TR/ATRAPS.Gen2 et TR/Sireff.AB.77 2013-03-28T17:52:27+00:00

Dépannage Informatique : TR/ATRAPS.Gen2 et TR/Sireff.AB.77

  • Auteur
    Messages
  • mat.crouz
    Participant
    Nombre d'articles : 29

    Bonjour.

    J’ai moi aussi découvert ces “infestations” (TR/ATRAPS.Gen2 & TR/Sirefef.AB.77) avec un scan d’Antivir sur mon PC portable que j’utilise pour le travail.
    Comment puis-je m’en débarrasser ?

    Merci d’avance.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    salut

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l’outil sur d’autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus “non vitaux de windows” vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan –> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc….: http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm” onclick=”window.open(this.href);return false;

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html” onclick=”window.open(this.href);return false; (renommé winlogon)

    ou , si le lien n’est pas fonctionnel :

    http://www.archive-host.com/files/1731274/ecd939269bcc7cdfed2d2e726c22709a32db3067/winlogon.exe” onclick=”window.open(this.href);return false; (renommé winlogon)
    http://www.security-helpzone.com/Tools/g3n/winlogon.exe” onclick=”window.open(this.href);return false; (renommé winlogon)

    si l’outil est relancé plusieurs fois , il te proposera un menu et qu’aucune option n’est demandée, lance l’option “Scan|Kill”

    si l’outil est bloqué par l’infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr” onclick=”window.open(this.href);return false;
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif” onclick=”window.open(this.href);return false;
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com” onclick=”window.open(this.href);return false;

    si l’outil detecte un proxy et que tu n’en as pas installé clique sur “supprimer le proxy”

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    l’outil va envoyer sur un serveur les virus qu’il a mis en quarantaine afin que je puisse l’ameliorer et etudier ces infections plus en profondeur.

    Laisse l’outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l’heure.txt qui apparaitra à la racine de ton disque système ( généralement C: )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://cjoint.com” onclick=”window.open(this.href);return false; puis donne le lien obtenu en echange sur le forum où tu te fais aider

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Merci pour ton aide.

    Voilà le lien : http://cjoint.com/?CCCuZEy2QA0” onclick=”window.open(this.href);return false; pour le rapport.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    relance l’outil , clique sur Diag puis heberge le rapport pre_diag et donne le lien

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Pardon pour le retard.
    Voici le lien pour le pre-dig : http://cjoint.com/?CCDvGt3WZ25” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    desinstalle tout java

    il est bien lourd cet explorer.exe , c’est pas son poids ca d’habitude sur un systeme comme le tien…..

    on va verifier meme si c’est un coup dans l’eau au moins on est sûrs…

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    http://www.virustotal.com/index.html” onclick=”window.open(this.href);return false; Virus Total

    clique sur “Parcourir” et trouve puis selectionne ce(s) fichier(s) :

    C:windowsexplorer.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que “Situation actuelle : en cours d’analyse” est affiché.
    * Il est possible que le fichier soit mis en file d’attente en raison d’un grand nombre de demandes d’analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l’analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Comment je desinstalle tout java ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    demarrer => panneau de config => programmes et fonctionnalités => dans la liste tu vires tout ce qui a attrait à Java

  • mat.crouz
    Participant
    Nombre d'articles : 29

    j’ai viré :
    java 6 update 18
    java 6 update 30

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    bien la suite

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Je suis sur virustotal et je lance “Analyser” -> chargement du fichier…

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    et ?

  • mat.crouz
    Participant
    Nombre d'articles : 29
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    c’est bien le explorer.exe qui etait dans le dossier windows que tu as analysé ?????????

  • mat.crouz
    Participant
    Nombre d'articles : 29

    oui je pense

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    tu penses ou tu es sur ?

  • mat.crouz
    Participant
    Nombre d'articles : 29

    ben sur alors !

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    /! ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!

    __________________________________________________________
    >Ce logiciel n’est à utiliser que prescrit par un helper qualifié et formé à l’outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================

    Surtout , pense à l’enregistrement à renommer Combofix en “ton prenom.exe” avant qu’il soit enregistré sur ton disque dur

    Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe” onclick=”window.open(this.href);return false; Combofix

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l’utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l’outil.
    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit “executer en tant que….”

    sur combofix renommé

    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER…..)!!!!!

    n’oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    Reviens sur le forum, et copie et colle la totalité du contenu de C:Combofix.txt dans ton prochain message.

  • mat.crouz
    Participant
    Nombre d'articles : 29

    ok
    Je telecharge combofix et je le lancerai demain. Je posterai le rapport en suivant.
    Merci en tout cas pour ton aide !

