Pbm cdncache1 / pub survey
Résolu/Fermé
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
-
19 août 2013 à 08:51
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 21 oct. 2013 à 14:10
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 21 oct. 2013 à 14:10
A voir également:
- Pbm cdncache1 / pub survey
- Youtube sans pub - Accueil - Streaming
- Netflix avec pub avis - Accueil - Streaming
- Stop pub gratuit - Télécharger - Divers Utilitaires
- Supprimer pub - Guide
- Bloqueur de pub youtube - Accueil - Streaming
26 réponses
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
19 août 2013 à 09:32
19 août 2013 à 09:32
Voici le rapport Adwcleaner :
# AdwCleaner v2.306 - Rapport créé le 19/08/2013 à 08:52:09
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Yves - TOYOTA
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Yves\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v23.0.1 (fr)
Fichier : C:\Documents and Settings\Yves\Application Data\Mozilla\Firefox\Profiles\6ogr76l2.default-1376408640765\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
-\\ Google Chrome v28.0.1500.95
Fichier : C:\Documents and Settings\Yves\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S8].txt - [391 octets] - [19/08/2013 08:49:43]
AdwCleaner[S9].txt - [1107 octets] - [19/08/2013 08:52:09]
########## EOF - C:\AdwCleaner[S9].txt - [1167 octets] ##########
Pour OTL les fichiers sont là :
https://pjjoint.malekal.com/files.php?id=20130819_n11x12q7n8s14
https://pjjoint.malekal.com/files.php?id=20130819_d8f9t6z6k8
Enfin, une dernière question : est ce que la clé de registre
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\8fff6471ea603aad
que je n'arrive pas à éliminer (les autorisations sont bouclées, et bien bouclées !!) a rapport avec cdncache ?
Merci à vous en tout cas. Bonne journée !
# AdwCleaner v2.306 - Rapport créé le 19/08/2013 à 08:52:09
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Yves - TOYOTA
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Yves\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v23.0.1 (fr)
Fichier : C:\Documents and Settings\Yves\Application Data\Mozilla\Firefox\Profiles\6ogr76l2.default-1376408640765\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
-\\ Google Chrome v28.0.1500.95
Fichier : C:\Documents and Settings\Yves\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S8].txt - [391 octets] - [19/08/2013 08:49:43]
AdwCleaner[S9].txt - [1107 octets] - [19/08/2013 08:52:09]
########## EOF - C:\AdwCleaner[S9].txt - [1167 octets] ##########
Pour OTL les fichiers sont là :
https://pjjoint.malekal.com/files.php?id=20130819_n11x12q7n8s14
https://pjjoint.malekal.com/files.php?id=20130819_d8f9t6z6k8
Enfin, une dernière question : est ce que la clé de registre
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\8fff6471ea603aad
que je n'arrive pas à éliminer (les autorisations sont bouclées, et bien bouclées !!) a rapport avec cdncache ?
Merci à vous en tout cas. Bonne journée !
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
19 août 2013 à 10:32
19 août 2013 à 10:32
Salut,
▶ Télécharge et lance TDSSKiller.
▶ Clique sur Change parameters
● Cocher la case Loaded modules. Le message Reboot is required s'affiche.
● Il faut le valider en cliquant sur Reboot now.
● Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
● L'outil TDSSKiller se relance.
▶ Cliquer de nouveau sur Change parameters.
● Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
● Valider par OK
▶ Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.
● Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
● Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
● Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
● Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
● Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
● Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut.
▶ Si l'outil te le demande, redémarre pour finir le nettoyage.
▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.
▶ Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.
▶ Télécharge et lance TDSSKiller.
▶ Clique sur Change parameters
● Cocher la case Loaded modules. Le message Reboot is required s'affiche.
● Il faut le valider en cliquant sur Reboot now.
● Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
● L'outil TDSSKiller se relance.
▶ Cliquer de nouveau sur Change parameters.
● Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
● Valider par OK
▶ Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.
● Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
● Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
● Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
● Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
● Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
● Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut.
▶ Si l'outil te le demande, redémarre pour finir le nettoyage.
▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.
▶ Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
19 août 2013 à 10:46
19 août 2013 à 10:46
Mouais je viens de voir sur les rapports t'as choppé ZeroAccess.
J'espère c'pas la toute dernière version car à ce jour y'a pas de solution contre celle-ci.
J'espère c'pas la toute dernière version car à ce jour y'a pas de solution contre celle-ci.
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
19 août 2013 à 17:41
19 août 2013 à 17:41
Merci beaucoup j'ai suivi tes instructions, et effectivement le 8fff6471ea603aad a été détecté
lien du rapport :
https://forums-fec.be/upload/www/?a=d&i=7186685806
J'iamgine que ca doit etre ok maintenant, je vais surveiller cela. Y'a que AVIRA qui s'est réveillé et aime pas TDSSKiller :p
Merci bcp en tout cas, vous etes balezes ! Thanks very much
lien du rapport :
https://forums-fec.be/upload/www/?a=d&i=7186685806
J'iamgine que ca doit etre ok maintenant, je vais surveiller cela. Y'a que AVIRA qui s'est réveillé et aime pas TDSSKiller :p
Merci bcp en tout cas, vous etes balezes ! Thanks very much
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
19 août 2013 à 23:51
19 août 2013 à 23:51
C'est pas fini mon ami.
Là on a viré du Necurs (je crois) mais y'a toujours ZeroAccess.
▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
Là on a viré du Necurs (je crois) mais y'a toujours ZeroAccess.
▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
20 août 2013 à 09:36
20 août 2013 à 09:36
Décidément !
Voici le rapport RogueKiller .. merci encore !!
RogueKiller V8.6.6 [Aug 19 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Yves [Droits d'admin]
Mode : Recherche -- Date : 08/20/2013 09:34:00
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\U [-] --> TROUVÉ
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6\U [-] --> TROUVÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L [-] --> TROUVÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6\L [-] --> TROUVÉ
[ZeroAccess][Fichier] Desktop.ini : C:\WINDOWS\assembly\GAC\Desktop.ini [-] --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7D4A29C)
[Address] SSDT[41] : NtCreateKey @ 0x80578ACE -> HOOKED (Unknown @ 0xF7D4A256)
[Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7D4A2A6)
[Address] SSDT[53] : NtCreateThread @ 0x80584D59 -> HOOKED (Unknown @ 0xF7D4A24C)
[Address] SSDT[63] : NtDeleteKey @ 0x8059978F -> HOOKED (Unknown @ 0xF7D4A25B)
[Address] SSDT[65] : NtDeleteValueKey @ 0x805983AE -> HOOKED (Unknown @ 0xF7D4A265)
[Address] SSDT[68] : NtDuplicateObject @ 0x8057F1A9 -> HOOKED (Unknown @ 0xF7D4A297)
[Address] SSDT[98] : NtLoadKey @ 0x805D5283 -> HOOKED (Unknown @ 0xF7D4A26A)
[Address] SSDT[122] : NtOpenProcess @ 0x8057F956 -> HOOKED (Unknown @ 0xF7D4A238)
[Address] SSDT[128] : NtOpenThread @ 0x805E4867 -> HOOKED (Unknown @ 0xF7D4A23D)
[Address] SSDT[177] : NtQueryValueKey @ 0x80572F2A -> HOOKED (Unknown @ 0xF7D4A2BF)
[Address] SSDT[193] : NtReplaceKey @ 0x806573A6 -> HOOKED (Unknown @ 0xF7D4A274)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 -> HOOKED (Unknown @ 0xF7D4A2B0)
[Address] SSDT[204] : NtRestoreKey @ 0x80656F3D -> HOOKED (Unknown @ 0xF7D4A26F)
[Address] SSDT[213] : NtSetContextThread @ 0x80636401 -> HOOKED (Unknown @ 0xF7D4A2AB)
[Address] SSDT[237] : NtSetSecurityObject @ 0x8059DDEB -> HOOKED (Unknown @ 0xF7D4A2B5)
[Address] SSDT[247] : NtSetValueKey @ 0x805800A4 -> HOOKED (Unknown @ 0xF7D4A260)
[Address] SSDT[255] : NtSystemDebugControl @ 0x80651C71 -> HOOKED (Unknown @ 0xF7D4A2BA)
[Address] SSDT[257] : NtTerminateProcess @ 0x8058E8D1 -> HOOKED (Unknown @ 0xF7D4A247)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7D4A2CE)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7D4A2D3)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: FUJITSU MHV2100BH PL +++++
--- User ---
[MBR] 5cb98ed542881b8c3aab9db3a6727305
[BSP] b3cb2aeec11e500b34471f3ef1b0dd24 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95142 Mo
1 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 194852385 | Size: 251 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_08202013_093400.txt >>
Voici le rapport RogueKiller .. merci encore !!
RogueKiller V8.6.6 [Aug 19 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Yves [Droits d'admin]
Mode : Recherche -- Date : 08/20/2013 09:34:00
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\U [-] --> TROUVÉ
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6\U [-] --> TROUVÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L [-] --> TROUVÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6\L [-] --> TROUVÉ
[ZeroAccess][Fichier] Desktop.ini : C:\WINDOWS\assembly\GAC\Desktop.ini [-] --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7D4A29C)
[Address] SSDT[41] : NtCreateKey @ 0x80578ACE -> HOOKED (Unknown @ 0xF7D4A256)
[Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7D4A2A6)
[Address] SSDT[53] : NtCreateThread @ 0x80584D59 -> HOOKED (Unknown @ 0xF7D4A24C)
[Address] SSDT[63] : NtDeleteKey @ 0x8059978F -> HOOKED (Unknown @ 0xF7D4A25B)
[Address] SSDT[65] : NtDeleteValueKey @ 0x805983AE -> HOOKED (Unknown @ 0xF7D4A265)
[Address] SSDT[68] : NtDuplicateObject @ 0x8057F1A9 -> HOOKED (Unknown @ 0xF7D4A297)
[Address] SSDT[98] : NtLoadKey @ 0x805D5283 -> HOOKED (Unknown @ 0xF7D4A26A)
[Address] SSDT[122] : NtOpenProcess @ 0x8057F956 -> HOOKED (Unknown @ 0xF7D4A238)
[Address] SSDT[128] : NtOpenThread @ 0x805E4867 -> HOOKED (Unknown @ 0xF7D4A23D)
[Address] SSDT[177] : NtQueryValueKey @ 0x80572F2A -> HOOKED (Unknown @ 0xF7D4A2BF)
[Address] SSDT[193] : NtReplaceKey @ 0x806573A6 -> HOOKED (Unknown @ 0xF7D4A274)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 -> HOOKED (Unknown @ 0xF7D4A2B0)
[Address] SSDT[204] : NtRestoreKey @ 0x80656F3D -> HOOKED (Unknown @ 0xF7D4A26F)
[Address] SSDT[213] : NtSetContextThread @ 0x80636401 -> HOOKED (Unknown @ 0xF7D4A2AB)
[Address] SSDT[237] : NtSetSecurityObject @ 0x8059DDEB -> HOOKED (Unknown @ 0xF7D4A2B5)
[Address] SSDT[247] : NtSetValueKey @ 0x805800A4 -> HOOKED (Unknown @ 0xF7D4A260)
[Address] SSDT[255] : NtSystemDebugControl @ 0x80651C71 -> HOOKED (Unknown @ 0xF7D4A2BA)
[Address] SSDT[257] : NtTerminateProcess @ 0x8058E8D1 -> HOOKED (Unknown @ 0xF7D4A247)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7D4A2CE)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7D4A2D3)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: FUJITSU MHV2100BH PL +++++
--- User ---
[MBR] 5cb98ed542881b8c3aab9db3a6727305
[BSP] b3cb2aeec11e500b34471f3ef1b0dd24 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95142 Mo
1 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 194852385 | Size: 251 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_08202013_093400.txt >>
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
20 août 2013 à 09:58
20 août 2013 à 09:58
Ok.
