Sujet Précédent Sujet Suivant

Infecté par W32/blaster.worm

Résolu/Fermé
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 - 13 oct. 2013 à 20:32
 Utilisateur anonyme - 22 oct. 2013 à 19:25
Bonjour,

Et voilà.... PC de nouveau infecté par W32/blaster.worm

(oui j'étais déjà venu pour cela il y a quelques mois )


Merci une nouvelle fois de votre aide! (et pourtant depuis la dernière fois je faisais bien des scans et tout :/ )

Voici le rapport roguekiller fait sur le pc infecté.

RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Recherche -- Date : 10/13/2013 19:44:18
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤
[Rogue.AntiSpy-SP] iwdefender.exe -- C:\Documents and Settings\All Users\Application Data\iwdefender.exe[-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 2 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internet Security (C:\Documents and Settings\All Users\Application Data\iwdefender.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-391235094-707264586-1443687803-1005\[...]\Run : Internet Security (C:\Documents and Settings\All Users\Application Data\iwdefender.exe [-]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Jonction] Antimalware : C:\Program Files\Microsoft Security Client\Antimalware >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] Backup : C:\Program Files\Microsoft Security Client\Backup >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] CleanUpPolicy.xml : C:\Program Files\Microsoft Security Client\CleanUpPolicy.xml >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] ConfigSecurityPolicy.exe : C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] en-us : C:\Program Files\Microsoft Security Client\en-us >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] eppmanifest.dll : C:\Program Files\Microsoft Security Client\eppmanifest.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] FR-FR : C:\Program Files\Microsoft Security Client\FR-FR >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] LegitLib.dll : C:\Program Files\Microsoft Security Client\LegitLib.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Microsoft Security Client\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] msseces.exe : C:\Program Files\Microsoft Security Client\msseces.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsseWat.dll : C:\Program Files\Microsoft Security Client\MsseWat.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] setup.exe : C:\Program Files\Microsoft Security Client\setup.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] setupres.dll : C:\Program Files\Microsoft Security Client\setupres.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] shellext.dll : C:\Program Files\Microsoft Security Client\shellext.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] sqmapi.dll : C:\Program Files\Microsoft Security Client\sqmapi.dll >> \systemroot\system32\config [-] --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-SP|ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 adobeereg.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) (Lecteurs de disque standard) - ST9160411ASG +++++
--- User ---
[MBR] 9e8eabf1712833d2c83e16a48d326639
[BSP] 1eb893d1e2ce6df2a0c69f15319c6d1f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 196 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 401625 | Size: 152429 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) (Lecteurs de disque standard) - LaCie Hard Drive USB Device +++++
--- User ---
[MBR] c644860fcd1e2841d8ea3fba34803add
[BSP] b94ea316de53086c9c6543174f50ab2e : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_S_10132013_194418.txt >>

34 réponses

  • 1
  • 2
Réponse 1 / 34
Utilisateur anonyme
13 oct. 2013 à 20:34
bonjour,

tu n'as pas un Worm, mais un Zero accès, 15 jours après ta désinfection !

tu fais quoi avec ce pc ?


0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
14 oct. 2013 à 06:46
salut toi :)

15 jours après ta désinfection

on va lui faire une carte de membre premium du forum V/S ! :mdr:
0
Réponse 2 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 13/10/2013 à 20:48
hello,

et merci déjà de ta venue.

avec ce pc je taff, je surf, je joue online.

quand je veux ouvrir une page internet ça me marque que le pc est infecté par W32blablabla...

... que dois je faire ?

edit : bon je viens de test après avoir utilisé rogkiller il s'avère que je peux de nouveau utiliser le net sur le pc où ça ne marchait plus ^^

qu'est ce qu'un Zéro accès ?

merci
0
Réponse 3 / 34
Utilisateur anonyme
13 oct. 2013 à 20:48
relance Roguekiller,

clique sur Supprimer,

poste son rapport,

ne le ferme pas !


