Votre question

Infecté par un ZeroAccess HELP!

Tags :
  • Windows
  • Rootkit
  • Desktop
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Octobre 2012 11:11:35

Bonjour,
Je viens aujourd'hui vers vous pour vous demander de l'aide... En effet depuis quelque jours je suis infécté d'un ZeroAccess rootkit...
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_32\desktop.ini --> FOUND
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_64\desktop.ini --> FOUND
Pouvez vous m'aider?
Merci d'avance.

Autres pages sur : infecte zeroaccess help

30 Octobre 2012 12:41:04

Voila

ComboFix 12-10-30.01 - Arturo Mozzon 30/10/2012 12:07:28.1.2 - x64
Microsoft Windows 7 Édition Intégrale 6.1.7601.1.1252.32.1036.18.3199.1185 [GMT 1:00]
Lancé depuis: c:\users\Arturo Mozzon\Downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Arturo Mozzon\AppData\Local\Temp\ppcrlui_3892_2
c:\users\ARTURO~1\AppData\Local\Temp\ppcrlui_3892_2
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
.
Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-09-28 au 2012-10-30 ))))))))))))))))))))))))))))))))))))
.
.
2012-10-30 11:13 . 2012-10-30 11:13 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-10-30 10:00 . 2012-10-12 07:19 9291768 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{729EE916-4F22-47EB-9AD2-4CC089926648}\mpengine.dll
2012-10-29 16:37 . 2012-08-24 18:05 340992 ----a-w- c:\windows\system32\schannel.dll
2012-10-29 16:37 . 2012-08-24 18:13 154480 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-10-29 16:37 . 2012-08-24 18:09 458712 ----a-w- c:\windows\system32\drivers\cng.sys
2012-10-29 16:37 . 2012-08-24 18:04 307200 ----a-w- c:\windows\system32\ncrypt.dll
2012-10-29 16:37 . 2012-08-24 18:03 1448448 ----a-w- c:\windows\system32\lsasrv.dll
2012-10-29 16:37 . 2012-08-24 16:57 247808 ----a-w- c:\windows\SysWow64\schannel.dll
2012-10-29 16:37 . 2012-08-24 16:57 22016 ----a-w- c:\windows\SysWow64\secur32.dll
2012-10-29 16:37 . 2012-08-24 16:57 220160 ----a-w- c:\windows\SysWow64\ncrypt.dll
2012-10-29 16:37 . 2012-08-24 16:53 96768 ----a-w- c:\windows\SysWow64\sspicli.dll
2012-10-29 14:30 . 2012-10-30 10:32 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\PS3
2012-10-28 15:58 . 2012-10-28 16:38 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\TeamViewer
2012-10-28 15:58 . 2012-10-28 15:58 -------- d-----w- c:\program files (x86)\TeamViewer
2012-10-27 14:51 . 2012-10-27 14:51 -------- d-----w- c:\windows\SysWow64\Hotspot Shield
2012-10-27 11:34 . 2012-08-21 11:01 33240 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2012-10-27 11:33 . 2012-10-27 11:34 -------- d-----w- c:\programdata\34BE82C4-E596-4e99-A191-52C6199EBF69
2012-10-27 11:33 . 2012-10-27 11:34 -------- d-----w- c:\program files\iTunes
2012-10-27 11:33 . 2012-10-27 11:34 -------- d-----w- c:\program files (x86)\iTunes
2012-10-27 11:33 . 2012-10-27 11:33 -------- d-----w- c:\program files\iPod
2012-10-27 11:32 . 2012-10-27 11:32 -------- d-----w- c:\program files (x86)\Apple Software Update
2012-10-27 11:32 . 2012-10-27 11:32 -------- d-----w- c:\program files\Common Files\Apple
2012-10-27 11:32 . 2012-10-27 11:32 -------- d-----w- c:\program files\Bonjour
2012-10-27 11:32 . 2012-10-27 11:32 -------- d-----w- c:\program files (x86)\Bonjour
2012-10-27 01:01 . 2012-10-27 01:01 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2012-10-27 01:01 . 2012-10-27 01:01 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-10-25 18:04 . 2012-09-29 18:54 25928 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-10-25 16:53 . 2012-10-27 11:40 -------- d-----w- c:\program files (x86)\Mozilla Maintenance Service
2012-10-25 16:34 . 2012-10-25 16:34 -------- d-----w- c:\program files\CCleaner
