Rapport après avoir eu Trojan Winlock : "Virus Gendarmerie"

[Résolu/Fermé]
Signaler
Messages postés
14
Date d'inscription
lundi 13 mai 2013
Statut
Membre
Dernière intervention
27 avril 2014
-
 Utilisateur anonyme -
rapport de malwarebytes après avoir été infecté par trojan winlock ( ou un cousin)
j'ai donc suivi les conseil de desinfection ici.
le probeleme semble résolut mais je post quand meme le rapport au cas ou.

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.13.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19393
Joëlle :: PC-DE-JOËLLE [administrateur]

Protection: Désactivé

13/05/2013 18:47:24
mbam-log-2013-05-13 (18-47-24).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 525259
Temps écoulé: 2 heure(s), 12 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 21
C:\ProgramData\08ri7.dat (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\e8vwi.dat (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Joëlle\AppData\Local\Temp\69685053.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Joëlle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\2c61b60a-57d6c044 (Trojan.FakeMS.PRGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Joëlle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\6d515efd-4bf9efe2 (Trojan.FakeMS.PRGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Joëlle\Desktop\RK_Quarantine\n.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
c:\users\joëlle\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\serviceprofiles\localservice\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\serviceprofiles\networkservice\appdata\local\temp\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\temp\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\users\joëlle\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Suppression au redémarrage.
c:\windows\serviceprofiles\localservice\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Suppression au redémarrage.
c:\windows\serviceprofiles\networkservice\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Suppression au redémarrage.
c:\windows\system32\config\systemprofile\appdata\local\syshost.exe (Exploit.Drop.GSLAD) -> Suppression au redémarrage.
c:\users\joëlle\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\users\public\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\serviceprofiles\localservice\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\serviceprofiles\networkservice\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\system32\config\systemprofile\syshost.exe (Exploit.Drop.GS) -> Suppression au redémarrage.
c:\windows\syshost.exe (Trojan.Downloader) -> Suppression au redémarrage.
C:\Users\Joëlle\Local Settings\Application Data\Temp\69685053.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

9 réponses


Bonsoir

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag

en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé,

Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »


Clique sur la loupe avec le signe + pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload
https://www.cjoint.com/


Regarde sur le bureau

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

@+

Messages postés
14
Date d'inscription
lundi 13 mai 2013
Statut
Membre
Dernière intervention
27 avril 2014

"""Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse."""

..........
je suis pas sur d'avoir compris.. est ce que c'est lien? :
(sur la page internet du site ou j'ai publier le rapport d'analyse)

"" https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130517_y15q11h13l13s10 ""


PS:
l'ordinateur n'est plus bloqué par le trojan mai le clavier, le pad et la connexion internet ne fonctionne plus, même avec le câble Ethernet branché..
(si je branche une sourie en usb, elle fonctionne mai pas un clavier)
info: probablement déjà diffusé dans un rapport mais au cas ou:
Pc portable ASUS Notebook X71Q Series.
Windows vista professionnel
Intel Pentium dual CPU T3400 2.16GHz
32bits
Messages postés
13229
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
25 juillet 2021
951
salut lol

tu t'infectes tous les 1/4 d' heures toi !

https://forums.commentcamarche.net/forum/affich-27800292-rapport-de-adwcleaner

Salut Gen ;-)

Laissons venir...

@+

Bonsoir

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+
Messages postés
14
Date d'inscription
lundi 13 mai 2013
Statut
Membre
Dernière intervention
27 avril 2014

sa marche je vais faire touts ca juste après la vérification du disque qui viens de ce lancer lors du redémarrage.
Messages postés
14
Date d'inscription
lundi 13 mai 2013
Statut
Membre
Dernière intervention
27 avril 2014

rapport
ComboFix 13-05-16.02 - Joëlle 17/05/2013 21:18:49.1.2 - x86
Microsoft® Windows Vista(TM) Professionnel 6.0.6002.2.1252.33.1036.18.3036.1283 [GMT 2:00]
Lancé depuis: c:\users\JoÙlle\Desktop\asdehi.exe
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Common Files\ASPG_icon.ico
c:\programdata\7ir80.pad
c:\programdata\iwv8e.pad
c:\windows\msvcr71.dll
c:\windows\system32\win32
c:\windows\system32\win32\APEX_Clothing_Legacy_x86.dll
c:\windows\system32\Win32\APEX_Clothing_x86.dll
c:\windows\system32\Win32\APEX_Destructible_Legacy_x86.dll
c:\windows\system32\Win32\APEX_Destructible_x86.dll
c:\windows\system32\win32\ApexFramework_x86.dll
c:\windows\system32\win32\binkw32.dll
c:\windows\system32\Win32\cudart32_30_9.dll
c:\windows\system32\Win32\dbghelp.dll
c:\windows\system32\Win32\EasyHook32.dll
c:\windows\system32\win32\libogg.dll
c:\windows\system32\win32\libresample.dll
c:\windows\system32\win32\libvorbis.dll
c:\windows\system32\Win32\libvorbisfile.dll
c:\windows\system32\win32\LightFX.dll
c:\windows\system32\Win32\Microsoft.VC90.CRT\Microsoft.VC90.CRT.manifest
c:\windows\system32\Win32\Microsoft.VC90.CRT\msvcm90.dll
c:\windows\system32\Win32\Microsoft.VC90.CRT\msvcp90.dll
c:\windows\system32\win32\Microsoft.VC90.CRT\msvcr90.dll
c:\windows\system32\Win32\nvtt.dll
c:\windows\system32\win32\NxCharacter.dll
c:\windows\system32\Win32\PhysXCooking.dll
c:\windows\system32\Win32\PhysXCore.dll
c:\windows\system32\Win32\PhysXDevice.dll
c:\windows\system32\win32\PhysXExtensions.dll
c:\windows\system32\win32\PhysXLoader.dll
c:\windows\system32\Win32\steam_api.dll
c:\windows\system32\Win32\Version.txt
c:\windows\system32\Win32\XComGame.com
c:\windows\system32\win32\XComGame.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_syshost32
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2013-04-17 au 2013-05-17 ))))))))))))))))))))))))))))))))))))
.
.
2013-05-17 17:19 . 2013-05-17 17:19 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2013-05-17 17:09 . 2013-05-17 17:09 60928 ----a-w- c:\windows\system32\drivers\52cc73baad2d49d7.sys
2013-05-17 15:41 . 2013-05-17 15:41 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2013-05-17 15:32 . 2013-05-17 15:41 -------- d-----w- C:\ZHP
2013-05-17 15:32 . 2013-05-17 15:41 -------- d-----w- c:\program files\ZHPDiag
2013-05-13 22:24 . 2013-05-09 08:59 29816 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2013-05-13 22:24 . 2013-05-09 08:59 368944 ----a-w- c:\windows\system32\drivers\aswSP.sys
2013-05-13 22:22 . 2013-05-09 08:59 204784 ----a-w- c:\windows\system32\drivers\aswNdis2.sys
2013-05-13 22:22 . 2013-05-09 08:59 104752 ----a-w- c:\windows\system32\drivers\aswFW.sys
2013-05-13 22:22 . 2013-05-09 08:59 765736 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2013-05-13 22:22 . 2013-05-09 08:59 56080 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2013-05-13 22:22 . 2013-05-09 08:59 49760 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2013-05-13 22:22 . 2013-05-09 08:59 21576 ----a-w- c:\windows\system32\drivers\aswKbd.sys
2013-05-13 22:22 . 2013-05-09 08:59 49376 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2013-05-13 22:22 . 2013-05-09 08:59 174664 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2013-05-13 22:22 . 2013-05-09 08:59 66336 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2013-05-13 22:22 . 2013-05-09 08:58 229648 ----a-w- c:\windows\system32\aswBoot.exe
2013-05-13 22:21 . 2013-05-09 08:58 41664 ----a-w- c:\windows\avastSS.scr
2013-05-13 22:21 . 2013-03-13 17:01 12112 ----a-w- c:\windows\system32\drivers\aswNdis.sys
2013-05-13 22:20 . 2013-05-13 22:20 -------- d-----w- c:\program files\AVAST Software
2013-05-13 22:19 . 2013-05-13 22:20 -------- d-----w- c:\programdata\AVAST Software
2013-05-13 16:46 . 2013-05-13 16:46 -------- d-----w- c:\users\Joëlle\AppData\Roaming\Malwarebytes
2013-05-13 16:45 . 2013-05-13 16:45 -------- d-----w- c:\programdata\Malwarebytes
2013-05-13 16:45 . 2013-05-13 16:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-05-13 16:45 . 2013-04-04 12:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-05-13 16:41 . 2013-05-13 16:41 61056 ----a-w- c:\windows\system32\drivers\78723490d2d30a19.sys
2013-05-13 16:25 . 2013-05-13 16:25 15616 ----a-w- c:\windows\system32\drivers\TrueSight.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-13 16:33 . 2010-06-24 10:33 22240 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2013-04-17 09:33 . 2013-04-17 09:33 130 ----a-w- c:\windows\DeleteOnReboot.bat
2008-07-02 02:28 . 2008-07-02 02:28 61440 ----a-w- c:\program files\Common Files\CPInstallAction.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-05-09 08:58 121968 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 00:08 143360 ----a-w- c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ApplePhotoStreams"="c:\program files\Common Files\Apple\Internet Services\ApplePhotoStreams.exe" [2012-12-17 59872]
"Facebook Update"="c:\users\Joëlle\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-11-05 138096]
"Steam"="c:\program files\Steam\steam.exe" [2013-03-29 1631144]
"iCloudServices"="c:\program files\Common Files\Apple\Internet Services\iCloudServices.exe" [2012-12-17 59872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControlUser"="c:\program files\ASUS\ATK Hotkey\HControlUser.exe" [2008-01-12 98304]
"ATKOSD2"="c:\program files\ASUS\ATKOSD2\ATKOSD2.exe" [2008-07-15 7651328]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 6266880]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1029416]
"ooquickpdfv7"="c:\windows\system32\oopmagent.exe" [2010-06-02 90112]
"Skytel"="Skytel.exe" [2008-06-25 1826816]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2009-11-11 1468256]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"TkBellExe"="c:\program files\real\realplayer\Update\realsched.exe" [2012-09-05 296096]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-04-04 446392]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS6ServiceManager"="c:\program files\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-03-09 1073312]
"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2011-09-05 36760]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2011-09-05 2904984]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-12-12 152544]
"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-05-09 4858968]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
OFFICE One Startup v7.lnk - c:\program files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe [2007-3-12 737800]
SketchBook Snapshot.lnk - c:\program files\Autodesk\SketchBookPro2011\SketchBookSnapshot.exe [2010-9-8 721408]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R4 52cc73baad2d49d7;syshost.exe;c:\windows\System32\Drivers\52cc73baad2d49d7.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2013-05-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2013-02-11 18:35]
.
2013-05-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2013-02-11 18:35]
.
2013-05-17 c:\windows\Tasks\User_Feed_Synchronization-{E76704B0-4878-45FB-9808-F72789E32422}.job
- c:\windows\system32\msfeedssync.exe [2012-12-12 07:12]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = <local>;*.local
uSearchAssistant = hxxp://www.google.com
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
DPF: Microsoft XML Parser for Java - file:///C:/Windows/Java/classes/xmldso.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKCU-Run-Akamai NetSession Interface - c:\users\Joëlle\AppData\Local\Akamai\netsession_win.exe
HKCU-Run-MobileDocuments - c:\program files\Common Files\Apple\Internet Services\ubd.exe
HKCU-Run-AdobeBridge - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-05-17 22:18
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
C:\ADSM_PData_0150
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_168_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_168_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(2712)
c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt.dll
c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
c:\program files\ASUS\ATK Hotkey\ASLDRSrv.exe
c:\windows\system32\WLANExt.exe
c:\program files\ATKGFNEX\GFNEXSrv.exe
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\AVAST Software\Avast\afwServ.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\windows\system32\Wacom_Tablet.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
c:\program files\ASUS\ATK Hotkey\MsgTranAgt.exe
c:\program files\ASUS\ATK Hotkey\HControl.exe
c:\program files\Wireless Console 2\wcourier.exe
c:\program files\ASUS\ASUS CopyProtect\aspg.exe
c:\program files\ASUS\ATK Hotkey\ATKOSD.exe
c:\program files\ASUS\ATK Hotkey\KBFiltr.exe
c:\program files\ASUS\ATK Hotkey\WDC.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\system32\WTablet\Wacom_TabletUser.exe
c:\windows\system32\Wacom_Tablet.exe
c:\windows\system32\conime.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
c:\program files\Windows Media Player\wmpnscfg.exe
.
**************************************************************************
.
Heure de fin: 2013-05-17 22:24:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2013-05-17 20:24
.
Avant-CF: 45 082 968 064 octets libres
Après-CF: 47 688 175 616 octets libres
.
- - End Of File - - 0DE8843909443DE7C2918629027E2197

Re

As tu noté une amélioration après redémarrage du PC?

merci

@+
Messages postés
14
Date d'inscription
lundi 13 mai 2013
Statut
Membre
Dernière intervention
27 avril 2014

Yep on dirais que c'est Clean!!
Merci beaucoup beaucoup!!
@+

Re

On finalise:

Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

Réactiver l'UAC
Supprimer les outils de désinfection (cocher par défaut)

Effectuer une sauvegarde du registre
Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


@+