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    ok n’oublie pas de le renommer c’est important

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Voila le Combofix.txt :

    ComboFix 13-03-30.01 – Mathieu 30/03/2013 9:47.1.2 – x64
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4056.2415 [GMT 1:00]
    Lancé depuis: c:usersMathieuDesktopmat.exe
    AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
    SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2013-02-28 au 2013-03-30 ))))))))))))))))))))))))))))))))))))
    .
    .
    2013-03-29 20:55 . 2013-03-29 20:55


    d


    w- c:usersMathieuAppDataLocalElevatedDiagnostics
    2013-03-28 19:47 . 2011-07-05 14:00 19968 —-a-w- c:windowsSysWow64services.exe
    2013-03-28 19:32 . 2013-03-29 20:25


    d


    w- C:Pre_Scan
    2013-03-19 12:21 . 2013-03-19 12:21


    d


    w- c:program filesMicrosoft Silverlight
    2013-03-19 12:21 . 2013-03-19 12:21


    d


    w- c:program files (x86)Microsoft Silverlight
    2013-03-09 20:15 . 2013-03-09 20:15


    d


    r- c:usersMathieuAppDataRoamingBrother
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2013-03-19 12:23 . 2012-09-30 18:23 72013344 —-a-w- c:windowssystem32MRT.exe
    2013-03-18 20:17 . 2012-05-11 03:13 73432 —-a-w- c:windowsSysWow64FlashPlayerCPLApp.cpl
    2013-03-18 20:17 . 2012-05-11 03:13 693976 —-a-w- c:windowsSysWow64FlashPlayerApp.exe
    2013-02-12 05:45 . 2013-03-13 21:21 135168 —-a-w- c:windowsapppatchAppPatch64AcXtrnal.dll
    2013-02-12 05:45 . 2013-03-13 21:21 308736 —-a-w- c:windowsapppatchAppPatch64AcGenral.dll
    2013-02-12 05:45 . 2013-03-13 21:21 350208 —-a-w- c:windowsapppatchAppPatch64AcLayers.dll
    2013-02-12 05:45 . 2013-03-13 21:21 111104 —-a-w- c:windowsapppatchAppPatch64acspecfc.dll
    2013-02-12 04:48 . 2013-03-13 21:21 474112 —-a-w- c:windowsapppatchAcSpecfc.dll
    2013-02-12 04:48 . 2013-03-13 21:21 2176512 —-a-w- c:windowsapppatchAcGenral.dll
    2013-01-05 05:53 . 2013-02-25 21:00 5553512 —-a-w- c:windowssystem32ntoskrnl.exe
    2013-01-05 05:00 . 2013-02-25 21:00 3967848 —-a-w- c:windowsSysWow64ntkrnlpa.exe
    2013-01-05 05:00 . 2013-02-25 21:00 3913064 —-a-w- c:windowsSysWow64ntoskrnl.exe
    2013-01-04 05:46 . 2013-02-25 20:45 215040 —-a-w- c:windowssystem32winsrv.dll
    2013-01-04 04:51 . 2013-02-25 20:45 5120 —-a-w- c:windowsSysWow64wow32.dll
    2013-01-04 04:43 . 2013-02-25 20:45 44032 —-a-w- c:windowsapppatchacwow64.dll
    2013-01-04 03:26 . 2013-02-25 20:59 3153408 —-a-w- c:windowssystem32win32k.sys
    2013-01-04 02:47 . 2013-02-25 20:45 25600 —-a-w- c:windowsSysWow64setup16.exe
    2013-01-04 02:47 . 2013-02-25 20:45 7680 —-a-w- c:windowsSysWow64instnm.exe
    2013-01-04 02:47 . 2013-02-25 20:45 2048 —-a-w- c:windowsSysWow64user.exe
    2013-01-04 02:47 . 2013-02-25 20:45 14336 —-a-w- c:windowsSysWow64ntvdm64.dll
    2013-01-03 06:00 . 2013-02-25 20:45 1913192 —-a-w- c:windowssystem32driverstcpip.sys
    2013-01-03 06:00 . 2013-02-25 20:45 288088 —-a-w- c:windowssystem32driversFWPKCLNT.SYS
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
    “TOPI.EXE”=”c:program files (x86)TOSHIBATOSHIBA Online Product Informationtopi.exe” [2011-05-16 846936]
    .
    [HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun]
    “NBAgent”=”c:program files (x86)NeroNero 11Nero BackItUpNBAgent.exe” [2011-11-18 1492264]
    “Adobe ARM”=”c:program files (x86)Common FilesAdobeARM1.0AdobeARM.exe” [2011-06-06 937920]
    “StartCCC”=”c:program files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” [2012-01-20 343168]
    “USB3MON”=”c:program files (x86)IntelIntel(R) USB 3.0 eXtensible Host Controller DriverApplicationiusb3mon.exe” [2012-01-05 291608]
    “ToshibaServiceStation”=”c:program files (x86)TOSHIBATOSHIBA Service StationToshibaServiceStation.exe” [2011-07-12 1298816]
    “avgnt”=”c:program files (x86)AviraAntiVir Desktopavgnt.exe” [2011-02-04 281768]
    .
    [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
    “TOPI.EXE”=”c:program files (x86)TOSHIBATOSHIBA Online Product Informationtopi.exe” [2011-05-16 846936]
    .
    c:usersMathieuAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
    OpenOffice.org 3.2.lnk – c:program files (x86)OpenOffice.org 3programquickstart.exe [2009-12-15 384000]
    .
    c:programdataMicrosoftWindowsStart MenuProgramsStartup
    Toshiba Places Icon Utility.lnk – c:program filesTOSHIBATOSHIBA Places Icon UtilityTosDIMonitor.exe [2012-5-11 1492352]
    .
    c:usersDefault UserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