2012-10-25 16:08 . 2012-09-24 21:16 95208 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-10-25 16:06 . 2012-10-25 16:06 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\Avira
2012-10-25 16:04 . 2012-06-05 22:39 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-10-25 16:04 . 2012-06-05 22:39 27760 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-10-25 16:04 . 2012-06-05 22:39 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-10-25 16:04 . 2012-10-25 16:04 -------- d-----w- c:\programdata\Avira
2012-10-25 16:04 . 2012-10-25 16:04 -------- d-----w- c:\program files (x86)\Avira
2012-10-25 15:55 . 2012-10-25 17:11 -------- d-----w- c:\program files (x86)\Spybot - Search & Destroy
2012-10-25 15:55 . 2012-10-25 16:46 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2012-10-24 17:55 . 2012-10-27 11:22 -------- d-----w- c:\program files (x86)\PuTTY
2012-10-24 16:17 . 2012-10-24 16:17 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\Malwarebytes
2012-10-24 16:17 . 2012-10-24 16:17 -------- d-----w- c:\programdata\Malwarebytes
2012-10-24 16:17 . 2012-10-30 10:19 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-10-21 16:27 . 2012-10-21 16:29 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\Google
2012-10-21 16:27 . 2012-10-21 16:28 -------- d-----w- c:\program files (x86)\Google
2012-10-21 16:26 . 2012-10-21 16:26 -------- d-----w- c:\programdata\AVAST Software
2012-10-21 16:26 . 2012-10-21 16:26 -------- d-----w- c:\program files\AVAST Software
2012-10-17 15:42 . 2012-10-25 16:39 -------- d-----w- c:\windows\system32\appmgmt
2012-10-14 11:21 . 2012-10-14 11:21 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
2012-10-13 10:05 . 2012-10-27 11:09 -------- d-----w- C:\wamp
2012-10-10 19:48 . 2012-10-25 16:36 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\vlc
2012-10-10 19:48 . 2012-10-10 19:48 -------- d-----w- c:\program files (x86)\VideoLAN
2012-10-08 18:43 . 2012-10-08 18:43 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\MySQL
2012-10-08 18:41 . 2012-10-08 18:41 -------- d-----w- c:\program files (x86)\MySQL
2012-10-08 17:58 . 2012-10-08 17:58 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\PDAppFlex
2012-10-08 17:41 . 2012-10-08 17:41 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\Leadertech
2012-10-08 17:41 . 2012-10-08 17:41 53248 ----a-r- c:\users\Arturo Mozzon\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2012-10-08 17:41 . 2012-10-08 17:41 -------- d-----w- c:\program files (x86)\Common Files\LogiShrd
2012-10-08 17:41 . 2012-10-08 17:41 18960 ----a-w- c:\windows\system32\drivers\LNonPnP.sys
2012-10-08 17:40 . 2012-10-08 17:41 -------- d-----w- c:\programdata\Logishrd
2012-10-08 17:40 . 2012-10-08 17:41 -------- d-----w- c:\program files\Logitech
2012-10-08 17:40 . 2012-10-08 17:41 -------- d-----w- c:\program files\Common Files\Logishrd
2012-10-08 17:39 . 2012-10-08 17:41 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\Logitech
2012-10-08 17:39 . 2012-10-08 17:39 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\Logishrd
2012-10-07 18:19 . 2012-10-07 18:19 -------- d-sh--w- c:\windows\SysWow64\%APPDATA%
2012-10-07 17:36 . 2012-10-27 11:11 -------- d-----w- c:\program files (x86)\PDFCreator
2012-10-07 17:28 . 2012-10-27 11:00 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\Nego
2012-10-07 17:05 . 2012-10-07 17:05 -------- d-----w- c:\program files (x86)\SlySoft
2012-10-06 15:28 . 2012-10-06 15:28 -------- d-----w- c:\program files\Common Files\DESIGNER
2012-10-06 15:27 . 2012-10-06 15:27 -------- d-----w- c:\program files\Microsoft Synchronization Services
2012-10-06 15:26 . 2012-10-06 15:26 -------- d-----w- c:\windows\PCHEALTH
2012-10-06 15:26 . 2012-10-06 15:26 -------- d-----w- c:\program files\Microsoft Sync Framework
2012-10-06 15:26 . 2012-10-06 15:26 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2012-10-06 15:24 . 2012-10-06 15:24 -------- d-----w- C:\IDE