Tu peux faire la suppression et poster le rapport :)
Tu peux faire la suppression et poster le rapport :)
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
20 août 2013 à 10:19
20 août 2013 à 10:19
Voici ! Merci et bonne journée
RogueKiller V8.6.6 [Aug 19 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Yves [Droits d'admin]
Mode : Suppression -- Date : 08/20/2013 09:38:13
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] Desktop.ini : C:\WINDOWS\assembly\GAC\Desktop.ini [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000004.@ : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L\00000004.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 201d3dde : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L\201d3dde [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 6715e287 : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L\6715e287 [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 76603ac3 : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L\76603ac3 [-] --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7D4A29C)
[Address] SSDT[41] : NtCreateKey @ 0x80578ACE -> HOOKED (Unknown @ 0xF7D4A256)
[Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7D4A2A6)
[Address] SSDT[53] : NtCreateThread @ 0x80584D59 -> HOOKED (Unknown @ 0xF7D4A24C)
[Address] SSDT[63] : NtDeleteKey @ 0x8059978F -> HOOKED (Unknown @ 0xF7D4A25B)
[Address] SSDT[65] : NtDeleteValueKey @ 0x805983AE -> HOOKED (Unknown @ 0xF7D4A265)
[Address] SSDT[68] : NtDuplicateObject @ 0x8057F1A9 -> HOOKED (Unknown @ 0xF7D4A297)
[Address] SSDT[98] : NtLoadKey @ 0x805D5283 -> HOOKED (Unknown @ 0xF7D4A26A)
[Address] SSDT[122] : NtOpenProcess @ 0x8057F956 -> HOOKED (Unknown @ 0xF7D4A238)
[Address] SSDT[128] : NtOpenThread @ 0x805E4867 -> HOOKED (Unknown @ 0xF7D4A23D)
[Address] SSDT[177] : NtQueryValueKey @ 0x80572F2A -> HOOKED (Unknown @ 0xF7D4A2BF)
[Address] SSDT[193] : NtReplaceKey @ 0x806573A6 -> HOOKED (Unknown @ 0xF7D4A274)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 -> HOOKED (Unknown @ 0xF7D4A2B0)
[Address] SSDT[204] : NtRestoreKey @ 0x80656F3D -> HOOKED (Unknown @ 0xF7D4A26F)
[Address] SSDT[213] : NtSetContextThread @ 0x80636401 -> HOOKED (Unknown @ 0xF7D4A2AB)
[Address] SSDT[237] : NtSetSecurityObject @ 0x8059DDEB -> HOOKED (Unknown @ 0xF7D4A2B5)
[Address] SSDT[247] : NtSetValueKey @ 0x805800A4 -> HOOKED (Unknown @ 0xF7D4A260)
[Address] SSDT[255] : NtSystemDebugControl @ 0x80651C71 -> HOOKED (Unknown @ 0xF7D4A2BA)
[Address] SSDT[257] : NtTerminateProcess @ 0x8058E8D1 -> HOOKED (Unknown @ 0xF7D4A247)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7D4A2CE)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7D4A2D3)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: FUJITSU MHV2100BH PL +++++
--- User ---
[MBR] 5cb98ed542881b8c3aab9db3a6727305
[BSP] b3cb2aeec11e500b34471f3ef1b0dd24 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95142 Mo
1 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 194852385 | Size: 251 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_08202013_093813.txt >>
RKreport[0]_S_08202013_093400.txt
RogueKiller V8.6.6 [Aug 19 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Yves [Droits d'admin]
Mode : Suppression -- Date : 08/20/2013 09:38:13
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] Desktop.ini : C:\WINDOWS\assembly\GAC\Desktop.ini [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000004.@ : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L\00000004.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 201d3dde : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L\201d3dde [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 6715e287 : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L\6715e287 [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 76603ac3 : C:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6\L\76603ac3 [-] --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7D4A29C)
[Address] SSDT[41] : NtCreateKey @ 0x80578ACE -> HOOKED (Unknown @ 0xF7D4A256)
[Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7D4A2A6)
[Address] SSDT[53] : NtCreateThread @ 0x80584D59 -> HOOKED (Unknown @ 0xF7D4A24C)
[Address] SSDT[63] : NtDeleteKey @ 0x8059978F -> HOOKED (Unknown @ 0xF7D4A25B)
[Address] SSDT[65] : NtDeleteValueKey @ 0x805983AE -> HOOKED (Unknown @ 0xF7D4A265)
[Address] SSDT[68] : NtDuplicateObject @ 0x8057F1A9 -> HOOKED (Unknown @ 0xF7D4A297)
[Address] SSDT[98] : NtLoadKey @ 0x805D5283 -> HOOKED (Unknown @ 0xF7D4A26A)
[Address] SSDT[122] : NtOpenProcess @ 0x8057F956 -> HOOKED (Unknown @ 0xF7D4A238)