    TRDCReminder.lnk – c:program files (x86)TOSHIBATRDCReminderTRDCReminder.exe [2009-9-1 481184]
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
    “ConsentPromptBehaviorAdmin”= 0 (0x0)
    “ConsentPromptBehaviorUser”= 3 (0x3)
    “EnableUIADesktopToggle”= 0 (0x0)
    “PromptOnSecureDesktop”= 0 (0x0)
    “EnableLinkedConnections”= 1 (0x1)
    “EnablELUA”= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINEsoftwarewow6432nodemicrosoftwindows ntcurrentversiondrivers32]
    “aux1″=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMCODS]
    @=””
    .
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:windowsMicrosoft.NETFramework64v4.0.30319mscorsvw.exe [2010-03-18 138576]
    R2 SkypeUpdate;Skype Updater;c:program files (x86)SkypeUpdaterUpdater.exe [2012-07-13 160944]
    R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:windowssystem32DRIVERSssudbus.sys [2012-09-19 102368]
    R3 RTL8167;Realtek 8167 NT Driver;c:windowssystem32DRIVERSRt64win7.sys [2011-08-24 565352]
    R3 TDEIO;TDEIO;c:windowsSysWOW64sysprepBOOTPRIOtdeio64.sys [x]
    R3 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:program files (x86)Toshiba TEMPROTemproSvc.exe [2011-02-10 112080]
    R3 TMachInfo;TMachInfo;c:program files (x86)TOSHIBATOSHIBA Service StationTMachInfo.exe [2011-07-12 57216]
    R3 TsUsbFlt;TsUsbFlt;c:windowssystem32driverstsusbflt.sys [2010-11-21 59392]
    R3 TsUsbGD;Remote Desktop Generic USB Device;c:windowssystem32driversTsUsbGD.sys [2010-11-21 31232]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:windowssystem32WatWatAdminSvc.exe [2012-09-28 1255736]
    R4 wlcrasvc;Windows Live Mesh remote connections service;c:program filesWindows LiveMeshwlcrasvc.exe [2010-09-23 57184]
    S0 iusb3hcs;Intel(R) USB 3.0 Host Controller Switch Driver;c:windowssystem32DRIVERSiusb3hcs.sys [2012-01-05 16152]
    S0 NBVol;Nero Backup Volume Filter Driver;c:windowssystem32DRIVERSNBVol.sys [2011-12-01 72240]
    S0 NBVolUp;Nero Backup Volume Upper Filter Driver;c:windowssystem32DRIVERSNBVolUp.sys [2011-12-01 15920]
    S2 AMD External Events Utility;AMD External Events Utility;c:windowssystem32atiesrxx.exe [2012-01-20 235520]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:program files (x86)AviraAntiVir Desktopsched.exe [2012-09-16 136360]
    S2 GFNEXSrv;GFNEX Service;c:windowsSystem32GFNEXSrv.exe [2010-09-10 162824]
    S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:program filesInteliCLS ClientHeciServer.exe [2012-02-03 628448]
    S2 Intel(R) ME Service;Intel(R) ME Service;c:program files (x86)IntelIntel(R) Management Engine ComponentsFWServiceIntelMeFWService.exe [2012-02-21 128280]
    S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:program files (x86)IntelIntel(R) Management Engine ComponentsDALjhi_service.exe [2012-02-21 161560]
    S2 NAUpdate;Nero Update;c:program files (x86)NeroUpdateNASvc.exe [2011-11-04 687400]
    S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:program filesTOSHIBATECOTecoService.exe [2011-11-24 294848]
    S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:windowssystem32DRIVERSTVALZFL.sys [2009-06-20 14472]
    S2 UNS;Intel(R) Management and Security Application User Notification Service;c:program files (x86)IntelIntel(R) Management Engine ComponentsUNSUNS.exe [2012-02-29 363800]
    S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:windowssystem32driversAtihdW76.sys [2011-10-17 93712]
    S3 iusb3hub;Intel(R) USB 3.0 Hub Driver;c:windowssystem32DRIVERSiusb3hub.sys [2012-01-05 355096]
    S3 iusb3xhc;Intel(R) USB 3.0 eXtensible Host Controller Driver;c:windowssystem32DRIVERSiusb3xhc.sys [2012-01-05 786200]
    S3 PGEffect;Pangu effect driver;c:windowssystem32DRIVERSpgeffect.sys [2011-02-09 38096]
    S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:windowssystem32DriversRtsUStor.sys [2011-08-17 251496]
    S3 RTL8192Ce;Realtek Wireless LAN 802.11n PCI-E NIC Driver;c:windowssystem32DRIVERSrtl8192Ce.sys [2011-07-18 1145448]
    S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:program filesTOSHIBATOSHIBA HDD SSD AlertTosSmartSrv.exe [2011-11-26 138152]
    S3 TPCHSrv;TPCH Service;c:program filesTOSHIBATPHMTPCHSrv.exe [2011-12-14 833976]
    .
    .
    — Autres Services/Pilotes en mémoire —
    .
    *NewlyCreated* – WS2IFSL
    .
    Contenu du dossier ‘Tâches planifiées’
    .
    2013-03-30 c:windowsTasksAdobe Flash Player Updater.job
    – c:windowsSysWOW64MacromedFlashFlashPlayerUpdateService.exe [2012-05-11 20:17]
    .
    .