2012-10-06 15:24 . 2012-10-06 15:24 -------- d-----w- c:\program files (x86)\Microsoft Visual Studio 8
2012-10-06 15:23 . 2012-10-06 15:23 -------- d-----w- c:\program files\Microsoft Analysis Services
2012-10-06 15:23 . 2012-10-06 15:23 -------- d-----w- c:\program files (x86)\Microsoft Analysis Services
2012-10-06 15:22 . 2012-10-06 15:22 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\Microsoft Help
2012-10-06 15:22 . 2012-10-06 15:26 -------- d-----w- c:\program files\Microsoft Office
2012-10-06 15:22 . 2012-10-27 01:09 -------- d-----w- c:\programdata\Microsoft Help
2012-10-06 15:21 . 2012-10-25 16:32 -------- d-----r- C:\MSOCache
2012-10-04 19:47 . 2012-10-04 19:47 319456 ----a-w- c:\windows\DIFxAPI.dll
2012-10-04 19:45 . 2006-10-19 01:12 13632 ----a-w- c:\windows\SysWow64\drivers\AsIO.sys
2012-10-04 19:45 . 2006-01-10 14:50 24576 ----a-w- c:\windows\SysWow64\AsIO.dll
2012-10-04 19:45 . 2012-10-04 19:45 -------- d-----w- c:\program files (x86)\ASUS
2012-10-04 19:43 . 2012-10-04 19:43 -------- d-----w- c:\program files (x86)\Intel
2012-10-04 19:43 . 2012-10-04 19:43 -------- d-----w- C:\Intel
2012-10-04 19:42 . 2012-10-25 15:49 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\Akamai
2012-10-04 19:36 . 2012-10-04 19:36 -------- d-----w- c:\program files (x86)\Intel Corporation
2012-10-01 18:56 . 2012-10-01 18:56 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\CRE
2012-10-01 18:56 . 2012-10-25 16:35 -------- d-----w- c:\program files (x86)\Conduit
2012-10-01 18:56 . 2012-10-25 16:39 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\Conduit
2012-10-01 18:56 . 2012-10-01 18:56 -------- d-----w- c:\program files (x86)\BitTorrent
2012-10-01 18:55 . 2012-10-29 22:52 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\BitTorrent
2012-09-30 21:39 . 2012-09-30 21:40 -------- d-----w- C:\84dbc89ad40127fa94657e6d34
2012-09-30 20:47 . 2012-09-30 20:47 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\Macroplant_LLC
2012-09-30 20:46 . 2012-09-30 20:46 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin7.dll
2012-09-30 20:46 . 2012-09-30 20:46 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin6.dll
2012-09-30 20:46 . 2012-09-30 20:46 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin5.dll
2012-09-30 20:46 . 2012-09-30 20:46 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin4.dll
2012-09-30 20:46 . 2012-09-30 20:46 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin3.dll
2012-09-30 20:46 . 2012-09-30 20:46 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin2.dll
2012-09-30 20:46 . 2012-09-30 20:46 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin.dll
2012-09-30 20:45 . 2012-10-27 11:08 -------- d-----w- c:\program files (x86)\QuickTime
2012-09-30 20:45 . 2012-04-09 14:27 223760 ----a-w- c:\windows\SysWow64\CbFsNetRdr3.dll
2012-09-30 20:45 . 2012-04-09 14:27 190480 ----a-w- c:\windows\system32\CbFsMntNtf3.dll
2012-09-30 20:45 . 2012-04-09 14:27 158224 ----a-w- c:\windows\SysWow64\CbFsMntNtf3.dll
2012-09-30 20:45 . 2012-04-09 14:27 141328 ----a-w- c:\windows\system32\CbFsNetRdr3.dll
2012-09-30 20:44 . 2012-04-09 14:27 352144 ----a-w- c:\windows\system32\drivers\cbfs3.sys
2012-09-30 20:21 . 2012-10-04 18:34 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\BackupTrans
2012-09-30 17:52 . 2012-09-30 18:50 -------- d-----w- c:\users\Arturo Mozzon\.shsh
2012-09-30 17:27 . 2012-09-30 17:27 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\DiskAid
2012-09-30 17:20 . 2012-09-30 17:20 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\iFunbox_UserCache
2012-09-30 17:20 . 2012-10-04 18:35 -------- d-----w- c:\program files (x86)\i-Funbox DevTeam
2012-09-30 17:17 . 2012-10-25 16:36 -------- d-----w- c:\users\Arturo Mozzon\AppData\Roaming\OpenCandy
