04 06:11	2284544	----a-w-	c:\windows\SysWow64\msmpeg2vdec.dll
2013-02-27 02:01 . 2013-01-04 06:11	2776576	----a-w-	c:\windows\system32\msmpeg2vdec.dll
2013-02-27 02:01 . 2013-01-13 19:02	417792	----a-w-	c:\windows\SysWow64\WMPhoto.dll
2013-02-27 02:01 . 2013-01-13 18:32	465920	----a-w-	c:\windows\system32\WMPhoto.dll
2013-02-16 19:03 . 2013-02-16 19:03	--------	d-----w-	c:\program files (x86)\STARGATE
2013-02-13 17:49 . 2013-01-05 05:53	5553512	----a-w-	c:\windows\system32
toskrnl.exe
2013-02-13 17:49 . 2013-01-05 05:00	3967848	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2013-02-13 17:49 . 2013-01-05 05:00	3913064	----a-w-	c:\windows\SysWow64
toskrnl.exe
2013-02-13 17:49 . 2013-01-04 03:26	3153408	----a-w-	c:\windows\system32\win32k.sys
2013-02-13 17:48 . 2013-01-04 05:46	215040	----a-w-	c:\windows\system32\winsrv.dll
2013-02-13 17:48 . 2013-01-04 02:47	25600	----a-w-	c:\windows\SysWow64\setup16.exe
2013-02-13 17:48 . 2013-01-04 02:47	7680	----a-w-	c:\windows\SysWow64\instnm.exe
2013-02-13 17:48 . 2013-01-04 02:47	14336	----a-w-	c:\windows\SysWow64
tvdm64.dll
2013-02-13 17:48 . 2013-01-04 04:51	5120	----a-w-	c:\windows\SysWow64\wow32.dll
2013-02-13 17:48 . 2013-01-04 02:47	2048	----a-w-	c:\windows\SysWow64\user.exe
2013-02-13 17:48 . 2013-01-03 06:00	1913192	----a-w-	c:\windows\system32\drivers	cpip.sys
2013-02-13 17:48 . 2013-01-03 06:00	288088	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-04 21:49 . 2010-09-04 01:06	70004024	----a-w-	c:\windows\system32\MRT.exe
2013-01-30 10:53 . 2010-09-03 20:31	273840	------w-	c:\windows\system32\MpSigStub.exe
2013-01-20 14:59 . 2013-01-20 14:59	230320	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2013-01-20 14:59 . 2010-10-24 20:25	130008	----a-w-	c:\windows\system32\drivers\NisDrvWFP.sys
2013-01-04 04:43 . 2013-02-13 17:48	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2012-12-16 17:11 . 2012-12-23 13:04	46080	----a-w-	c:\windows\system32\atmlib.dll
2012-12-16 14:45 . 2012-12-23 13:04	367616	----a-w-	c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-23 13:04	295424	----a-w-	c:\windows\SysWow64\atmfd.dll
2012-12-16 14:13 . 2012-12-23 13:04	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
1998-04-26 22:00 . 1998-04-26 22:00	570128	----a-w-	c:\program files (x86)\Common Files\DAO350.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"="c:\program files (x86)\DAEMON Tools Pro\DTAgent.exe" [2011-08-17 4527424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-03-03 284696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2010-03-08 258560]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-04-08 908368]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-12-05 343168]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"BingDesktop"="c:\program files (x86)\Microsoft\BingDesktop\BingDesktop.exe" [2013-01-25 2127896]
.
c:\users\Nolan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-12-02 40448]
R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [2009-08-21 31744]
R3 dc3d;MS Hardware Device Detection Driver (USB);c:\windows\system32\DRIVERS\dc3d.sys [2012-11-01 75928]
R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872]
R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\Drivers\hcw95bda.sys [2009-07-06 658432]
R3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\DRIVERS\hcw95rc.sys [2009-07-06 19456]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-01-24 420864]
R3 ManyCam;ManyCam Virtual Webcam;c:\windows\system32\DRIVERS\mcvidrv_x64.sys [2012-01-11 34304]
R3 mcaudrv_simple;ManyCam Virtual Microphone;c:\windows\system32\drivers\mcaudrv_x64.sys [2012-02-22 28160]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-01-20 130008]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2013-01-27 379360]
R3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [2010-07-21 45456]
R3 qcusbser;ACER Android USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\qcusbser.sys [2009-08-14 120960]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\driversdpvideominiport.sys [2012-08-23 19456]
R3 SaiH0464;SaiH0464;c:\windows\system32\DRIVERS\SaiH0464.sys [2007-05-01 171144]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2012-08-23 57856]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2011-01-18 154256]
R3 VCam_WDM;Fake Webcam 7.2;c:\windows\system32\DRIVERS\VCam_WDM.sys [2012-05-25 104120]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-03 1255736]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2008-06-16 55024]