[Address] SSDT[128] : NtOpenThread @ 0x805E4867 -> HOOKED (Unknown @ 0xF7D4A23D)
[Address] SSDT[177] : NtQueryValueKey @ 0x80572F2A -> HOOKED (Unknown @ 0xF7D4A2BF)
[Address] SSDT[193] : NtReplaceKey @ 0x806573A6 -> HOOKED (Unknown @ 0xF7D4A274)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 -> HOOKED (Unknown @ 0xF7D4A2B0)
[Address] SSDT[204] : NtRestoreKey @ 0x80656F3D -> HOOKED (Unknown @ 0xF7D4A26F)
[Address] SSDT[213] : NtSetContextThread @ 0x80636401 -> HOOKED (Unknown @ 0xF7D4A2AB)
[Address] SSDT[237] : NtSetSecurityObject @ 0x8059DDEB -> HOOKED (Unknown @ 0xF7D4A2B5)
[Address] SSDT[247] : NtSetValueKey @ 0x805800A4 -> HOOKED (Unknown @ 0xF7D4A260)
[Address] SSDT[255] : NtSystemDebugControl @ 0x80651C71 -> HOOKED (Unknown @ 0xF7D4A2BA)
[Address] SSDT[257] : NtTerminateProcess @ 0x8058E8D1 -> HOOKED (Unknown @ 0xF7D4A247)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7D4A2CE)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7D4A2D3)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: FUJITSU MHV2100BH PL +++++
--- User ---
[MBR] 5cb98ed542881b8c3aab9db3a6727305
[BSP] b3cb2aeec11e500b34471f3ef1b0dd24 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95142 Mo
1 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 194852385 | Size: 251 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_08202013_093813.txt >>
RKreport[0]_S_08202013_093400.txt
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
20 août 2013 à 10:21
20 août 2013 à 10:21
Bien :)
Créé un point de restauration système : https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/#creer-un-point-de-restauration
ça peut servir.
Ensuite :
▶ Télécharges ici: mbar
▶ Décompresses le contenu du dossier vers le bureau.
▶ Ouvrir le dossier et exécuter mbar.exe (Sous Vista/7 : exécuter en tant qu'administrateur)
▶ La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.
▶ Clic sur Next
▶ La nouvelle fenêtre te propose de faire la mise a jour. Clic sur Update et une fois terminé clic sur next
▶ Pour lancer l'analyse clic sur scan
▶ Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire.
▶ Patiente pendant le processus de nettoyage qui peut être long.
▶ Lorsque terminé, envois les deux rapports qui se trouvent dans le dossier MBAR : mbar-log.txt et log.txt
Créé un point de restauration système : https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/#creer-un-point-de-restauration
ça peut servir.
Ensuite :
▶ Télécharges ici: mbar
▶ Décompresses le contenu du dossier vers le bureau.
▶ Ouvrir le dossier et exécuter mbar.exe (Sous Vista/7 : exécuter en tant qu'administrateur)
▶ La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.
▶ Clic sur Next
▶ La nouvelle fenêtre te propose de faire la mise a jour. Clic sur Update et une fois terminé clic sur next
▶ Pour lancer l'analyse clic sur scan
▶ Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire.
▶ Patiente pendant le processus de nettoyage qui peut être long.
▶ Lorsque terminé, envois les deux rapports qui se trouvent dans le dossier MBAR : mbar-log.txt et log.txt
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
20 août 2013 à 13:23
20 août 2013 à 13:23
Merci, j'avais deja prévu la restauration
Voici les rapports : mbar-log-2013-08-20 (12-15-25).txt
Malwarebytes Anti-Rootkit BETA 1.06.1.1005
www.malwarebytes.org
Database version: v2013.08.20.01
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Yves :: TOYOTA [administrator]
20/08/2013 12:15:25
mbar-log-2013-08-20 (12-15-25).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 259446
Time elapsed: 23 minute(s), 19 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 2
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Delete on reboot.
HKCU\SOFTWARE\OneMoreKey (Rogue.Installer) -> Delete on reboot.
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 2
c:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6 (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6 (Trojan.Siredef.C) -> Delete on reboot.
Files Detected: 0
(No malicious items detected)
Physical Sectors Detected: 0
(No malicious items detected)
(end)
system-log.txt :
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.06.1.1005
(c) Malwarebytes Corporation 2011-2012
OS version: 5.1.2600 Windows XP Service Pack 3 x86
Account is Administrative
Internet Explorer version: 8.0.6001.18702
File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 1.596000 GHz
Memory total: 1071624192, free: 278089728
Downloaded database version: v2013.08.20.01
Initializing...