2012-09-30 17:17 . 2012-10-05 04:11 -------- d-----w- c:\program files (x86)\Reincubate
2012-09-30 16:32 . 2012-09-30 16:35 -------- d-----w- c:\users\Arturo Mozzon\AppData\Local\libimobiledevice
2012-09-30 16:27 . 2012-09-30 16:27 -------- d-----w- c:\windows\Sun
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-29 11:01 . 2010-11-21 03:24 14848 ----a-w- c:\windows\system32\slwga.dll
2012-10-29 11:01 . 2010-11-21 03:24 419840 ----a-w- c:\windows\system32\systemcpl.dll
2012-10-29 11:01 . 2010-11-21 03:23 13824 ----a-w- c:\windows\SysWow64\slwga.dll
2012-10-29 11:01 . 2010-11-21 03:24 833024 ----a-w- c:\windows\SysWow64\user32.dll
2012-10-29 11:01 . 2010-11-21 03:24 1008640 ----a-w- c:\windows\system32\user32.dll
2012-10-27 01:06 . 2012-09-17 19:06 65309168 ----a-w- c:\windows\system32\MRT.exe
2012-10-10 11:51 . 2012-09-16 16:59 73656 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-10-10 11:51 . 2012-09-16 16:59 696760 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-09-29 13:12 . 2012-09-29 13:12 746984 ----a-w- c:\windows\SysWow64\deployJava1.dll
2012-09-29 13:12 . 2012-09-29 13:12 821736 ----a-w- c:\windows\SysWow64\npDeployJava1.dll
2012-09-24 13:03 . 2012-09-24 13:03 3089408 ----a-w- c:\users\Arturo Mozzon\dd-wrt.v24_mini_wrt54g(1).bin
2012-09-24 12:25 . 2012-09-24 12:25 3710976 ----a-w- c:\users\Arturo Mozzon\dd-wrt.v24_std_generic.bin
2012-09-24 12:08 . 2012-09-24 12:08 3088384 ----a-w- c:\users\Arturo Mozzon\dd-wrt.v24_mini_generic.bin
2012-09-24 11:56 . 2012-09-24 11:56 3089408 ----a-w- c:\users\Arturo Mozzon\dd-wrt.v24_mini_wrt54g.bin
2012-09-17 19:09 . 2012-09-17 19:09 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2012-09-17 19:09 . 2012-09-17 19:09 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2012-09-17 19:09 . 2012-09-17 19:09 89088 ----a-w- c:\windows\system32\ie4uinit.exe
2012-09-17 19:09 . 2012-09-17 19:09 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
2012-09-17 19:09 . 2012-09-17 19:09 85504 ----a-w- c:\windows\system32\iesetup.dll
2012-09-17 19:09 . 2012-09-17 19:09 82432 ----a-w- c:\windows\system32\icardie.dll
2012-09-17 19:09 . 2012-09-17 19:09 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
2012-09-17 19:09 . 2012-09-17 19:09 76800 ----a-w- c:\windows\system32\tdc.ocx
2012-09-17 19:09 . 2012-09-17 19:09 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
2012-09-17 19:09 . 2012-09-17 19:09 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
2012-09-17 19:09 . 2012-09-17 19:09 65024 ----a-w- c:\windows\system32\pngfilt.dll
2012-09-17 19:09 . 2012-09-17 19:09 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
2012-09-17 19:09 . 2012-09-17 19:09 55296 ----a-w- c:\windows\system32\msfeedsbs.dll
2012-09-17 19:09 . 2012-09-17 19:09 534528 ----a-w- c:\windows\system32\ieapfltr.dll
2012-09-17 19:09 . 2012-09-17 19:09 49664 ----a-w- c:\windows\system32\imgutil.dll
2012-09-17 19:09 . 2012-09-17 19:09 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
2012-09-17 19:09 . 2012-09-17 19:09 48640 ----a-w- c:\windows\system32\mshtmler.dll
2012-09-17 19:09 . 2012-09-17 19:09 452608 ----a-w- c:\windows\system32\dxtmsft.dll
2012-09-17 19:09 . 2012-09-17 19:09 448512 ----a-w- c:\windows\system32\html.iec
2012-09-17 19:09 . 2012-09-17 19:09 403248 ----a-w- c:\windows\system32\iedkcs32.dll
2012-09-17 19:09 . 2012-09-17 19:09 39936 ----a-w- c:\windows\system32\iernonce.dll
2012-09-17 19:09 . 2012-09-17 19:09 3695416 ----a-w- c:\windows\system32\ieapfltr.dat
2012-09-17 19:09 . 2012-09-17 19:09 367104 ----a-w- c:\windows\SysWow64\html.iec
2012-09-17 19:09 . 2012-09-17 19:09 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
2012-09-17 19:09 . 2012-09-17 19:09 30720 ----a-w- c:\windows\system32\licmgr10.dll