    X64 Entries


    .
    .
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
    “RtHDVCpl”=”c:program filesRealtekAudioHDARAVCpl64.exe” [2012-03-16 12459112]
    “SRS Premium Sound HD”=”c:program filesSRS LabsSRS Control PanelSRSPanel_64.exe” [2012-03-22 2165120]
    “TosSENotify”=”c:program filesTOSHIBATOSHIBA HDD SSD AlertTosWaitSrv.exe” [2011-11-26 710560]
    “TosVolRegulator”=”c:program filesTOSHIBATosVolRegulatorTosVolRegulator.exe” [2009-11-11 24376]
    “Toshiba TEMPRO”=”c:program files (x86)Toshiba TEMPROTemproTray.exe” [2011-02-10 1546720]
    “Toshiba Registration”=”c:program filesTOSHIBARegistrationToshibaReminder.exe” [2012-05-11 150992]
    .


    Examen supplémentaire


    .
    uLocal Page = c:windowsSysWOW64blank.htm
    uStart Page = hxxp://www.google.com/” onclick=”window.open(this.href);return false;
    mLocal Page = c:windowsSysWOW64blank.htm
    IE: Google Sidewiki… – c:program files (x86)GoogleGoogle ToolbarComponentGoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
    TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
    .
    – – – – ORPHELINS SUPPRIMES – – – –
    .
    Toolbar-Locked – (no file)
    HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} – start
    Toolbar-Locked – (no file)
    HKLM-Run-SynTPEnh – c:program files (x86)SynapticsSynTPSynTPEnh.exe
    HKLM-Run-TPwrMain – c:program files (x86)TOSHIBAPower SaverTPwrMain.EXE
    HKLM-Run-TCrdMain – c:program files (x86)TOSHIBAFlashCardsTCrdMain.exe
    HKLM-Run-Teco – c:program files (x86)TOSHIBATECOTeco.exe
    HKLM-Run-TosWaitSrv – c:program files (x86)TOSHIBATPHMTosWaitSrv.exe
    .
    .
    .


    CLES DE REGISTRE BLOQUEES


    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @=”FlashBroker”
    “LocalizedString”=”@c:\windows\system32\Macromed\Flash\FlashUtil64_11_6_602_180_ActiveX.exe,-101”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}Elevation]
    “Enabled”=dword:00000001
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}LocalServer32]
    @=”c:\windows\system32\Macromed\Flash\FlashUtil64_11_6_602_180_ActiveX.exe”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}TypeLib]
    @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @=”IFlashBroker5″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}ProxyStubClsid32]
    @=”{00020424-0000-0000-C000-000000000046}”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}TypeLib]
    @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
    “Version”=”1.0”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @=”FlashBroker”
    “LocalizedString”=”@c:\windows\SysWOW64\Macromed\Flash\FlashUtil32_11_6_602_180_ActiveX.exe,-101”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}Elevation]
    “Enabled”=dword:00000001
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}LocalServer32]
    @=”c:\windows\SysWOW64\Macromed\Flash\FlashUtil32_11_6_602_180_ActiveX.exe”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}TypeLib]
    @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @=”Shockwave Flash Object”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}InprocServer32]
    @=”c:\windows\SysWOW64\Macromed\Flash\Flash32_11_6_602_180.ocx”
    “ThreadingModel”=”Apartment”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}MiscStatus]
    @=”0″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}ProgID]
    @=”ShockwaveFlash.ShockwaveFlash.11″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}ToolboxBitmap32]
    @=”c:\windows\SysWOW64\Macromed\Flash\Flash32_11_6_602_180.ocx, 1″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}TypeLib]
    @=”{D27CDB6B-AE6D-11cf-96B8-444553540000}”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}Version]
    @=”1.0″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}VersionIndependentProgID]
    @=”ShockwaveFlash.ShockwaveFlash”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @=”Macromedia Flash Factory Object”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}InprocServer32]
    @=”c:\windows\SysWOW64\Macromed\Flash\Flash32_11_6_602_180.ocx”
    “ThreadingModel”=”Apartment”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}ProgID]
    @=”FlashFactory.FlashFactory.1″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}ToolboxBitmap32]
    @=”c:\windows\SysWOW64\Macromed\Flash\Flash32_11_6_602_180.ocx, 1″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}TypeLib]
    @=”{D27CDB6B-AE6D-11cf-96B8-444553540000}”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}Version]
    @=”1.0″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}VersionIndependentProgID]
    @=”FlashFactory.FlashFactory”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @=”IFlashBroker5″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}ProxyStubClsid32]
    @=”{00020424-0000-0000-C000-000000000046}”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}TypeLib]
    @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
    “Version”=”1.0”
    .
    [HKEY_LOCAL_MACHINESOFTWAREMcAfee]
    “SymbolicLinkValue”=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
    00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,
    .
    [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPCWSecurity]
    @Denied: (Full) (Everyone)
    .


    Autres processus actifs


    .
    c:program files (x86)Common FilesAdobeARM1.0armsvc.exe
    c:program files (x86)AviraAntiVir Desktopavguard.exe
    c:program files (x86)OpenOffice.org 3programsoffice.exe
    c:program files (x86)OpenOffice.org 3programsoffice.bin
    c:program files (x86)IntelIntel(R) Management Engine ComponentsLMSLMS.exe
    .
    **************************************************************************
    .
    Heure de fin: 2013-03-30 09:55:30 – La machine a redémarré
    ComboFix-quarantined-files.txt 2013-03-30 08:55
    .
    Avant-CF: 569 200 332 800 octets libres
    Après-CF: 568 907 767 808 octets libres
    .
    – – End Of File – – 743807D204E16E63014284D54AE3C243

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    __________________________________________________
    =>/!Le script qui suit a été écrit spécialement cet ordinateur/! <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=


    Toujours avec toutes les protections désactivées, fais ceci :

    Ouvre le bloc-notes (Menu démarrer –> programmes –> accessoires –> bloc-notes)
    Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :


    KillAll::

    RegLock::
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}Elevation]
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}LocalServer32]
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}TypeLib]
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}ProxyStubClsid32]
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}TypeLib]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}Elevation]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}LocalServer32]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}TypeLib]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}InprocServer32]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}MiscStatus]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}ProgID]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}ToolboxBitmap32]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}TypeLib]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}Version]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}VersionIndependentProgID]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}InprocServer32]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}ProgID]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}ToolboxBitmap32]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}TypeLib]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}Version]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}VersionIndependentProgID]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}ProxyStubClsid32]
    [HKEY_LOCAL_MACHINESOFTWAREClassesWow6432NodeInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}TypeLib]
    [HKEY_LOCAL_MACHINESOFTWAREMcAfee]
    [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPCWSecurity]



    Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom [s:3t729fig]CFScript.txt[/s:3t729fig]
    Quitte le Bloc Notes

    Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c’est normal ! Ne touche à rien tant que le scan n’est pas terminé.

    Une fois le scan achevé, un rapport va s’afficher: poste son contenu.

    Si le fichier ne s’ouvre pas, il se trouve ici => C:ComboFix.txt

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Voila le rapport :

    ComboFix 13-03-30.01 – Mathieu 30/03/2013 14:58:56.2.2 – x64
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4056.2805 [GMT 1:00]
    Lancé depuis: c:usersMathieuDesktopmat.exe
    Commutateurs utilisés :: c:usersMathieuDesktopCFScript.txt
    AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
    SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2013-02-28 au 2013-03-30 ))))))))))))))))))))))))))))))))))))
    .
    .
    2013-03-30 14:02 . 2013-03-30 14:02


    d


    w- c:usersDefaultAppDataLocaltemp
    2013-03-30 08:46 . 2013-03-30 08:55


    d


    w- C:mat
    2013-03-29 20:55 . 2013-03-29 20:55


    d


    w- c:usersMathieuAppDataLocalElevatedDiagnostics
    2013-03-28 19:47 . 2011-07-05 14:00 19968 —-a-w- c:windowsSysWow64services.exe
    2013-03-28 19:32 . 2013-03-29 20:25


    d


    w- C:Pre_Scan
    2013-03-19 12:21 . 2013-03-19 12:21


    d


    w- c:program filesMicrosoft Silverlight
    2013-03-19 12:21 . 2013-03-19 12:21


    d


    w- c:program files (x86)Microsoft Silverlight
    2013-03-09 20:15 . 2013-03-09 20:15