S0 sptd;sptd;c:\windows\SystemRoot\System32\Drivers\sptd.sys [x]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2011-01-18 226448]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2011-01-18 54864]
S2 AcerSyncSystemService;AcerSyncSystemService;c:\program files\Acer\AcerSync\AcerSyncSystemService.exe [2011-06-16 81304]
S2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-12-06 235520]
S2 BingDesktopUpdate;Bing Desktop Update service;c:\program files (x86)\Microsoft\BingDesktop\BingDesktopUpdater.exe [2013-01-25 166408]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-04-08 312400]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2010-02-05 865824]
S2 Greg_Service;GRegService;c:\program files (x86)\Packard Bell\Registration\GregHSRW.exe [2009-08-28 1150496]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-03 13336]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2010-03-08 250368]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2010-01-28 243232]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-12-05 95248]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2010-07-30 406056]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2011-01-18 173840]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-06 13:19	1630672	----a-w-	c:\program files (x86)\Google\Chrome\Application\25.0.1364.152\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2013-03-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-11 19:53]
.
2013-03-12 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2780777327-3945622715-1015961580-1001Core.job
- c:\users\Nolan\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-29 11:14]
.
2013-03-12 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2780777327-3945622715-1015961580-1001UA.job
- c:\users\Nolan\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-29 11:14]
.
2013-03-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-03 21:22]
.
2013-03-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-03 21:22]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2009-09-22 323584]
"PLFSetI"="c:\windows\PLFSetI.exe" [2010-02-26 206208]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2010-02-05 860192]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2010-07-21 2327952]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-12-10 9643552]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2011-08-10 1873256]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 1281512]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/ig
uLocal Page = c:\windows\system32\blank.htm
mDefault_Page_URL = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_lm98&r=27360910s4b6l0440z185f4691d26q
mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_lm98&r=27360910s4b6l0440z185f4691d26q
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = local
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.254
TCP: Interfaces\{420DBE7D-4F90-4F18-829F-4C5B7D115506}\B6A65702261647640223E213: NameServer = 178.33.41.181,88.191.223.122
FF - ProfilePath - c:\users\Nolan\AppData\Roaming\Mozilla\Firefox\Profiles\a54mqlrw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig
FF - prefs.js: network.proxy.ftp - 185.2.12.33
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 
FF - prefs.js: network.proxy.gopher_port - 0
FF - prefs.js: network.proxy.http - 185.2.12.33
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - 185.2.12.33
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 185.2.12.33
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
SafeBoot-67482140.sys
SafeBoot-70003572.sys
SafeBoot-94006587.sys
Toolbar-Locked - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-2780777327-3945622715-1015961580-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (S-1-5-21-2780777327-3945622715-1015961580-1001)
@Denied: (2) (LocalSystem)
"Progid"="ThunderbirdEML"
.
[HKEY_USERS\S-1-5-21-2780777327-3945622715-1015961580-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
.
**************************************************************************
.
Heure de fin: 2013-03-12  13:33:55 - La machine a redémarré
ComboFix-quarantined-files.txt  2013-03-12 12:33
.
Avant-CF: 132 414 910 464 octets libres
Après-CF: 128 365 236 224 octets libres
.
- - End Of File - - A787F9BD9BFC3CFD5D10E94C4F6C3530

juju666 · Answer

Bonjour Nolan, j'espère que tu vas bien. On va achever ses petits pions avec ce dernier script et ensuite on utilisera un scanner généraliste. __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: File:: c:\users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.pif C:\Users\Nolan\AppData\Local\Temp\5a73cd58.exe C:\Users\Nolan\AppData\Local\Temp\_132deb6_.ocx C:\Users\Nolan\AppData\Local\Temp\_132deb6_.msi Folder:: C:\Users\Public\AppData\eMuleMorphXT C:\Users\Public\AppData\Aobj ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt A+

Nolan · Answer

Voilà le rapport : 
https://forums-fec.be/upload/www/?a=d&i=5914854494 

PS : j'ai essayé de poster son contenu directement mais apparemment mon langage n'était pas correct, je te laisse deviner pourquoi :x

juju666 · Answer

Salut Nolan,

Heu :x oui en effet je comprends ... et je comprends mieux pourquoi ça s'accrochait autant également ...
En gros ton PC faisait partie d'un botnet (un réseau de PC) pour l'échange en P2P de fichiers pédopornographiques. A ta place j'irais dès que possible déposer une main courante voir même une plainte contre X à la gendarmerie pour ne pas t'attirer de soucis. 
 
L'infection est arrivé par le P2P justement, à toi de voir si tu continue ou pas cette pratique. Un peu de lecture à ce sujet : https://forum.malekal.com/viewtopic.php?t=3208&start=

~~

Comme promis le scan généraliste : 

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée. 
 
Bonne journée.

Nolan · Answer

Salut,

Voilà le rapport :
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.10.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Nolan :: NOLAN-PC [administrateur]

13/03/2013 13:23:45
mbam-log-2013-03-13 (13-23-45).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 571111
Temps écoulé: 2 heure(s), 9 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


En ce qui concerne l'envoi de fichiers illégaux, je vais déposer une main courante, je ne préfère pas avoir d'ennuis.

Merci, Nolan

juju666 · Answer

Re Nolan,

Oui c'est préférable tout de même, et au pire tu peux même donner le lien de la discussion.

Comment se porte le PC maintenant ? 

Relance OTL, clique sur Analyse rapide, et envoie le lien du rapport hébergé.
On va finaliser.

A+

Nolan · Answer

Je n'ai plus de problème avec ce fichu virus, il ne se relance plus et les fichiers ne réapparaissent plus, merci beaucoup :)

Par contre je ne me souviens pas que tu m'aies fait téléchargé OTL précédemment, c'est une erreur ou je dois le télécharger ?

Nolan

juju666 · Answer

Ah oui pardon on a utilisé ZHPDiag :)

Relance ZHPDiag coche tout au tournevis, clique sur la loupe et héberge le rapport ;)

Nolan · Answer

Voilà :
https://forums-fec.be/upload/www/?a=d&i=7084045248

Nolan

juju666 · Answer

Re Nolan,

Bien on va finaliser.

Copie ce texte :

[HKCU\Software\PopCap]   
O43 - CFD: 04/03/2012 - 17:33:55 - [30,809] ----D C:\ProgramData\PopCap Games 
[MD5.00000000000000000000000000000000] [APT] [{256765E4-77AA-4494-9770-72556F85A3CC}] (...) -- C:\Users\Nolan\Downloads\STARGATE.COLLECTIONS.TRUEFRENCH.DVDRIP.DIVX.DRAGON__NOIR.DZFR-TEAM\STARGATE_SGC.exe (.not file.)   [0]    
[MD5.00000000000000000000000000000000] [APT] [{ED7A1B6E-D230-413D-BF78-FB262E636354}] (...) -- C:\Users\Nolan\Downloads\setup-2.9.4389.exe (.not file.)   [0]
[HKCU\Software\YahooPartnerToolbar]  
O69 - SBI: SearchScopes [HKCU] {24CD0F9C-CD6B-429A-BC81-294435B55E1D} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis    
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] 
EMPTYTEMP
EMPTYCLSID

Lance ZHPFix avec un clic droit -> exécuter en tant quadministrateur.
Normalement le texte copié apparait, sinon colle-le.
Clique sur le bouton GO, confirme le nettoyage.
Poste le rapport qui apparait en fin de nettoyage.

~~

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :) 
 
Prudence sur le net à l'avenir. 

Bonne soirée

Nolan · Answer

Salut,

Voici le rapport :
Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : 
Run by Nolan at 14/03/2013 23:30:07
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\PopCap
ABSENT Key: HKCU\Software\YahooPartnerToolbar
ABSENT SearchScopes :{24CD0F9C-CD6B-429A-BC81-294435B55E1D}
ABSENT Key: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichier(s) ==========
SUPPRIME Temporaires Windows

========== Tache planifiée ==========
ABSENT Task: {256765E4-77AA-4494-9770-72556F85A3CC}
ABSENT Task: {ED7A1B6E-D230-413D-BF78-FB262E636354}


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
2 : Tache planifiée


End of clean in 00mn 05s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/03/2013 02:19:40 [37936]
C:\ZHP\ZHPFix[R2].txt - 14/03/2013 23:30:08 [1068]

C'est noté pour tes remarques. Je passe le sujet en résolu.
Merci encore pour ton aide ;)

Nolan

Virus (?) conime.exe et ctfldr.exe

30 réponses

Discussions similaires