2012-09-17 19:09 . 2012-09-17 19:09 282112 ----a-w- c:\windows\system32\dxtrans.dll
2012-09-17 19:09 . 2012-09-17 19:09 267776 ----a-w- c:\windows\system32\ieaksie.dll
2012-09-17 19:09 . 2012-09-17 19:09 249344 ----a-w- c:\windows\system32\webcheck.dll
2012-09-17 19:09 . 2012-09-17 19:09 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
2012-09-17 19:09 . 2012-09-17 19:09 222208 ----a-w- c:\windows\system32\msls31.dll
2012-09-17 19:09 . 2012-09-17 19:09 197120 ----a-w- c:\windows\system32\msrating.dll
2012-09-17 19:09 . 2012-09-17 19:09 165888 ----a-w- c:\windows\system32\iexpress.exe
2012-09-17 19:09 . 2012-09-17 19:09 163840 ----a-w- c:\windows\system32\ieakui.dll
2012-09-17 19:09 . 2012-09-17 19:09 161792 ----a-w- c:\windows\SysWow64\msls31.dll
2012-09-17 19:09 . 2012-09-17 19:09 160256 ----a-w- c:\windows\system32\wextract.exe
2012-09-17 19:09 . 2012-09-17 19:09 160256 ----a-w- c:\windows\system32\ieakeng.dll
2012-09-17 19:09 . 2012-09-17 19:09 152064 ----a-w- c:\windows\SysWow64\wextract.exe
2012-09-17 19:09 . 2012-09-17 19:09 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
2012-09-17 19:09 . 2012-09-17 19:09 149504 ----a-w- c:\windows\system32\occache.dll
2012-09-17 19:09 . 2012-09-17 19:09 145920 ----a-w- c:\windows\system32\iepeers.dll
2012-09-17 19:09 . 2012-09-17 19:09 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
2012-09-17 19:09 . 2012-09-17 19:09 12288 ----a-w- c:\windows\system32\mshta.exe
2012-09-17 19:09 . 2012-09-17 19:09 11776 ----a-w- c:\windows\SysWow64\mshta.exe
2012-09-17 19:09 . 2012-09-17 19:09 114176 ----a-w- c:\windows\system32\admparse.dll
2012-09-17 19:09 . 2012-09-17 19:09 111616 ----a-w- c:\windows\system32\iesysprep.dll
2012-09-17 19:09 . 2012-09-17 19:09 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
2012-09-17 19:09 . 2012-09-17 19:09 10752 ----a-w- c:\windows\system32\msfeedssync.exe
2012-09-17 19:09 . 2012-09-17 19:09 103936 ----a-w- c:\windows\system32\inseng.dll
2012-09-17 19:09 . 2012-09-17 19:09 101888 ----a-w- c:\windows\SysWow64\admparse.dll
2012-09-13 05:14 . 2012-09-29 18:26 237400 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2012-09-13 05:13 . 2012-09-13 05:13 131416 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
2012-09-13 05:13 . 2012-09-29 18:26 119640 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2012-08-24 11:15 . 2012-09-24 11:20 17810944 ----a-w- c:\windows\system32\mshtml.dll
2012-08-24 10:39 . 2012-09-24 11:20 10925568 ----a-w- c:\windows\system32\ieframe.dll
2012-08-24 10:31 . 2012-09-24 11:20 2312704 ----a-w- c:\windows\system32\jscript9.dll
2012-08-24 10:22 . 2012-09-24 11:20 1346048 ----a-w- c:\windows\system32\urlmon.dll
2012-08-24 10:21 . 2012-09-24 11:20 1392128 ----a-w- c:\windows\system32\wininet.dll
2012-08-24 10:20 . 2012-09-24 11:20 1494528 ----a-w- c:\windows\system32\inetcpl.cpl
2012-08-24 10:18 . 2012-09-24 11:20 237056 ----a-w- c:\windows\system32\url.dll
2012-08-24 10:17 . 2012-09-24 11:20 85504 ----a-w- c:\windows\system32\jsproxy.dll
2012-08-24 10:14 . 2012-09-24 11:20 173056 ----a-w- c:\windows\system32\ieUnatt.exe
2012-08-24 10:14 . 2012-09-24 11:20 816640 ----a-w- c:\windows\system32\jscript.dll
2012-08-24 10:13 . 2012-09-24 11:20 599040 ----a-w- c:\windows\system32\vbscript.dll
2012-08-24 10:12 . 2012-09-24 11:20 2144768 ----a-w- c:\windows\system32\iertutil.dll
2012-08-24 10:11 . 2012-09-24 11:20 729088 ----a-w- c:\windows\system32\msfeeds.dll
2012-08-24 10:10 . 2012-09-24 11:20 96768 ----a-w- c:\windows\system32\mshtmled.dll
2012-08-24 10:09 . 2012-09-24 11:20 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-08-24 10:04 . 2012-09-24 11:20 248320 ----a-w- c:\windows\system32\ieui.dll
2012-08-24 06:59 . 2012-09-24 11:20 1800704 ----a-w- c:\windows\SysWow64\jscript9.dll
2012-08-24 06:51 . 2012-09-24 11:20 1129472 ----a-w- c:\windows\SysWow64\wininet.dll