    d


    r- c:usersMathieuAppDataRoamingBrother
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2013-03-19 12:23 . 2012-09-30 18:23 72013344 —-a-w- c:windowssystem32MRT.exe
    2013-03-18 20:17 . 2012-05-11 03:13 73432 —-a-w- c:windowsSysWow64FlashPlayerCPLApp.cpl
    2013-03-18 20:17 . 2012-05-11 03:13 693976 —-a-w- c:windowsSysWow64FlashPlayerApp.exe
    2013-02-12 05:45 . 2013-03-13 21:21 135168 —-a-w- c:windowsapppatchAppPatch64AcXtrnal.dll
    2013-02-12 05:45 . 2013-03-13 21:21 308736 —-a-w- c:windowsapppatchAppPatch64AcGenral.dll
    2013-02-12 05:45 . 2013-03-13 21:21 350208 —-a-w- c:windowsapppatchAppPatch64AcLayers.dll
    2013-02-12 05:45 . 2013-03-13 21:21 111104 —-a-w- c:windowsapppatchAppPatch64acspecfc.dll
    2013-02-12 04:48 . 2013-03-13 21:21 474112 —-a-w- c:windowsapppatchAcSpecfc.dll
    2013-02-12 04:48 . 2013-03-13 21:21 2176512 —-a-w- c:windowsapppatchAcGenral.dll
    2013-01-05 05:53 . 2013-02-25 21:00 5553512 —-a-w- c:windowssystem32ntoskrnl.exe
    2013-01-05 05:00 . 2013-02-25 21:00 3967848 —-a-w- c:windowsSysWow64ntkrnlpa.exe
    2013-01-05 05:00 . 2013-02-25 21:00 3913064 —-a-w- c:windowsSysWow64ntoskrnl.exe
    2013-01-04 05:46 . 2013-02-25 20:45 215040 —-a-w- c:windowssystem32winsrv.dll
    2013-01-04 04:51 . 2013-02-25 20:45 5120 —-a-w- c:windowsSysWow64wow32.dll
    2013-01-04 04:43 . 2013-02-25 20:45 44032 —-a-w- c:windowsapppatchacwow64.dll
    2013-01-04 03:26 . 2013-02-25 20:59 3153408 —-a-w- c:windowssystem32win32k.sys
    2013-01-04 02:47 . 2013-02-25 20:45 25600 —-a-w- c:windowsSysWow64setup16.exe
    2013-01-04 02:47 . 2013-02-25 20:45 7680 —-a-w- c:windowsSysWow64instnm.exe
    2013-01-04 02:47 . 2013-02-25 20:45 2048 —-a-w- c:windowsSysWow64user.exe
    2013-01-04 02:47 . 2013-02-25 20:45 14336 —-a-w- c:windowsSysWow64ntvdm64.dll
    2013-01-03 06:00 . 2013-02-25 20:45 1913192 —-a-w- c:windowssystem32driverstcpip.sys
    2013-01-03 06:00 . 2013-02-25 20:45 288088 —-a-w- c:windowssystem32driversFWPKCLNT.SYS
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
    “TOPI.EXE”=”c:program files (x86)TOSHIBATOSHIBA Online Product Informationtopi.exe” [2011-05-16 846936]
    .
    [HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun]
    “NBAgent”=”c:program files (x86)NeroNero 11Nero BackItUpNBAgent.exe” [2011-11-18 1492264]
    “Adobe ARM”=”c:program files (x86)Common FilesAdobeARM1.0AdobeARM.exe” [2011-06-06 937920]
    “StartCCC”=”c:program files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” [2012-01-20 343168]
    “USB3MON”=”c:program files (x86)IntelIntel(R) USB 3.0 eXtensible Host Controller DriverApplicationiusb3mon.exe” [2012-01-05 291608]
    “ToshibaServiceStation”=”c:program files (x86)TOSHIBATOSHIBA Service StationToshibaServiceStation.exe” [2011-07-12 1298816]
    “avgnt”=”c:program files (x86)AviraAntiVir Desktopavgnt.exe” [2011-02-04 281768]
    .
    [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
    “TOPI.EXE”=”c:program files (x86)TOSHIBATOSHIBA Online Product Informationtopi.exe” [2011-05-16 846936]
    .
    c:usersMathieuAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
    OpenOffice.org 3.2.lnk – c:program files (x86)OpenOffice.org 3programquickstart.exe [2009-12-15 384000]
    .
    c:programdataMicrosoftWindowsStart MenuProgramsStartup
    Toshiba Places Icon Utility.lnk – c:program filesTOSHIBATOSHIBA Places Icon UtilityTosDIMonitor.exe [2012-5-11 1492352]
    .
    c:usersDefault UserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
    TRDCReminder.lnk – c:program files (x86)TOSHIBATRDCReminderTRDCReminder.exe [2009-9-1 481184]
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
    “ConsentPromptBehaviorAdmin”= 0 (0x0)
    “ConsentPromptBehaviorUser”= 3 (0x3)
    “EnableUIADesktopToggle”= 0 (0x0)
    “PromptOnSecureDesktop”= 0 (0x0)
    “EnableLinkedConnections”= 1 (0x1)
    “EnablELUA”= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINEsoftwarewow6432nodemicrosoftwindows ntcurrentversiondrivers32]
    “aux1″=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMCODS]
    @=””
    .
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:windowsMicrosoft.NETFramework64v4.0.30319mscorsvw.exe [2010-03-18 138576]
    R2 SkypeUpdate;Skype Updater;c:program files (x86)SkypeUpdaterUpdater.exe [2012-07-13 160944]
    R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:windowssystem32DRIVERSssudbus.sys [2012-09-19 102368]
    R3 RTL8167;Realtek 8167 NT Driver;c:windowssystem32DRIVERSRt64win7.sys [2011-08-24 565352]
    R3 TDEIO;TDEIO;c:windowsSysWOW64sysprepBOOTPRIOtdeio64.sys [x]
    R3 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:program files (x86)Toshiba TEMPROTemproSvc.exe [2011-02-10 112080]
    R3 TMachInfo;TMachInfo;c:program files (x86)TOSHIBATOSHIBA Service StationTMachInfo.exe [2011-07-12 57216]
    R3 TsUsbFlt;TsUsbFlt;c:windowssystem32driverstsusbflt.sys [2010-11-21 59392]
    R3 TsUsbGD;Remote Desktop Generic USB Device;c:windowssystem32driversTsUsbGD.sys [2010-11-21 31232]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:windowssystem32WatWatAdminSvc.exe [2012-09-28 1255736]
    R4 wlcrasvc;Windows Live Mesh remote connections service;c:program filesWindows LiveMeshwlcrasvc.exe [2010-09-23 57184]
    S0 iusb3hcs;Intel(R) USB 3.0 Host Controller Switch Driver;c:windowssystem32DRIVERSiusb3hcs.sys [2012-01-05 16152]
    S0 NBVol;Nero Backup Volume Filter Driver;c:windowssystem32DRIVERSNBVol.sys [2011-12-01 72240]
    S0 NBVolUp;Nero Backup Volume Upper Filter Driver;c:windowssystem32DRIVERSNBVolUp.sys [2011-12-01 15920]
    S2 AMD External Events Utility;AMD External Events Utility;c:windowssystem32atiesrxx.exe [2012-01-20 235520]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:program files (x86)AviraAntiVir Desktopsched.exe [2012-09-16 136360]
    S2 GFNEXSrv;GFNEX Service;c:windowsSystem32GFNEXSrv.exe [2010-09-10 162824]
    S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:program filesInteliCLS ClientHeciServer.exe [2012-02-03 628448]
    S2 Intel(R) ME Service;Intel(R) ME Service;c:program files (x86)IntelIntel(R) Management Engine ComponentsFWServiceIntelMeFWService.exe [2012-02-21 128280]
    S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:program files (x86)IntelIntel(R) Management Engine ComponentsDALjhi_service.exe [2012-02-21 161560]
    S2 NAUpdate;Nero Update;c:program files (x86)NeroUpdateNASvc.exe [2011-11-04 687400]
    S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:program filesTOSHIBATECOTecoService.exe [2011-11-24 294848]
    S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:windowssystem32DRIVERSTVALZFL.sys [2009-06-20 14472]
    S2 UNS;Intel(R) Management and Security Application User Notification Service;c:program files (x86)IntelIntel(R) Management Engine ComponentsUNSUNS.exe [2012-02-29 363800]
    S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:windowssystem32driversAtihdW76.sys [2011-10-17 93712]
    S3 iusb3hub;Intel(R) USB 3.0 Hub Driver;c:windowssystem32DRIVERSiusb3hub.sys [2012-01-05 355096]
    S3 iusb3xhc;Intel(R) USB 3.0 eXtensible Host Controller Driver;c:windowssystem32DRIVERSiusb3xhc.sys [2012-01-05 786200]
    S3 PGEffect;Pangu effect driver;c:windowssystem32DRIVERSpgeffect.sys [2011-02-09 38096]
    S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:windowssystem32DriversRtsUStor.sys [2011-08-17 251496]
    S3 RTL8192Ce;Realtek Wireless LAN 802.11n PCI-E NIC Driver;c:windowssystem32DRIVERSrtl8192Ce.sys [2011-07-18 1145448]
    S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:program filesTOSHIBATOSHIBA HDD SSD AlertTosSmartSrv.exe [2011-11-26 138152]
    S3 TPCHSrv;TPCH Service;c:program filesTOSHIBATPHMTPCHSrv.exe [2011-12-14 833976]
    .
    .
    Contenu du dossier ‘Tâches planifiées’
    .
    2013-03-30 c:windowsTasksAdobe Flash Player Updater.job
    – c:windowsSysWOW64MacromedFlashFlashPlayerUpdateService.exe [2012-05-11 20:17]
    .
    .