------------ Kernel report ------------
08/20/2013 12:15:12
------------ Loaded modules -----------
\WINDOWS\system32\ntoskrnl.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
ohci1394.sys
\WINDOWS\system32\DRIVERS\1394BUS.SYS
compbatt.sys
\WINDOWS\system32\DRIVERS\BATTC.SYS
pciide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
pcmcia.sys
MountMgr.sys
ftdisk.sys
ACPIEC.sys
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
PxHelp20.sys
KSecDD.sys
WudfPf.sys
Ntfs.sys
NDIS.sys
Mup.sys
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\DRIVERS\CmBatt.sys
\SystemRoot\system32\DRIVERS\ati2mtag.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\NETw4x32.sys
\SystemRoot\system32\DRIVERS\usbuhci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\nic1394.sys
\SystemRoot\system32\drivers\tifm21.sys
\SystemRoot\system32\DRIVERS\sdbus.sys
\SystemRoot\system32\DRIVERS\i8042prt.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\SynTP.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\DRIVERS\AGRSM.sys
\SystemRoot\System32\Drivers\Modem.SYS
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\System32\drivers\ws2ifsl.sys
\SystemRoot\system32\DRIVERS\arp1394.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\ssmdrv.sys
\SystemRoot\system32\DRIVERS\KMWDFILTER.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\system32\DRIVERS\avkmgr.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\ati2dvag.dll
\SystemRoot\System32\ati2cqag.dll
\SystemRoot\System32\atikvmag.dll
\SystemRoot\System32\ati3duag.dll
\SystemRoot\System32\ativvaxx.dll
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\avgntflt.sys
\SystemRoot\system32\DRIVERS\nwlnkipx.sys
\SystemRoot\system32\DRIVERS\nwlnknb.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\nwlnkspx.sys
\SystemRoot\system32\DRIVERS\srv.sys
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\usbscan.sys
\SystemRoot\system32\DRIVERS\usbprint.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
\WINDOWS\system32\ntdll.dll
----------- End -----------
Done!
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff86ef11f0
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IdeDeviceP0T0L0-3\
Lower Device Object: 0xffffffff86eefd98
Lower Device Driver Name: \Driver\atapi\
<<<2>>>
Device number: 0, partition: 1
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff86ef11f0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff86f651b0, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff86ef11f0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff86f41338, DeviceName: \Device\00000083\, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff86eefd98, DeviceName: \Device\Ide\IdeDeviceP0T0L0-3\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\system32\drivers...
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Read File: File "c:\WINDOWS\system32\drivers\gm.dls" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\gm.dls" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\gmreadme.txt" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\gmreadme.txt" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\netwlan5.img" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\netwlan5.img" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\RTHDAEQ1.dat" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\RTHDAEQ1.dat" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\ativmc20.cod" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\ativmc20.cod" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\cxthsfs2.cty" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\cxthsfs2.cty" is compressed (flags = 1)
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 9E1C2330
Partition information:
Partition 0 type is Primary (0x7)
Partition is ACTIVE.
Partition starts at LBA: 63 Numsec = 194852322
Partition file system is NTFS
Partition is bootable
Partition 1 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0
Partition 2 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0
Partition 3 type is Other (0x88)
Partition is NOT ACTIVE.
Partition starts at LBA: 194852385 Numsec = 514080
Disk Size: 100030242816 bytes
Sector size: 512 bytes
Scanning physical sectors of unpartitioned space on drive 0 (1-62-195351568-195371568)...
Done!
Read File: File "c:\Documents and Settings\Yves\Local Settings\Historique\History.IE5\index.dat" is compressed (flags = 1)
Infected: HKCU\SOFTWARE\fcn --> [Rogue.Residue]
Infected: HKCU\SOFTWARE\OneMoreKey --> [Rogue.Installer]
Infected: c:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6 --> [Trojan.Siredef.C]
Infected: c:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6 --> [Trojan.Siredef.C]
Scan finished
Creating System Restore point...
Cleaning up...
Executing an action fixdamage.exe...
Success!
Queuing an action fixdamage.exe
Removal successful. No system shutdown is required.
=======================================
Removal queue found; removal started
Removing c:\documents and settings\all users\application data\malwarebytes' anti-malware (portable)\mbr_0_i.mbam...
Removing c:\documents and settings\all users\application data\malwarebytes' anti-malware (portable)\bootstrap_0_0_63_i.mbam...
Removing c:\documents and settings\all users\application data\malwarebytes' anti-malware (portable)\mbr_0_r.mbam...
Removal finished
Merci encore!!!!
Voici les rapports : mbar-log-2013-08-20 (12-15-25).txt
Malwarebytes Anti-Rootkit BETA 1.06.1.1005
www.malwarebytes.org
Database version: v2013.08.20.01
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Yves :: TOYOTA [administrator]
20/08/2013 12:15:25
mbar-log-2013-08-20 (12-15-25).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 259446
Time elapsed: 23 minute(s), 19 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 2
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Delete on reboot.
HKCU\SOFTWARE\OneMoreKey (Rogue.Installer) -> Delete on reboot.
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 2
c:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6 (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6 (Trojan.Siredef.C) -> Delete on reboot.
Files Detected: 0
(No malicious items detected)
Physical Sectors Detected: 0
(No malicious items detected)
(end)
system-log.txt :
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.06.1.1005
(c) Malwarebytes Corporation 2011-2012
OS version: 5.1.2600 Windows XP Service Pack 3 x86
Account is Administrative
Internet Explorer version: 8.0.6001.18702
File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 1.596000 GHz
Memory total: 1071624192, free: 278089728
Downloaded database version: v2013.08.20.01
Initializing...
------------ Kernel report ------------
08/20/2013 12:15:12
------------ Loaded modules -----------
\WINDOWS\system32\ntoskrnl.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
ACPI.sys
\WINDOWS\system32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
ohci1394.sys
\WINDOWS\system32\DRIVERS\1394BUS.SYS
compbatt.sys
\WINDOWS\system32\DRIVERS\BATTC.SYS
pciide.sys
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
pcmcia.sys
MountMgr.sys
ftdisk.sys
ACPIEC.sys
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
PartMgr.sys
VolSnap.sys
atapi.sys
disk.sys
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
PxHelp20.sys
KSecDD.sys
WudfPf.sys
Ntfs.sys
NDIS.sys
Mup.sys
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\DRIVERS\CmBatt.sys
\SystemRoot\system32\DRIVERS\ati2mtag.sys
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\NETw4x32.sys
\SystemRoot\system32\DRIVERS\usbuhci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\nic1394.sys
\SystemRoot\system32\drivers\tifm21.sys
\SystemRoot\system32\DRIVERS\sdbus.sys
\SystemRoot\system32\DRIVERS\i8042prt.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\SynTP.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\DRIVERS\AGRSM.sys
\SystemRoot\System32\Drivers\Modem.SYS
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\System32\drivers\ws2ifsl.sys
\SystemRoot\system32\DRIVERS\arp1394.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\ssmdrv.sys
\SystemRoot\system32\DRIVERS\KMWDFILTER.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\system32\DRIVERS\avkmgr.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\ati2dvag.dll
\SystemRoot\System32\ati2cqag.dll
\SystemRoot\System32\atikvmag.dll
\SystemRoot\System32\ati3duag.dll
\SystemRoot\System32\ativvaxx.dll
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\DRIVERS\avgntflt.sys
\SystemRoot\system32\DRIVERS\nwlnkipx.sys
\SystemRoot\system32\DRIVERS\nwlnknb.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\nwlnkspx.sys
\SystemRoot\system32\DRIVERS\srv.sys
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\usbscan.sys
\SystemRoot\system32\DRIVERS\usbprint.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
\WINDOWS\system32\ntdll.dll
----------- End -----------
Done!
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff86ef11f0
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IdeDeviceP0T0L0-3\
Lower Device Object: 0xffffffff86eefd98
Lower Device Driver Name: \Driver\atapi\
<<<2>>>
Device number: 0, partition: 1
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff86ef11f0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff86f651b0, DeviceName: Unknown, DriverName: \Driver\PartMgr\
DevicePointer: 0xffffffff86ef11f0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xffffffff86f41338, DeviceName: \Device\00000083\, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff86eefd98, DeviceName: \Device\Ide\IdeDeviceP0T0L0-3\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\system32\drivers...
<<<2>>>
Device number: 0, partition: 1
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Read File: File "c:\WINDOWS\system32\drivers\gm.dls" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\gm.dls" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\gmreadme.txt" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\gmreadme.txt" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\netwlan5.img" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\netwlan5.img" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\RTHDAEQ1.dat" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\RTHDAEQ1.dat" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\ativmc20.cod" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\ativmc20.cod" is compressed (flags = 1)
Read File: File "c:\WINDOWS\system32\drivers\cxthsfs2.cty" is compressed (flags = 1)
Read File: File "C:\WINDOWS\system32\drivers\cxthsfs2.cty" is compressed (flags = 1)
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 9E1C2330
Partition information:
Partition 0 type is Primary (0x7)
Partition is ACTIVE.
Partition starts at LBA: 63 Numsec = 194852322
Partition file system is NTFS
Partition is bootable
Partition 1 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0
Partition 2 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0
Partition 3 type is Other (0x88)
Partition is NOT ACTIVE.
Partition starts at LBA: 194852385 Numsec = 514080
Disk Size: 100030242816 bytes
Sector size: 512 bytes
Scanning physical sectors of unpartitioned space on drive 0 (1-62-195351568-195371568)...
Done!
Read File: File "c:\Documents and Settings\Yves\Local Settings\Historique\History.IE5\index.dat" is compressed (flags = 1)
Infected: HKCU\SOFTWARE\fcn --> [Rogue.Residue]
Infected: HKCU\SOFTWARE\OneMoreKey --> [Rogue.Installer]
Infected: c:\RECYCLER\S-1-5-18\$14977473152e2f7db4f4b6d6c7f1f0d6 --> [Trojan.Siredef.C]
Infected: c:\RECYCLER\S-1-5-21-3253044076-4088527681-329598287-1006\$14977473152e2f7db4f4b6d6c7f1f0d6 --> [Trojan.Siredef.C]
Scan finished
Creating System Restore point...
Cleaning up...
Executing an action fixdamage.exe...
Success!
Queuing an action fixdamage.exe
Removal successful. No system shutdown is required.
=======================================
Removal queue found; removal started
Removing c:\documents and settings\all users\application data\malwarebytes' anti-malware (portable)\mbr_0_i.mbam...
Removing c:\documents and settings\all users\application data\malwarebytes' anti-malware (portable)\bootstrap_0_0_63_i.mbam...
Removing c:\documents and settings\all users\application data\malwarebytes' anti-malware (portable)\mbr_0_r.mbam...
Removal finished
Merci encore!!!!
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
20 août 2013 à 14:56
20 août 2013 à 14:56
Parfait :)
On enchaine avec la version anti malware et normalement c'est plié ;)
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique donc sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
On enchaine avec la version anti malware et normalement c'est plié ;)
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique donc sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
20 août 2013 à 16:42
20 août 2013 à 16:42
Re-re-re, je te poste le rapport partiel, j'ai du interrompre l'analyse (je suis pas chez moi et je dois partir). 3 elements détectés et effacés. Merci encore !!
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.08.20.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Yves :: TOYOTA [administrateur]
20/08/2013 15:50:06
mbam-log-2013-08-20 (15-50-06).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 97398
Temps écoulé: 48 minute(s), 49 seconde(s) [abandonné]
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{DA3D98A6-868D-4E1B-BB78-0887230DA405} (PUP.OPtional.LyricsAd) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DA3D98A6-868D-4E1B-BB78-0887230DA405} (PUP.OPtional.LyricsAd) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\LVK8TQ7B\upgrade[1].cab (Adware.OneStep) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.08.20.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Yves :: TOYOTA [administrateur]
20/08/2013 15:50:06
mbam-log-2013-08-20 (15-50-06).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 97398
Temps écoulé: 48 minute(s), 49 seconde(s) [abandonné]
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{DA3D98A6-868D-4E1B-BB78-0887230DA405} (PUP.OPtional.LyricsAd) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DA3D98A6-868D-4E1B-BB78-0887230DA405} (PUP.OPtional.LyricsAd) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\LVK8TQ7B\upgrade[1].cab (Adware.OneStep) -> Mis en quarantaine et supprimé avec succès.
(fin)
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
20 août 2013 à 22:53
20 août 2013 à 22:53
Abahnan faut laisser l'examen se terminer, donc à refaire ...
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
21 août 2013 à 10:43
21 août 2013 à 10:43
Ah ben c'est raté ... je suis parti et je ne reverrai pas l'ordi concerné pour un bout de temps. Je ferai donc la procédure la prochaine fois que j'y passe (dans quelques mois). Merci encore !
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
21 août 2013 à 10:48
21 août 2013 à 10:48
Tu peux pas leur dire de passer ici ? Pour terminer parce que si on attend trop l'infection va reprendre de l'ampleur ...
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
11 sept. 2013 à 07:57
11 sept. 2013 à 07:57
Sont à l'etranger pour l'instant ... merci encore
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
19 oct. 2013 à 13:15
19 oct. 2013 à 13:15
j'ai refait une analyse malwarebytes, entre temps la situation a du changer, voici le rapport. Merci et bon we !
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.10.19.01
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Yves :: TOYOTA [administrateur]
19/10/2013 10:02:15
mbam-log-2013-10-19 (10-02-15).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 412747
Temps écoulé: 2 heure(s), 56 minute(s), 33 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 6
C:\Documents and Settings\Yves\Mes documents\Téléchargements\Logiciels\FlashPlayerSetup__2698_i47303425_il430345.exe (PUP.Optional.Amonetize.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\Téléchargements\Logiciels\FlashPlayerSetup__2698_i47303768_il430345.exe (PUP.Optional.Amonetize.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\Téléchargements\Logiciels\installation-ie8-xp-01NET.exe (PUP.Optional.InstallCore) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\logs\Avast.Antivirus.Pro.v4.6.744.FR.Incl-Keygen.par.eMule-Paradise.com\Keygen\CORE10k.EXE (PUP.Keygen.Intro) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\logs\Avast.Antivirus.Pro.v4.6.744.FR.Incl-Keygen.par.eMule-Paradise.com\Keygen\keygen.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\Mes vidéos\Téléchargements RealPlayer\Garrigue stress-relax.EXE (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.10.19.01
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Yves :: TOYOTA [administrateur]
19/10/2013 10:02:15
mbam-log-2013-10-19 (10-02-15).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 412747
Temps écoulé: 2 heure(s), 56 minute(s), 33 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 6
C:\Documents and Settings\Yves\Mes documents\Téléchargements\Logiciels\FlashPlayerSetup__2698_i47303425_il430345.exe (PUP.Optional.Amonetize.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\Téléchargements\Logiciels\FlashPlayerSetup__2698_i47303768_il430345.exe (PUP.Optional.Amonetize.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\Téléchargements\Logiciels\installation-ie8-xp-01NET.exe (PUP.Optional.InstallCore) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\logs\Avast.Antivirus.Pro.v4.6.744.FR.Incl-Keygen.par.eMule-Paradise.com\Keygen\CORE10k.EXE (PUP.Keygen.Intro) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\logs\Avast.Antivirus.Pro.v4.6.744.FR.Incl-Keygen.par.eMule-Paradise.com\Keygen\keygen.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Yves\Mes documents\Mes vidéos\Téléchargements RealPlayer\Garrigue stress-relax.EXE (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.
(fin)
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
19 oct. 2013 à 17:27
19 oct. 2013 à 17:27
Hello
Pour un contrôle d'ensemble :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Pour un contrôle d'ensemble :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
20 oct. 2013 à 11:54
20 oct. 2013 à 11:54
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
20 oct. 2013 à 13:41
20 oct. 2013 à 13:41
Y'a encore du boulot.
Désinstalle Ask/AskPartnerNetwork
▶ Télécharge ici (lien direct): AdwCleaner (de Xplode)
▶ Lance-le
▶ Clique sur Scanner puis Nettoyer, et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans le répertoire AdwCleaner de ton disque dur ( C:\AdwCleaner\AdwCleaner[x].txt) ou son contenu s'il s'ouvre.
~~
▶ Télécharge ici : Junkware Removal Tool
!!! Ne clique pas sur Download !!! , attends simplement que la fenetre de telechargement arrive pour confirmation
▶ Enregistre ce fichier sur le bureau.
▶ Ferme tout tes navigateurs
Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.
Sous Vista/7/8, clic droit et Exécuter en temps qu'administrateur.
▶ NB: Le bureau disparaitra un instant, c'est normal.
▶ Laisse le programme travailler ne touche plus à rien
▶ Poste le rapport généré à la fin de l'analyse.
Tuto : http://hackinginterdit.blogspot.fr/2013/02/junkware-removal-tool.html
Désinstalle Ask/AskPartnerNetwork
▶ Télécharge ici (lien direct): AdwCleaner (de Xplode)
▶ Lance-le
▶ Clique sur Scanner puis Nettoyer, et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans le répertoire AdwCleaner de ton disque dur ( C:\AdwCleaner\AdwCleaner[x].txt) ou son contenu s'il s'ouvre.
~~
▶ Télécharge ici : Junkware Removal Tool
!!! Ne clique pas sur Download !!! , attends simplement que la fenetre de telechargement arrive pour confirmation
▶ Enregistre ce fichier sur le bureau.
▶ Ferme tout tes navigateurs
Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.
Sous Vista/7/8, clic droit et Exécuter en temps qu'administrateur.
▶ NB: Le bureau disparaitra un instant, c'est normal.
▶ Laisse le programme travailler ne touche plus à rien
▶ Poste le rapport généré à la fin de l'analyse.
Tuto : http://hackinginterdit.blogspot.fr/2013/02/junkware-removal-tool.html
sebggs
Messages postés
31
Date d'inscription
jeudi 3 novembre 2011
Statut
Membre
Dernière intervention
8 juillet 2014
20 oct. 2013 à 16:50
20 oct. 2013 à 16:50
Voici le rapport ADWcleaner, je passe junkware
# AdwCleaner v3.009 - Rapport créé le 20/10/2013 à 16:39:26
# Mis à jour le 19/10/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Yves - TOYOTA
# Exécuté depuis : C:\Documents and Settings\Yves\Bureau\Gestion ordi\adwcleaner.exe
# Option : Nettoyer
***** [ Services ] *****
***** [ Fichiers / Dossiers ] *****
Dossier Supprimé : C:\Documents and Settings\Yves\Local Settings\Application Data\startertv_fr_8
***** [ Raccourcis ] *****
***** [ Registre ] *****
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC}
Clé Supprimée : HKCU\Software\powerpack
Clé Supprimée : HKLM\Software\Uniblue\DriverScanner
***** [ Navigateurs ] *****
-\\ Internet Explorer v8.0.6001.18702
-\\ Mozilla Firefox v24.0 (fr)
[ Fichier : C:\Documents and Settings\Yves\Application Data\Mozilla\Firefox\Profiles\6ogr76l2.default-1376408640765\prefs.js ]
-\\ Google Chrome v30.0.1599.101
[ Fichier : C:\Documents and Settings\Yves\Local Settings\Application Data\Google\Chrome\User Data\Default\preferences ]
*************************
AdwCleaner[R0].txt - [1293 octets] - [20/10/2013 16:36:54]
AdwCleaner[S0].txt - [1220 octets] - [20/10/2013 16:39:26]
########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1280 octets] ##########
# AdwCleaner v3.009 - Rapport créé le 20/10/2013 à 16:39:26
# Mis à jour le 19/10/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Yves - TOYOTA
# Exécuté depuis : C:\Documents and Settings\Yves\Bureau\Gestion ordi\adwcleaner.exe
# Option : Nettoyer
***** [ Services ] *****
***** [ Fichiers / Dossiers ] *****
Dossier Supprimé : C:\Documents and Settings\Yves\Local Settings\Application Data\startertv_fr_8
***** [ Raccourcis ] *****
***** [ Registre ] *****
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC}
Clé Supprimée : HKCU\Software\powerpack
Clé Supprimée : HKLM\Software\Uniblue\DriverScanner
***** [ Navigateurs ] *****
-\\ Internet Explorer v8.0.6001.18702
-\\ Mozilla Firefox v24.0 (fr)
[ Fichier : C:\Documents and Settings\Yves\Application Data\Mozilla\Firefox\Profiles\6ogr76l2.default-1376408640765\prefs.js ]
-\\ Google Chrome v30.0.1599.101
[ Fichier : C:\Documents and Settings\Yves\Local Settings\Application Data\Google\Chrome\User Data\Default\preferences ]
*************************
AdwCleaner[R0].txt - [1293 octets] - [20/10/2013 16:36:54]
AdwCleaner[S0].txt - [1220 octets] - [20/10/2013 16:39:26]
########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1280 octets] ##########