2012-08-24 06:51 . 2012-09-24 11:20 1427968 ----a-w- c:\windows\SysWow64\inetcpl.cpl
2012-08-24 06:47 . 2012-09-24 11:20 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
2012-08-24 06:47 . 2012-09-24 11:20 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
2012-08-24 06:43 . 2012-09-24 11:20 2382848 ----a-w- c:\windows\SysWow64\mshtml.tlb
2012-08-22 18:12 . 2012-09-16 19:49 1913200 ----a-w- c:\windows\system32\drivers\tcpip.sys
2012-08-22 18:12 . 2012-09-16 19:49 376688 ----a-w- c:\windows\system32\drivers\netio.sys
2012-08-22 18:12 . 2012-09-16 19:46 950128 ----a-w- c:\windows\system32\drivers\ndis.sys
2012-08-22 18:12 . 2012-09-16 19:49 288624 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2012-08-21 21:01 . 2012-09-25 17:03 245760 ----a-w- c:\windows\system32\OxpsConverter.exe
2012-08-21 11:01 . 2012-08-21 11:01 125872 ----a-w- c:\windows\system32\GEARAspi64.dll
2012-08-21 11:01 . 2012-08-21 11:01 106928 ----a-w- c:\windows\SysWow64\GEARAspi.dll
2012-08-20 17:38 . 2012-10-29 16:14 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2012-08-02 17:58 . 2012-09-16 19:46 574464 ----a-w- c:\windows\system32\d3d10level9.dll
2012-08-02 16:57 . 2012-09-16 19:46 490496 ----a-w- c:\windows\SysWow64\d3d10level9.dll
2012-08-01 18:13 . 2012-08-01 18:13 41704 ----a-w- c:\windows\system32\drivers\hssdrv6.sys
2012-08-01 18:13 . 2012-08-01 18:13 38632 ----a-w- c:\windows\system32\drivers\taphss.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2010-11-21 . FE70103391A64039A921DBFFF9C7AB1B . 1008128 . . [6.1.7601.17514] .. c:\windows\erdnt\cache64\user32.dll
[7] 2010-11-21 . FE70103391A64039A921DBFFF9C7AB1B . 1008128 . . [6.1.7601.17514] .. c:\windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll
[-] 2012-10-29 . 2C353B6CE0C8D03225CAA2AF33B68D79 . 1008640 . . [6.1.7601.17514] .. c:\windows\system32\user32.dll
.
[-] 2012-10-29 . 861C4346F9281DC0380DE72C8D55D6BE . 833024 . . [6.1.7601.17514] .. c:\windows\SysWOW64\user32.dll
[7] 2010-11-21 . 5E0DB2D8B2750543CD2EBB9EA8E6CDD3 . 833024 . . [6.1.7601.17514] .. c:\windows\erdnt\cache86\user32.dll
[7] 2010-11-21 . 5E0DB2D8B2750543CD2EBB9EA8E6CDD3 . 833024 . . [6.1.7601.17514] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
2012-08-01 18:13 233288 ----a-w- c:\program files (x86)\Hotspot Shield\HssIE\HssIE.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay]
@="{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}"
[HKEY_CLASSES_ROOT\CLSID\{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}]
2012-04-09 14:27 158224 ----a-w- c:\windows\SysWOW64\CbFsMntNtf3.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-07-13 17418928]
"Spotify"="c:\users\Arturo Mozzon\AppData\Roaming\Spotify\Spotify.exe" [2012-10-27 7880664]
"Spotify Web Helper"="c:\users\Arturo Mozzon\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-10-27 1199576]
"Akamai NetSession Interface"="c:\users\Arturo Mozzon\AppData\Local\Akamai\netsession_win.exe" [2012-10-09 4441920]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2010-06-07 618496]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS6ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-03-09 1073312]
"Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2012-07-27 36800]
"Acrobat Assistant 8.0"="c:\program files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2012-07-27 823224]
"CloneCDTray"="c:\program files (x86)\SlySoft\CloneCD\CloneCDTray.exe" [2009-01-29 57344]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-07-02 348664]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=0 (0x0)
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-09-29 676936]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944]
R2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-10 250808]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 71168]