    X64 Entries


    .
    .
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
    “RtHDVCpl”=”c:program filesRealtekAudioHDARAVCpl64.exe” [2012-03-16 12459112]
    “SRS Premium Sound HD”=”c:program filesSRS LabsSRS Control PanelSRSPanel_64.exe” [2012-03-22 2165120]
    “SynTPEnh”=”c:program files (x86)SynapticsSynTPSynTPEnh.exe” [BU]
    “TPwrMain”=”c:program files (x86)TOSHIBAPower SaverTPwrMain.EXE” [BU]
    “TCrdMain”=”c:program files (x86)TOSHIBAFlashCardsTCrdMain.exe” [BU]
    “Teco”=”c:program files (x86)TOSHIBATECOTeco.exe” [BU]
    “TosWaitSrv”=”c:program files (x86)TOSHIBATPHMTosWaitSrv.exe” [BU]
    “TosSENotify”=”c:program filesTOSHIBATOSHIBA HDD SSD AlertTosWaitSrv.exe” [2011-11-26 710560]
    “TosVolRegulator”=”c:program filesTOSHIBATosVolRegulatorTosVolRegulator.exe” [2009-11-11 24376]
    “Toshiba TEMPRO”=”c:program files (x86)Toshiba TEMPROTemproTray.exe” [2011-02-10 1546720]
    “Toshiba Registration”=”c:program filesTOSHIBARegistrationToshibaReminder.exe” [2012-05-11 150992]
    .


    Examen supplémentaire


    .
    uLocal Page = c:windowsSysWOW64blank.htm
    uStart Page = hxxp://www.google.com/” onclick=”window.open(this.href);return false;
    mLocal Page = c:windowsSysWOW64blank.htm
    IE: Google Sidewiki… – c:program files (x86)GoogleGoogle ToolbarComponentGoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
    TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
    .
    – – – – ORPHELINS SUPPRIMES – – – –
    .
    Toolbar-Locked – (no file)
    .
    .
    .


    CLES DE REGISTRE BLOQUEES


    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @=”FlashBroker”
    “LocalizedString”=”@c:\windows\system32\Macromed\Flash\FlashUtil64_11_6_602_180_ActiveX.exe,-101”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}Elevation]
    “Enabled”=dword:00000001
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}LocalServer32]
    @=”c:\windows\system32\Macromed\Flash\FlashUtil64_11_6_602_180_ActiveX.exe”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{73C9DFA0-750D-11E1-B0C4-0800200C9A66}TypeLib]
    @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @=”IFlashBroker5″
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}ProxyStubClsid32]
    @=”{00020424-0000-0000-C000-000000000046}”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesInterface{6AE38AE0-750C-11E1-B0C4-0800200C9A66}TypeLib]
    @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
    “Version”=”1.0”
    .
    [HKEY_LOCAL_MACHINESOFTWAREMcAfee]
    “SymbolicLinkValue”=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
    00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,
    .


    Autres processus actifs


    .
    c:program files (x86)Common FilesAdobeARM1.0armsvc.exe
    c:program files (x86)AviraAntiVir Desktopavguard.exe
    c:program files (x86)OpenOffice.org 3programsoffice.exe
    c:program files (x86)OpenOffice.org 3programsoffice.bin
    c:program files (x86)IntelIntel(R) Management Engine ComponentsLMSLMS.exe
    .
    **************************************************************************
    .
    Heure de fin: 2013-03-30 15:06:46 – La machine a redémarré
    ComboFix-quarantined-files.txt 2013-03-30 14:06
    ComboFix2.txt 2013-03-30 08:55
    .
    Avant-CF: 569 020 129 280 octets libres
    Après-CF: 568 972 926 976 octets libres
    .
    – – End Of File – – 8AA781BF3019D50AE66ED7C99DAF62CA

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    il faudra fermer toutes les fenêtres et applications lors de l’installation et de l’analyse.

    Télécharge ici :

    http://www.malwarebytes.org/mbam.php” onclick=”window.open(this.href);return false; <= Malwarebytes

    Installe le ( choisis bien “francais” ; ne modifie pas les paramètres d’installe ) et mets le à jour

    Potasses le http://forum.pcastuces.com/sujet.asp?f=31&s=3” onclick=”window.open(this.href);return false; Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d’utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    Lance Malwarebyte’s .

    Fais un examen dit “Complet” .

    Laisse le programme travailler ( et ne rien faire d’autre avec le PC durant le scan ).
    à la fin tu cliques sur “résultat” .
    Vérifie que tous les objets infectés soient validés, puis clique sur ” suppression ” .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l’onglet “rapport/log”de Malwarebytes, le dernier en date)

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Malwarebytes Anti-Malware 1.70.0.1100
    http://www.malwarebytes.org

    Version de la base de données: v2013.03.30.05

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Mathieu :: MATHIEUPORTABLE [administrateur]

    30/03/2013 15:34:13
    mbam-log-2013-03-30 (15-34-13).txt

    Type d’examen: Examen complet (C:|E:|)
    Options d’examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d’examen désactivées: P2P
    Elément(s) analysé(s): 313342
    Temps écoulé: 47 minute(s), 14 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:Pre_ScanQuarantineC’_Users_Mathieu_AppData_LocalLow_Sun_Java_Deployment_cache_6.0.P_S151eee9e4f-254cb40a (Trojan.Zaccess.PE) -> Mis en quarantaine et supprimé avec succès.
    C:UsersMathieuDesktopwinlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    ok des soucis persistent ?

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Je ne pense pas.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    alors tu peux faire le menage je pense : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229” onclick=”window.open(this.href);return false;

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Par contre, rien à voir, quand je démarre l’ordi j’ai toujours ce message :

    L’exception unknown software exception (0xc0000417) s’est produite dans l’application à l’emplacement 0x73017256.
    Cliquer sur OK pour terminer le programme.

    Sais-tu ce que c’est, d’où ca vient et si c’est important ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    fais le menage proposé au dessus déjà , ensuite on avisera

  • mat.crouz
    Participant
    Nombre d'articles : 29

    ok j’avais envoyé ca avant de lire ton post

  • mat.crouz
    Participant
    Nombre d'articles : 29

    je dois faire ccleaner ou pas ? (risques de dommages)

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Le rapport de Delfix :

    # DelFix v10.1 – Rapport créé le 30/03/2013 à 18:29:28
    # Mis à jour le 23/02/2013 par Xplode
    # Nom d’utilisateur : Mathieu – MATHIEUPORTABLE

    ~ Activation de l’UAC … OK

    ~ Suppression des outils de désinfection …

    Supprimé : C:Qoobox
    Supprimé : C:pre_scan
    Supprimé : C:UsersMathieuDesktopmat.exe
    Supprimé : C:ComboFix.txt
    Supprimé : C:Pre_Diag_29_03_2013_21_24_22.txt
    Supprimé : C:Pre_Scan_28_03_2013_20_36_22.txt
    Supprimé : C:windowsgrep.exe
    Supprimé : C:windowsPEV.exe
    Supprimé : C:windowsNIRCMD.exe
    Supprimé : C:windowsMBR.exe
    Supprimé : C:windowsSED.exe
    Supprimé : C:windowsSWREG.exe
    Supprimé : C:windowsSWSC.exe
    Supprimé : C:windowsSWXCACLS.exe
    Supprimé : C:windowsZip.exe
    Supprimée : HKCUSoftwareg3n-h@ckm@n
    Supprimée : HKLMSOFTWAREg3n-h@ckm@n
    Supprimée : HKLMSOFTWARESwearware
    Supprimée : HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Pathscombofix.exe

    ~ Sauvegarde de la base de registre … OK

    ~ Purge de la restauration système …

    Supprimé : RP #33 [Windows Update | 02/26/2013 07:30:50]
    Supprimé : RP #34 [Windows Update | 02/26/2013 21:51:20]
    Supprimé : RP #35 [Point de contrôle planifié | 03/08/2013 18:27:00]
    Supprimé : RP #36 [Windows Update | 03/18/2013 11:10:38]
    Supprimé : RP #37 [Windows Update | 03/19/2013 12:20:22]
    Supprimé : RP #38 [Point de contrôle planifié | 03/26/2013 22:47:49]
    Supprimé : RP #39 [Removed Java(TM) 6 Update 18 | 03/29/2013 21:09:30]
    Supprimé : RP #40 [Removed Java(TM) 6 Update 30 | 03/29/2013 21:10:17]
    Supprimé : RP #41 [Installed Java 7 Update 17 | 03/30/2013 17:28:31]

    Nouveau point de restauration créé !

    ~ Réinitialisation des paramètres système … OK

    ########## – EOF – ##########

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Alors Ccleaner ou non ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    oui j’ai jamais eu de soucis avec ccleaner en 5 ans d’informatique

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Ccleaner fait
    Firefox installer et Microsoft Security essential aussi

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    bien installe adblock plus sur mozilla et c’est bon

  • mat.crouz
    Participant
    Nombre d'articles : 29

    Ok ben merci pour tout !
    C’est vraiment sympa de ta part !

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8433

    🙂 au plaisir 🙂

Le sujet ‘TR/ATRAPS.Gen2 et TR/Sireff.AB.77’ est fermé à de nouvelles réponses.