0
Réponse 4 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 13/10/2013 à 21:07
cela?

RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Recherche -- Date : 10/13/2013 21:00:57
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 adobeereg.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) (Lecteurs de disque standard) - ST9160411ASG +++++
--- User ---
[MBR] 9e8eabf1712833d2c83e16a48d326639
[BSP] 1eb893d1e2ce6df2a0c69f15319c6d1f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 196 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 401625 | Size: 152429 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_10132013_210057.txt >>

OU celui LA ?
RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Suppression -- Date : 10/13/2013 21:01:17
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 adobeereg.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) (Lecteurs de disque standard) - ST9160411ASG +++++
--- User ---
[MBR] 9e8eabf1712833d2c83e16a48d326639
[BSP] 1eb893d1e2ce6df2a0c69f15319c6d1f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 196 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 401625 | Size: 152429 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_10132013_210117.txt >>
RKreport[0]_S_10132013_210057.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
Utilisateur anonyme
13 oct. 2013 à 21:12
sur l'interface de Roguekiller,

[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
0
Réponse 6 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
13 oct. 2013 à 21:23
RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : HOSTS RAZ -- Date : 10/13/2013 21:22:38
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 adobeereg.com
[...]


¤¤¤ Nouveau fichier HOSTS: ¤¤¤
127.0.0.1 localhost


Termine : << RKreport[0]_H_10132013_212238.txt >>
RKreport[0]_D_10132013_210117.txt;RKreport[0]_S_10132013_210057.txt



merci encore :)
0
Réponse 7 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 14/10/2013 à 00:02
--' encore moi
donc là je peux aller sur le net de nouveau sur le pc
en revanche j'ai fait un scan via "microsoft security essentials" et lui m'indique que j avais un cheval de troie...

à savoir Rogue:WIN32/FakeRean

(Éléments :
file:C:\Documents and Settings\All Users\Application Data\iwdefender.exe
file:C:\Documents and Settings\All Users\Bureau\Internet Security PRO.lnk)


:/ j'ai donc supprimer ce truc.. en esperant ne rien avoir d'autre...
dois je faire autre chose encore du coup ?.; je ne sais pas si nous avions fini.

merci en tout cas
0
Réponse 8 / 34
Utilisateur anonyme
14 oct. 2013 à 06:44
il est inutile de passer et encore repasser le scan de MSE, le nettoyage n'est pas fini !


/!\ Attention :
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.

De plus de ceci, évite fortement les sites comme 01n@t et S@ftonic, les logiciels gratuits et libres sont repackés avec leurs barres d'outils !

Pour les tuto diffusés par Tuto4pc, Eorezo, Agence exclusif .. etc (quelque soit son nom puisqu'on le change sans arrêt !), lis ceci :

https://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/



? Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner

Lance le,

clique sur scanner
Patiente jusqu'à la fin,
Une fois le scan terminé, clique sur le rapport
Copie et colle la totalité du rapport sur ton prochain message


0
Réponse 9 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 14/10/2013 à 15:05
bonjour et merci une nouvelle fois

et voici pour le rapport Adw

# AdwCleaner v3.007 - Rapport créé le 14/10/2013 à 15:01:21
# Mis à jour le 09/10/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Mathieu - ADV_MATH
# Exécuté depuis : C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\9FQXI1Q7\adwcleaner[1].exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{2CE4D4CF-B278-4126-AD1E-B622DA2E8339}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{2CE4D4CF-B278-4126-AD1E-B622DA2E8339}
Clé Présente : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Clé Présente : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v17.0.1 (fr)

[ Fichier : C:\Documents and Settings\Mathieu\Application Data\Mozilla\Firefox\Profiles\mjgvrun3.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [2681 octets] - [14/10/2013 15:01:21]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [2741 octets] ##########
0
Réponse 10 / 34
Utilisateur anonyme
14 oct. 2013 à 18:33
relance ADWC, clique sur nettoyer,

poste son rapport après le redémarrage du pc



0
Réponse 11 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
15 oct. 2013 à 11:43
bonjour et merci pour ton suivi
(et le dit "juju" pour son humour avec sa carte prémium ^^ grrr, c'est de bonne guerre remarque ;) )

voici pour le rapport :

# AdwCleaner v3.007 - Rapport créé le 15/10/2013 à 11:32:56
# Mis à jour le 09/10/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Mathieu - ADV_MATH
# Exécuté depuis : C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\R8HYYLJ0\adwcleaner[1].exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v17.0.1 (fr)

[ Fichier : C:\Documents and Settings\Mathieu\Application Data\Mozilla\Firefox\Profiles\mjgvrun3.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [2821 octets] - [14/10/2013 15:01:21]
AdwCleaner[R1].txt - [1133 octets] - [15/10/2013 11:24:07]
AdwCleaner[S0].txt - [2901 octets] - [14/10/2013 23:33:19]
AdwCleaner[S1].txt - [1056 octets] - [15/10/2013 11:32:56]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1116 octets] ##########
0
Réponse 12 / 34
Utilisateur anonyme
15 oct. 2013 à 11:47
bonjour,

relance ADWC, clique sur désinstaller,


* Télécharge et enregistre ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.


=> L'icône est sous forme de parchemin.

* Clique sur configurer,, puis sur la loupe + .

* Laisse travailler l'outil, même s'il semble bloqué !

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers


tuto zhpdiag :

http://nicolascoolman.webs.com/tutorials.htm

0
Réponse 13 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 16/10/2013 à 15:37
Re ^^

https://www.cjoint.com/?3JqpqWBAxcd

et voici.

(et je viens de voir ce que veux dire avoir un zero accès du coup... erg --' )
--------------------------------------
note : étrangement microsoft security m'a detecté aujourd'hui ( pas hier) ... 1 menace sur mon pc, cette fois si je ne l ai pas touché ..

FYI detecté sur mon pc
containerfile:C:\Documents and Settings\Mathieu\Application Data\Sun\Java\Deployment\cache\6.0\21\4cda9c55-16409bb6
containerfile:C:\Documents and Settings\Mathieu\Application Data\Sun\Java\Deployment\cache\6.0\21\4cda9c55-78a0bb51
containerfile:C:\Documents and Settings\Mathieu\Application Data\Sun\Java\Deployment\cache\6.0\33\8bf9be1-1cfd9eff
containerfile:C:\Documents and Settings\Mathieu\Application Data\Sun\Java\Deployment\cache\6.0\33\8bf9be1-484d703e
file:C:\Documents and Settings\Mathieu\Application Data\Sun\Java\Deployment\cache\6.0\21\4cda9c55-16409bb6->seg.class
file:C:\Documents and Settings\Mathieu\Application Data\Sun\Java\Deployment\cache\6.0\21\4cda9c55-78a0bb51->seg.class
file:C:\Documents and Settings\Mathieu\Application Data\Sun\Java\Deployment\cache\6.0\33\8bf9be1-1cfd9eff->tow.class
file:C:\Documents and Settings\Mathieu\Application Data\Sun\Java\Deployment\cache\6.0\33\8bf9be1-484d703e->tow.class

et file:C:\Documents and Settings\Mathieu\Local Settings\Temp\01370181283484.exe

Oo j suis en train de me faire laminer même plus attaquer là .. j ai beau chercher j vois pas comment j'ai pu me chopper tout ça Oo

bref. je continu de suivre tes instructions.

re merci :)
0
Réponse 14 / 34
Utilisateur anonyme
16 oct. 2013 à 17:57
tu ne te fais pas laminer,

la réponse à ta question est sous tes yeux :

une vieille version de java sur ton pc a été détecté !

* Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

* Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

* Clique sur [Start Scan] pour démarrer l'analyse.

* Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

* Un rapport s'ouvrira au redémarrage du PC.

* Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note :
Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D


0
Réponse 15 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
17 oct. 2013 à 15:15
bonjour,

juste après le scan, il me met

http://img11.hostingpics.net/pics/521578forccm.png

j ai le choix dans le menu :
skip
copy to quarantine
delete

dois je appuyer en bas sur "continue " directement ou choisir dans le menu avant (et quoi?) puis ensuite faire continue?

merci
0
Réponse 16 / 34
Utilisateur anonyme
17 oct. 2013 à 19:12
bonjour,

Sptd est le pilote générique de daemon tool !

donc clique sur Skip !


* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard


► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

► ferme les fenêtres de tous les programmes en cours.

► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.

/!\Utilisateur de Vista & Windows7 : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de Combofix.txt dans ton prochain message.



0
Réponse 17 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 18/10/2013 à 15:57
--'

bonjour

(tu verras le rapport ci-dessous.

Parallèlement et pour info mon antivirus m'a mit en quarantaine : Exploit:Java/CVE-2012-1723
je peux appuyer sur supprimer sans que ça gène toute la procédure que tu me fais suivre? Merci.. pardonne ma candeur, mais là je ne sais même plus si je dois toucher l'pc :( ... parallèlement également en voulant revenir sur le site de cccm mon pc ne voulait pas que j y accède il m'indiquait "que la connexion que vous voulez utiliser n est pas sécurisée, d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez,voulez vous continuer?" ---> bah nan --'
de fait je post depuis mon autre pc là.. j'suis pas rendu encore :/ ) Je precise que OUI j avais bien désactivé puis réactivé mon antivirus (comme indiqué dans ton précédant post)

merci de ton support et de ton suivi en tout cas. je continu de suivre tes directives.

voici

ComboFix 13-10-16.02 - Mathieu 18/10/2013 15:21:00.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3536.2944 [GMT 2:00]
Lancé depuis: c:\documents and settings\Mathieu\Bureau\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Mathieu\Application Data\wiaserva.log
c:\windows\EventSystem.log
c:\windows\system32\SET1E4.tmp
c:\windows\system32\SET1E5.tmp
c:\windows\system32\test
c:\windows\wininit.ini
c:\windows\XSxS
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2013-09-18 au 2013-10-18 ))))))))))))))))))))))))))))))))))))
.
.
2013-10-17 11:39 . 2013-10-14 06:39 7796464 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F8CFA91-50E8-434B-BDCD-4DEBE18AC3A2}\mpengine.dll
2013-10-16 13:12 . 2013-10-16 13:12 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2013-10-16 13:03 . 2013-10-16 13:12 -------- d-----w- c:\documents and settings\Mathieu\Application Data\ZHP
2013-10-16 13:03 . 2013-10-16 13:12 -------- d-----w- c:\program files\ZHPDiag
2013-10-15 07:48 . 2008-04-13 09:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2013-10-15 07:48 . 2008-04-13 09:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2013-10-10 12:32 . 2013-07-03 02:12 25088 -c----w- c:\windows\system32\dllcache\hidparse.sys
2013-10-10 12:32 . 2013-07-17 00:58 123008 -c----w- c:\windows\system32\dllcache\usbvideo.sys
2013-10-10 12:32 . 2013-07-17 00:58 46848 -c----w- c:\windows\system32\dllcache\irbus.sys
2013-10-10 12:32 . 2013-08-09 00:55 5376 -c----w- c:\windows\system32\dllcache\usbd.sys
2013-10-10 12:32 . 2009-03-18 11:02 30336 -c----w- c:\windows\system32\dllcache\usbehci.sys
2013-10-04 11:01 . 2013-10-04 11:17 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Pamela
2013-10-04 11:01 . 2013-10-04 11:01 176128 ----a-w- c:\windows\system32\RemoteControl.dll
2013-10-04 11:01 . 2013-10-04 11:01 -------- d-----w- c:\program files\Pamela
2013-09-26 18:00 . 2013-09-26 18:00 208760 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-10-10 08:01 . 2012-04-04 08:25 692616 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-10-10 08:01 . 2011-05-20 08:52 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-09-23 18:23 . 2008-04-25 12:46 920064 ----a-w- c:\windows\system32\wininet.dll
2013-09-23 18:23 . 2008-04-25 12:46 43520 ----a-w- c:\windows\system32\licmgr10.dll
2013-09-23 18:23 . 2008-04-25 12:46 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-09-23 18:23 . 2008-04-25 12:46 18944 ----a-w- c:\windows\system32\corpol.dll
2013-09-23 18:06 . 2008-04-25 12:46 385024 ----a-w- c:\windows\system32\html.iec
2013-09-04 20:02 . 2010-01-06 09:59 7328304 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-08-29 07:01 . 2008-04-25 12:46 1878784 ----a-w- c:\windows\system32\win32k.sys
2013-08-09 01:56 . 2008-04-25 12:46 392192 ----a-w- c:\windows\system32\themeui.dll
2013-08-09 00:55 . 2008-04-13 11:45 144128 ----a-w- c:\windows\system32\drivers\usbport.sys
2013-08-09 00:55 . 2008-04-13 11:45 32384 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2013-08-09 00:55 . 2001-08-17 22:03 5376 ----a-w- c:\windows\system32\drivers\usbd.sys
2013-08-05 13:30 . 2008-04-25 12:46 1289216 ----a-w- c:\windows\system32\ole32.dll
2013-08-02 23:48 . 2006-10-18 19:47 1543680 ------w- c:\windows\system32\wmvdecod.dll
2012-12-04 11:07 . 2012-12-04 11:06 262112 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EnabledUnlockedFDEIconOverlay]
@="{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}"
[HKEY_CLASSES_ROOT\CLSID\{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}]
2009-01-14 09:24 40960 ----a-w- c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UninitializedFdeIconOverlay]
@="{CF08DA3E-C97D-4891-A66B-E39B28DD270F}"
[HKEY_CLASSES_ROOT\CLSID\{CF08DA3E-C97D-4891-A66B-E39B28DD270F}]
2009-01-14 09:24 40960 ----a-w- c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-22 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2011-09-13 126976]
"AdobeAAMUpdater-1.0"="c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-30 499608]
"SwitchBoard"="c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5.5ServiceManager"="c:\program files\Fichiers communs\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2011-07-27 434080]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
VPN Client.lnk - c:\windows\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico -user_logon [2010-12-9 6144]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe /startup [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 wvauth
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23/06/2009 11:49 721904]
R2 ASFAgent;ASF Agent;c:\program files\Intel\ASF Agent\ASFAgent.exe [19/04/2007 06:56 133968]
R2 buttonsvc32;Dell ControlPoint Button Service;c:\program files\Dell\Dell ControlPoint\DCPButtonSvc.exe [29/12/2008 12:07 320800]
R2 CCUploadJobMgr;CCUploadJobMgr;c:\program files\CosmoCom\Agent\CCUploadJobMgr.exe [12/10/2010 04:26 30640]
R2 Credential Vault Host Control Service;Credential Vault Host Control Service;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe [22/01/2009 11:19 808296]
R2 Credential Vault Host Storage;Credential Vault Host Storage;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe [22/01/2009 11:19 20840]
R2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [02/10/2012 13:13 3064000]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [17/06/2009 20:56 112512]
R3 cvusbdrv;Broadcom USH CV;c:\windows\system32\drivers\cvusbdrv.sys [17/06/2009 20:56 32808]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [17/06/2009 20:56 244368]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [17/06/2009 20:56 109568]
R3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\system32\drivers\SRS_PremiumSound_i386.sys [17/06/2009 12:38 232744]
S1 MpKsl594b4bf0;MpKsl594b4bf0;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F8CFA91-50E8-434B-BDCD-4DEBE18AC3A2}\MpKsl594b4bf0.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F8CFA91-50E8-434B-BDCD-4DEBE18AC3A2}\MpKsl594b4bf0.sys [?]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [05/09/2013 10:34 171680]
S3 AsfAlrt;AsfAlrt Service;c:\windows\system32\drivers\Asfalrt.sys [19/04/2007 06:28 42832]
S3 NvtSp50;NvtSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\NvtSp50.sys --> c:\windows\system32\Drivers\NvtSp50.sys [?]
S3 OverwolfUpdaterService;Overwolf Updater Service;c:\program files\Overwolf\OverwolfUpdater.exe [12/03/2012 16:29 18360]
S3 Samsung UPD Service2;Samsung UPD Service2;c:\windows\system32\SUPDSvc2.exe [13/09/2012 11:16 129536]
S3 SwitchBoard;SwitchBoard;c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 14:37 517096]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
.
2013-10-18 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 08:01]
.
2013-10-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-05 10:39]
.
2013-10-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-05 10:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Sothink SWF Catcher - c:\program files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
Trusted Zone: phonecontrol.fr\*.v6
Trusted Zone: phonecontrol.fr\ais
Trusted Zone: samsungsetup.com\www
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: {17E637F3-3491-46B8-BE4D-3056BA990555} - hxxp://ais.v6.phonecontrol.fr/cosmoagent/WebAgentShellHelper.CAB
DPF: {54E8F62B-434F-4A78-B1B8-CD981ACEDE72} - hxxp://ais.v6.phonecontrol.fr/cosmoagent/Tabs/CCEmailClient.cab
DPF: {A613C878-3EFD-475A-ADD6-80921807BA7F} - hxxp://ais.v6.phonecontrol.fr/cosmoagent/RtcWrapper.CAB
DPF: {A7ADF28C-5FA9-4510-A55A-988FFA88E914} - hxxp://ais.v6.phonecontrol.fr/cosmoagent/WMEncoderHF.cab
DPF: {AB10AF4E-F5A4-4697-B18E-E3988891E5DA} - hxxp://ais.v6.phonecontrol.fr/cosmoagent/CCScreenRecorder.cab
FF - ProfilePath - c:\documents and settings\Mathieu\Application Data\Mozilla\Firefox\Profiles\mjgvrun3.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - ExtSQL: !HIDDEN! 2009-09-02 10:39; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
------- Associations de fichier -------
.
.txt=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-AdobeBridge - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-10-18 15:28
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-391235094-707264586-1443687803-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_9_900_117_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_9_900_117_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1488)
c:\windows\system32\NetProvCredMan.dll
.
- - - - - - - > 'lsass.exe'(1544)
c:\windows\system32\wvauth.dll
.
- - - - - - - > 'explorer.exe'(1444)
c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\program files\Fichiers communs\Roxio Shared\9.0\DLLShared\DLAAPI_W.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Client\Antimalware\MsMpEng.exe
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\drivers\audio\r213367\stacsv.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wscntfy.exe
c:\program files\Windows Desktop Search\WindowsSearch.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2013-10-18 15:31:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2013-10-18 13:31
.
Avant-CF: 46 644 805 632 octets libres
Après-CF: 59 751 436 288 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 70D56D40C793BE92D6E24592E84F4C66
5C616939100B85E558DA92B899A0FC36
0
Réponse 18 / 34
Utilisateur anonyme
18 oct. 2013 à 19:25
super,

ok pour java,

pour la connexion, Combofix supprime certaines choses dont la réinitialisation de DNS, d'où la difficulté de connexion, mais en général, au bout de 2 ou 3 redémarrages, le pc reprend ses esprits !





redémarre ton pc et donne moi des nouvelles de son fonctionnement avant de continuer



0
Réponse 19 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 18/10/2013 à 20:22
re!
merci

erf, faut que j utilise ce pc....mais toujours même soucis même après 4 redémarrage. Oui je peux me connecter à internet, mais le soucis c'est que = sur n'importe qu'elle page internet que j'ouvre j'ai un pop message

"connexion que vous voulez utiliser n est pas sécurisée, d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez, voulez vous continuer?"

j ai le choix :
oui
non
ne plus afficher ce message (hyper tentant --')
0
Réponse 20 / 34
Utilisateur anonyme
18 oct. 2013 à 20:16
coche : " ne plus afficher ce message" tout simplement !


0

Discussions similaires

W32 L32: correspondance entre taille US et taille française
efg -
sibel -

6 réponses
À quoi correspond 32x32 US en taille française pour un jean ?
Alison1958 -
Thordendall -

1 réponse
Taille Us - taille française
Utilisateur anonyme -
Utilisateur anonyme -

3 réponses
Commande internet correspondance taille US pour jean homme.
Larkos -
Zabou -

5 réponses
Win32:Adware-gen [Adw]
nico -
nico -

98 réponses