R3 evserial;Virtual Serial Ports Driver (Eltima Softwate);c:\windows\system32\DRIVERS\evserial.sys [2009-01-08 67072]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-10-27 115168]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 19456]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [2010-11-21 88960]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [2012-08-23 29696]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2012-08-23 57856]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 30208]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [2010-11-21 117248]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-07-09 52736]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2012-09-13 131416]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 vpcuxd;Service stub de virtualisation USB;c:\windows\system32\DRIVERS\vpcuxd.sys [2010-11-20 16384]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2012-09-17 1255736]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-09-28 395264]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2011-11-03 56208]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-06-05 27760]
S1 HssDRV6;Hotspot Shield Routing Driver 6;c:\windows\system32\DRIVERS\hssdrv6.sys [2012-08-01 41704]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2012-09-13 237400]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2012-09-13 119640]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-07-27 63960]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 203264]
S2 AntiVirSchedulerService;Avira Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-07-02 86224]
S2 hshld;Hotspot Shield Service;c:\program files (x86)\Hotspot Shield\bin\openvpnas.exe [2012-08-03 476016]
S2 HssWd;Hotspot Shield Monitoring Service;c:\program files (x86)\Hotspot Shield\bin\hsswd.exe [2012-08-03 387440]
S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-09-29 399432]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2012-10-23 2848168]
S3 cbfs3;EldoS Callback File System driver v3;c:\windows\system32\DRIVERS\cbfs3.sys [2012-04-09 352144]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-09-29 25928]
S3 VSBC;Virtual Serial Bus Enumerator (Eltima Software);c:\windows\system32\DRIVERS\evsbc.sys [2009-01-08 32768]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-10-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-16 11:51]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay]
@="{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}"
[HKEY_CLASSES_ROOT\CLSID\{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}]
2012-04-09 14:27 190480 ----a-w- c:\windows\System32\CbFsMntNtf3.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-04-04 446392]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2011-10-07 1744152]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.be/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>;*.local
uSearchAssistant = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=BE&userid=b7d3219a-0564-4ba0-9ecc-84965345208a&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
Trusted Zone: samsungsetup.com\www
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Arturo Mozzon\AppData\Roaming\Mozilla\Firefox\Profiles\zed1yrir.default\
FF - ExtSQL: 2012-09-30 12:52; web2pdfextension@web2pdf.adobedotcom; c:\program files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
.
**************************************************************************
.
Heure de fin: 2012-10-30 12:27:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-10-30 11:27
.
Avant-CF: 86.742.859.776 octets libres
Après-CF: 86.877.548.544 octets libres
.
- - End Of File - - E61BAB741724EC0EB99B5B2CB3B13167
Contenus similaires
a b 8 Sécurité
30 Octobre 2012 12:43:10

Et ma question ? Tu peux désinstaller Spybot, il est obsolète.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    30 Octobre 2012 12:54:29

    L'analyse est maintenant lancée.
    J'ai utilisé Avast.
    Merci beaucoup je poste le résultat dés que c'est fini.
    a b 8 Sécurité
    30 Octobre 2012 14:03:52

    Re,

    Des petites traces d'adware avec le rootkit.

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE - HKU\S-1-5-21-4126521245-2906461358-3025430684-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=BE&userid=b7d3219a-0564-4ba0-9ecc-84965345208a&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}
      IE - HKU\S-1-5-21-4126521245-2906461358-3025430684-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=BE&userid=b7d3219a-0564-4ba0-9ecc-84965345208a&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}
      IE - HKU\S-1-5-21-4126521245-2906461358-3025430684-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=BE&userid=b7d3219a-0564-4ba0-9ecc-84965345208a&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}
      IE - HKU\S-1-5-21-4126521245-2906461358-3025430684-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111020&tt=300912_IKAN_4012_5&babsrc=SP_ss&mntrId=c2c6875e00000000000000ffca4715fb
      CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\Arturo Mozzon\AppData\Local\Google\Chrome\User Data\Default\Extensions\elhjaoldnkkbifioodjndkijecdeinld\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll
      O4 - HKLM..\Run: [] File not found
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-4126521245-2906461358-3025430684-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-4126521245-2906461358-3025430684-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-4126521245-2906461358-3025430684-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O8:[b]64bit:[/b] - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 File not found
      O8:[b]64bit:[/b] - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
      O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 File not found
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
      [2012/10/01 19:56:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
      [2012/10/01 19:56:21 | 000,000,000 | ---D | C] -- C:\Users\Arturo Mozzon\AppData\Local\Conduit

      :Commands
      [emptytemp]
      [resethosts]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne l'option Recherche
    • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
    a b 8 Sécurité
    30 Octobre 2012 15:45:16

    Re,

    • Relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


  • Tu as encore des soucis ? On va faire les mises à jour, car si tu les avais faite, pas de rootkit.

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    30 Octobre 2012 16:49:13

    Merci,
    Effectivement je n'ai plus de rootkit!! :) 
    Et le logiciel dis que tout est à jour.
    Un grand merci! :) 
    a b 8 Sécurité
    30 Octobre 2012 17:00:11

    Rapport stp quand même.

    On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.

  • /!\ Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection /!\
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS