Centre de sécurité windows attaqué[résolu]

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Centre de sécurité windows attaqué[résolu]

Messagepar syruss2009 » 21 Oct 2009 18:14

bonjour,après la suppression des clés infectés puisque c'est de cela dont il s'agit actuellement, Malwarebytes' Anti-Malware m'a demandé de faire redémarré ma machine.Après redémarrage, bien avant que les autres logiciels comme yahoo messenger,Msn et spybot ne démarrent, j'ai fait un click droit rapidement sur la barre de tâche,il était possible d'activer le gestionnaire de tâche.Mais au bout de 5 s plus rien!! impossible d'activer le gestionnaire de tâche,idem pour la base de registre.

<gras>voici selon moi les clésinfectieuse a supprimé:</gras><souligne></souligne>

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

elles on tpour effets de désactivé mon par-feu (je suis obligé de l'activé manuellement à chaque démarrage),impossible de faire des mises à jour,pas d'accès à la base de registre,impossible d'installé un anti virus etc.. cela touche la sécurité de windows !!! de mon coté j'essaye de cherché et j'ai essayer de supprimer manuellement ses clés,elles reviennent toujours.
Dernière édition par syruss2009 le 04 Nov 2009 14:33, édité 1 fois.
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centrede sécurité windows attaqué

Messagepar gedeon1999 » 21 Oct 2009 20:06

Bonjour et bienvenu sur le forum

J'ai déplacé ton post dans la bonne section.

Suis les instructions contenues dans ce post. Un de nos helpeurs spécialisés viendra à ton secours.
Avatar de l’utilisateur
gedeon1999
Modérateur
Modérateur
 
Messages: 2629
Inscription: 28 Nov 2007 23:06

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 20:14

merci je m'en vais de ce pas suivre tes instructions
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar Falkra » 21 Oct 2009 20:16

Bonsoir,

ces clés sont des réglages de windows, des malwares peuvent les mettre en place, ou bien des réglages voulus par l'utilisateur.

Supprime ces clés via MBAM si ce ne sont pas tes réglages, sinon fais ignorer la détection.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 20:18

justement c'est MBAM qui me dit que ces clés infectés!!! et lorsque je supprime, elles reviennent et je ne peux pas installé d'antivirus, j'avais avast j'ai désinstallé pour mettre antivir à la place maintenant je suis sans défense !!
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar Falkra » 21 Oct 2009 20:21

Ce ne sont pas des clés infectées, ce sont des réglages windows. Si Antivir est installé, il te protège.

Pour mieux voir ce qui tourne sur ta machine et pouvoir nettoyer éventuellement les infections présentes, il nous faut faire quelques tests. Voici comment démarrer.
:arrow: Poste un rapport Hijackthis (v2.0.2) dans ta prochaine réponse stp :
Voici un tuto avec les liens nécessaires :
Poster un rapport HijackThis
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 20:24

voici le log de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:08, on 21/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\JetAudio\JetAudio.exe
C:\Documents and Settings\x\Mes documents\Downloads\Programs\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 4539 bytes
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar Falkra » 21 Oct 2009 20:31

Il y a un souci, ce ne sont pas les clés du centre de sécurité qui peuvent désactiver totalement l'antivirus (pas à elles seules, elles ne désactivent que le suivi par le centre de sécurité).

On va devoir regarder de plus près.

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
  • Double-clique sur RSIT.exe afin de lancer RSIT.
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport. ;-)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 20:44

rapport fichier log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by x at 2009-10-21 19:42:11
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 4 GB (20%) free of 20 GB
Total RAM: 382 MB (19% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:23, on 21/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\JetAudio\JetAudio.exe
C:\Documents and Settings\x\Bureau\RSIT.exe
C:\Documents and Settings\x\Mes documents\Downloads\Programs\x.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 4575 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0055C089-8582-441B-A0BF-17B458C2A3A8}]
IDMIEHlprObj Class - C:\Program Files\Internet Download Manager\IDMIECC.dll [2009-09-09 173488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-19 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-19 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1381712]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Messenger (Yahoo!)"=C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe [2009-05-26 4527344]
"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883856]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]
"IDMan"=C:\Program Files\Internet Download Manager\IDMan.exe [2009-10-15 3216816]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DRIVESYS]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
C:\Program Files\Internet Download Manager\IDMan.exe [2009-10-15 3216816]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\internet_explorer]
C:\Program Files\Movie Maker\explorer.exe [1999-12-31 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RocketDock]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-19 223008]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^x^Menu Démarrer^Programmes^Démarrage^Dos Optimizer.pif]
[]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1
"DisableTaskMgr"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableLUA"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoLogOff"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\wscntfy.exe"="C:\WINDOWS\system32\wscntfy.exe:*:Enabled:ipsec"
"C:\Program Files\Windows Media Player\wmplayer.exe"="C:\Program Files\Windows Media Player\wmplayer.exe:*:Enabled:ipsec"
"C:\Program Files\Movie Maker\explorer.exe"="C:\Program Files\Movie Maker\explorer.exe:*:Enabled:ipsec"
"C:\WINDOWS\system32\netsh.exe"="C:\WINDOWS\system32\netsh.exe:*:Enabled:ipsec"
"C:\WINDOWS\system32\wuauclt.exe"="C:\WINDOWS\system32\wuauclt.exe:*:Enabled:ipsec"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Java\jre6\bin\jqs.exe"="C:\Program Files\Java\jre6\bin\jqs.exe:*:Enabled:ipsec"
"C:\Program Files\Internet Download Manager\IEMonitor.exe"="C:\Program Files\Internet Download Manager\IEMonitor.exe:*:Enabled:ipsec"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:ipsec"
"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:ipsec"
"C:\Program Files\Java\jre6\bin\jqsnotify.exe"="C:\Program Files\Java\jre6\bin\jqsnotify.exe:*:Enabled:ipsec"
"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:ipsec"
"C:\Program Files\Internet Download Manager\IDMan.exe"="C:\Program Files\Internet Download Manager\IDMan.exe:*:Enabled:ipsec"
"C:\Program Files\JetAudio\JetAudio.exe"="C:\Program Files\JetAudio\JetAudio.exe:*:Enabled:ipsec"
"C:\Documents and Settings\All Users\Application Data\Yahoo!\YUPDATER\YUPDATER.EXE"="C:\Documents and Settings\All Users\Application Data\Yahoo!\YUPDATER\YUPDATER.EXE:*:Enabled:ipsec"
"C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe:*:Enabled:ipsec"
"C:\WINDOWS\Explorer.EXE"="C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec"
"C:\WINDOWS\system32\NOTEPAD.EXE"="C:\WINDOWS\system32\NOTEPAD.EXE:*:Enabled:ipsec"
"C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe:*:Enabled:ipsec"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2009-10-21 19:42:11 ----D---- C:\rsit
2009-10-21 19:20:49 ----HDC---- C:\WINDOWS\ie8
2009-10-21 19:20:49 ----D---- C:\WINDOWS\system32\fr-FR
2009-10-21 18:24:16 ----HD---- C:\WINDOWS\msdownld.tmp
2009-10-21 18:22:56 ----D---- C:\WINDOWS\WBEM
2009-10-21 18:21:38 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-10-21 17:42:16 ----D---- C:\Program Files\CCleaner
2009-10-21 15:58:51 ----D---- C:\Documents and Settings\x\Application Data\Malwarebytes
2009-10-21 15:56:56 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-10-21 14:21:26 ----A---- C:\WINDOWS\system32\tmp.txt
2009-10-21 14:20:53 ----A---- C:\rapport.txt
2009-10-21 14:10:46 ----A---- C:\TCleaner.txt
2009-10-21 09:35:53 ----D---- C:\ubuntu
2009-10-20 09:00:41 ----D---- C:\Program Files\Vilma
2009-10-20 05:35:44 ----A---- C:\WINDOWS\system32\pwNative.exe
2009-10-20 05:31:30 ----D---- C:\Documents and Settings\All Users\Application Data\Registry Helper
2009-10-20 04:38:46 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-20 04:35:26 ----D---- C:\Program Files\RegCleaner
2009-10-20 04:25:25 ----D---- C:\Documents and Settings\x\Application Data\COWON
2009-10-20 03:53:44 ----D---- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2009-10-20 02:44:27 ----A---- C:\boot.ini.bak
2009-10-20 02:44:17 ----D---- C:\Program Files\xpud
2009-10-20 02:29:53 ----AD---- C:\Documents and Settings\All Users\Application Data\TEMP
2009-10-20 02:22:34 ----HD---- C:\WINDOWS\system32\GroupPolicy
2009-10-20 00:11:39 ----AH---- C:\Boot.bak
2009-10-20 00:11:30 ----RASHD---- C:\cmdcons
2009-10-20 00:08:27 ----A---- C:\WINDOWS\zip.exe
2009-10-20 00:08:27 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-10-20 00:08:27 ----A---- C:\WINDOWS\SWSC.exe
2009-10-20 00:08:27 ----A---- C:\WINDOWS\SWREG.exe
2009-10-20 00:08:27 ----A---- C:\WINDOWS\sed.exe
2009-10-20 00:08:27 ----A---- C:\WINDOWS\PEV.exe
2009-10-20 00:08:27 ----A---- C:\WINDOWS\NIRCMD.exe
2009-10-20 00:08:27 ----A---- C:\WINDOWS\grep.exe
2009-10-20 00:07:54 ----D---- C:\WINDOWS\ERDNT
2009-10-19 23:55:42 ----A---- C:\WINDOWS\BricoPackFoldersDelete.cmd
2009-10-19 23:43:30 ----D---- C:\Program Files\Microsoft
2009-10-19 23:42:48 ----D---- C:\Program Files\Windows Live SkyDrive
2009-10-19 23:41:17 ----D---- C:\Program Files\Windows Live
2009-10-19 23:18:39 ----D---- C:\Documents and Settings\x\Application Data\Foxit
2009-10-19 23:14:03 ----D---- C:\Documents and Settings\x\Application Data\vlc
2009-10-19 23:03:51 ----D---- C:\Program Files\Fichiers communs\Windows Live
2009-10-19 23:01:54 ----D---- C:\WINDOWS\pss
2009-10-19 23:00:58 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-10-19 23:00:22 ----HDC---- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
2009-10-19 22:58:56 ----D---- C:\Documents and Settings\All Users\Application Data\Yahoo!
2009-10-19 22:58:51 ----D---- C:\Program Files\Yahoo!
2009-10-19 22:55:32 ----D---- C:\Program Files\WinRAR
2009-10-19 22:54:27 ----D---- C:\Documents and Settings\x\Application Data\Macromedia
2009-10-19 22:54:27 ----D---- C:\Documents and Settings\x\Application Data\Adobe
2009-10-19 22:52:50 ----D---- C:\Documents and Settings\x\Application Data\IDM
2009-10-19 22:52:45 ----D---- C:\Documents and Settings\x\Application Data\DMCache
2009-10-19 22:52:39 ----D---- C:\Program Files\Internet Download Manager
2009-10-19 22:51:19 ----D---- C:\Program Files\Fichiers communs\COWON
2009-10-19 22:51:10 ----D---- C:\Program Files\JetAudio
2009-10-19 22:51:05 ----HD---- C:\Program Files\InstallShield Installation Information
2009-10-19 22:50:25 ----D---- C:\Documents and Settings\x\Application Data\InstallShield
2009-10-19 22:47:16 ----D---- C:\Documents and Settings\x\Application Data\Mozilla
2009-10-19 22:46:41 ----D---- C:\Program Files\Mozilla Firefox
2009-10-19 22:37:47 ----A---- C:\WINDOWS\system32\javaws.exe
2009-10-19 22:37:47 ----A---- C:\WINDOWS\system32\javaw.exe
2009-10-19 22:37:47 ----A---- C:\WINDOWS\system32\java.exe
2009-10-19 22:37:47 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-10-19 22:37:19 ----D---- C:\Program Files\Java
2009-10-19 22:31:54 ----D---- C:\Documents and Settings\x\Application Data\Sun
2009-10-19 21:29:57 ----D---- C:\WINDOWS\system32\NtmsData
2009-10-15 07:09:10 ----A---- C:\WINDOWS\system32\idmmbc.dll

======List of files/folders modified in the last 1 months======

2009-10-21 19:38:55 ----D---- C:\WINDOWS\Prefetch
2009-10-21 19:19:52 ----D---- C:\WINDOWS\SoftwareDistribution
2009-10-21 19:18:24 ----SD---- C:\Documents and Settings\x\Application Data\Microsoft
2009-10-21 18:47:22 ----D---- C:\WINDOWS\system32\CatRoot2
2009-10-21 18:40:31 ----D---- C:\WINDOWS\system32
2009-10-21 18:40:31 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-10-21 18:38:23 ----D---- C:\WINDOWS\system32\drivers
2009-10-21 18:38:21 ----D---- C:\WINDOWS
2009-10-21 18:37:58 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-10-21 18:37:58 ----HD---- C:\WINDOWS\inf
2009-10-21 18:37:58 ----D---- C:\WINDOWS\Help
2009-10-21 18:37:58 ----D---- C:\Program Files\Internet Explorer
2009-10-21 18:36:49 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-10-21 18:24:17 ----RD---- C:\Program Files
2009-10-21 18:22:25 ----D---- C:\WINDOWS\Media
2009-10-21 18:20:14 ----D---- C:\WINDOWS\Temp
2009-10-21 16:13:21 ----D---- C:\Documents and Settings
2009-10-21 15:54:35 ----D---- C:\Program Files\Outlook Express
2009-10-21 15:54:35 ----D---- C:\Program Files\Movie Maker
2009-10-21 15:54:33 ----D---- C:\WINDOWS\system32\usmt
2009-10-21 15:29:05 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-10-21 15:15:28 ----D---- C:\Program Files\Fichiers communs\Real
2009-10-21 15:15:08 ----D---- C:\Program Files\Fichiers communs
2009-10-21 09:42:07 ----RASH---- C:\boot.ini
2009-10-20 04:00:41 ----SHD---- C:\WINDOWS\Installer
2009-10-20 02:11:17 ----D---- C:\WINDOWS\Debug
2009-10-20 00:22:43 ----D---- C:\WINDOWS\repair
2009-10-20 00:03:48 ----A---- C:\WINDOWS\BricoPackUninst.txt
2009-10-20 00:03:48 ----A---- C:\WINDOWS\BricoPackUninst.cmd
2009-10-19 23:59:32 ----RSD---- C:\WINDOWS\Fonts
2009-10-19 23:54:11 ----D---- C:\WINDOWS\BricoPacks
2009-10-19 23:52:17 ----D---- C:\Documents and Settings\x\Application Data\WinRAR
2009-10-19 23:44:20 ----D---- C:\WINDOWS\WinSxS
2009-10-19 23:43:01 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
2009-10-19 23:43:00 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared
2009-10-19 23:40:31 ----D---- C:\WINDOWS\pchealth
2009-10-19 23:26:23 ----D---- C:\Documents and Settings\x\Application Data\dvdcss
2009-10-19 23:02:15 ----A---- C:\WINDOWS\win.ini
2009-10-19 21:13:49 ----D---- C:\WINDOWS\system32\appmgmt
2009-10-19 21:11:50 ----D---- C:\Program Files\Fichiers communs\System
2009-10-08 12:35:01 ----A---- C:\WINDOWS\cdplayer.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 P3;Pilote processeur Intel Pentium III; C:\WINDOWS\system32\DRIVERS\p3.sys [2004-08-04 46720]
R3 abp470n5;abp470n5; \??\C:\WINDOWS\system32\drivers\oloih.sys []
R3 ac97intc;Service d'installation du pilote audio Intel(r) 82801 (WDM); C:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256]
R3 EL90XBC;Pilote de la carte EtherLink XL 90XB/C 3Com; C:\WINDOWS\system32\DRIVERS\el90xbc5.sys [2001-08-17 66591]
R3 i81x;i81x; C:\WINDOWS\system32\DRIVERS\i81xnt5.sys [2004-08-03 161020]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 E100B;Pilote de carte Intel (R) PRO; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-23 117760]
S3 eamon;eamon; C:\WINDOWS\system32\DRIVERS\eamon.sys []
S3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 iAimFP0;iAimFP0; C:\WINDOWS\system32\DRIVERS\wADV01nt.sys [2004-08-03 12415]
S3 iAimFP1;iAimFP1; C:\WINDOWS\system32\DRIVERS\wADV02NT.sys [2004-08-03 12127]
S3 iAimFP2;iAimFP2; C:\WINDOWS\system32\DRIVERS\wADV05NT.sys [2004-08-03 11775]
S3 iAimFP3;iAimFP3; C:\WINDOWS\system32\DRIVERS\wSiINTxx.sys [2004-08-03 12063]
S3 iAimFP4;iAimFP4; C:\WINDOWS\system32\DRIVERS\wVchNTxx.sys [2004-08-03 19455]
S3 iAimFP5;iAimFP5; C:\WINDOWS\system32\DRIVERS\wADV07nt.sys [2004-08-03 11807]
S3 iAimFP6;iAimFP6; C:\WINDOWS\system32\DRIVERS\wADV08nt.sys [2004-08-03 11295]
S3 iAimFP7;iAimFP7; C:\WINDOWS\system32\DRIVERS\wADV09nt.sys [2004-08-03 11871]
S3 iAimTV0;iAimTV0; C:\WINDOWS\system32\DRIVERS\wATV01nt.sys [2004-08-03 29311]
S3 iAimTV1;iAimTV1; C:\WINDOWS\system32\DRIVERS\wATV02NT.sys [2004-08-03 19551]
S3 iAimTV3;iAimTV3; C:\WINDOWS\system32\DRIVERS\wATV04nt.sys [2004-08-03 33599]
S3 iAimTV4;iAimTV4; C:\WINDOWS\system32\DRIVERS\wCh7xxNT.sys [2004-08-03 23615]
S3 iAimTV5;iAimTV5; C:\WINDOWS\system32\DRIVERS\wATV10nt.sys [2004-08-03 25471]
S3 iAimTV6;iAimTV6; C:\WINDOWS\system32\DRIVERS\wATV06nt.sys [2004-08-03 22271]
S3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288]
S3 pwdrvio;pwdrvio; \??\C:\WINDOWS\system32\pwdrvio.sys []
S3 pwdspio;pwdspio; \??\C:\WINDOWS\system32\pwdspio.sys []
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S4 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-24 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-10-19 227104]
R2 MDM;Machine Debug Manager; C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]

-----------------EOF-----------------
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 20:45

rapport fichier info.txt:

info.txt logfile of random's system information tool 1.06 2009-10-21 19:42:35

======Uninstall list======

-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->MsiExec.exe /X{0DFB3DE8-65B9-44FF-AA0A-3BECC5A2BFD1}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Documents and Settings\x\Mes documents\Downloads\Programs\HijackThis.exe" /uninstall
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Internet Download Manager-->C:\Program Files\Internet Download Manager\Uninstall.exe
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
jetAudio Basic-->C:\Program Files\InstallShield Installation Information\{DF8195AF-8E6F-4487-A0EE-196F7E3F4B8A}\setup.exe -runfromtemp -l0x0c0c -removeonly
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.5.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Ubuntu-->C:\ubuntu\uninstall-wubi.exe
Vilma Registry Explorer-->"C:\Program Files\Vilma\RegExp\Uninstall.exe" "C:\Program Files\Vilma\RegExp\install.log"
VLC media player 1.0.2-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG

======Hosts File======

127.0.0.1 localhost

======System event log======

Computer Name: UNICORNI-CE7AAB
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Pilote de filtre de trafic IP.

Record Number: 6829
Source Name: Service Control Manager
Time Written: 20091011005816.000000+060
Event Type: Informations
User: UNICORNI-CE7AAB\x

Computer Name: UNICORNI-CE7AAB
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestionnaire de connexions d'accès distant.

Record Number: 6828
Source Name: Service Control Manager
Time Written: 20091011005816.000000+060
Event Type: Informations
User: UNICORNI-CE7AAB\x

Computer Name: UNICORNI-CE7AAB
Event Code: 7036
Message: Le service Téléphonie est entré dans l'état : en cours d'exécution.

Record Number: 6827
Source Name: Service Control Manager
Time Written: 20091011005816.000000+060
Event Type: Informations
User:

Computer Name: UNICORNI-CE7AAB
Event Code: 7036
Message: Le service Service de découvertes SSDP est entré dans l'état : en cours d'exécution.

Record Number: 6826
Source Name: Service Control Manager
Time Written: 20091011005816.000000+060
Event Type: Informations
User:

Computer Name: UNICORNI-CE7AAB
Event Code: 7036
Message: Le service NLA (Network Location Awareness) est entré dans l'état : en cours d'exécution.

Record Number: 6825
Source Name: Service Control Manager
Time Written: 20091011005816.000000+060
Event Type: Informations
User:

=====Application event log=====

Computer Name: UNICORNI-CE7AAB
Event Code: 103
Message: wuaueng.dll (412) SUS20ClientDataStore: Le moteur de base de données a arrêté une instance (0).

Record Number: 1297
Source Name: ESENT
Time Written: 20010226033456.000000+060
Event Type: Informations
User:

Computer Name: UNICORNI-CE7AAB
Event Code: 1002
Message: L'environnement s'est arrêté de façon inattendue et Explorer.exe a redémarré.

Record Number: 1296
Source Name: Winlogon
Time Written: 20010226033152.000000+060
Event Type: Informations
User:

Computer Name: UNICORNI-CE7AAB
Event Code: 302
Message: wuaueng.dll (412) SUS20ClientDataStore: Le moteur de base de données a exécuté la procédure de récupération avec succès.

Record Number: 1295
Source Name: ESENT
Time Written: 20010226032954.000000+060
Event Type: Informations
User:

Computer Name: UNICORNI-CE7AAB
Event Code: 301
Message: wuaueng.dll (412) SUS20ClientDataStore: Le moteur de base de données commence la relecture du fichier journal C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log.

Record Number: 1294
Source Name: ESENT
Time Written: 20010226032950.000000+060
Event Type: Informations
User:

Computer Name: UNICORNI-CE7AAB
Event Code: 300
Message: wuaueng.dll (412) SUS20ClientDataStore: Le moteur de base de données initialise la procédure de récupération.

Record Number: 1293
Source Name: ESENT
Time Written: 20010226032949.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0806
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar Falkra » 21 Oct 2009 20:46

Il va falloir réinstaller l'antivirus, mais pas tout de suite. sûr que ce ne sont pas les clés qui ont fait ça, mais de toute façon il y a aussi une bestiole à virer.

On va faire au plus vite. Suis précisément les instructions suivantes.
Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  • On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  • Le bureau disparaît, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 21:10

rapport de combofix

ComboFix 09-10-20.03 - x 21/10/2009 19:59.6.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.382.211 [GMT 1:00]
Lancé depuis: c:\documents and settings\x\Bureau\Combo-Fix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Ma musique\Akon Feat Sweet Rush - Troublemaker ..(Trackfiends.net).mp3
c:\documents and settings\Ma musique\Kelly Rowland Ft. David Guetta - When Love Takes Over .mp3
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-09-21 au 2009-10-21 ))))))))))))))))))))))))))))))))))))
.

2009-10-21 18:20 . 2009-10-21 17:24 -------- dc-h--w- c:\windows\ie8
2009-10-21 18:20 . 2009-10-21 17:22 -------- d-----w- c:\windows\system32\fr-FR
2009-10-21 17:44 . 2009-10-21 17:44 -------- d-sh--w- c:\documents and settings\x\PrivacIE
2009-10-21 17:38 . 2009-10-21 17:38 -------- d-sh--w- c:\documents and settings\x\IETldCache
2009-10-21 17:24 . 2009-10-21 17:24 -------- d--h--w- c:\windows\msdownld.tmp
2009-10-21 17:21 . 2009-01-07 16:21 26144 ----a-w- c:\windows\system32\spupdsvc.exe
2009-10-21 16:42 . 2009-10-21 16:42 -------- d-----w- c:\program files\CCleaner
2009-10-21 14:58 . 2009-10-21 14:58 -------- d-----w- c:\documents and settings\x\Application Data\Malwarebytes
2009-10-21 14:57 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-21 14:56 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-21 14:56 . 2009-10-21 14:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-21 14:18 . 2009-10-21 14:19 16719449 ----a-w- c:\documents and settings\joomla template.zip
2009-10-21 08:35 . 2009-10-21 08:35 -------- d-----w- C:\ubuntu
2009-10-20 22:29 . 2009-10-20 22:30 -------- d-----w- c:\documents and settings\x\Local Settings\Application Data\Ares
2009-10-20 08:00 . 2009-10-20 08:00 -------- d-----w- c:\program files\Vilma
2009-10-20 04:35 . 2009-09-04 15:08 416824 ----a-w- c:\windows\system32\pwNative.exe
2009-10-20 04:35 . 2009-09-04 15:08 16456 ----a-w- c:\windows\system32\pwdrvio.sys
2009-10-20 04:35 . 2009-09-04 15:07 11088 ----a-w- c:\windows\system32\pwdspio.sys
2009-10-20 04:31 . 2009-10-20 04:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Registry Helper
2009-10-20 03:38 . 2009-10-21 15:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-20 03:35 . 2009-10-20 03:57 -------- d-----w- c:\program files\RegCleaner
2009-10-20 03:25 . 2009-10-20 03:25 -------- d-----w- c:\documents and settings\x\Application Data\COWON
2009-10-20 02:54 . 2009-10-20 02:54 -------- d-----w- c:\documents and settings\x\Local Settings\Application Data\Microsoft Help
2009-10-20 02:53 . 2009-10-20 03:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-10-20 01:44 . 2009-10-20 01:44 -------- d-----w- c:\program files\xpud
2009-10-20 01:29 . 2001-02-26 03:20 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-10-20 01:22 . 2009-10-20 01:22 -------- d--h--w- c:\windows\system32\GroupPolicy
2009-10-19 22:55 . 2009-10-19 23:03 5409 ----a-w- c:\windows\BricoPackFoldersDelete.cmd
2009-10-19 22:49 . 2009-10-21 17:38 -------- d-----w- c:\documents and settings\x\Tracing
2009-10-19 22:43 . 2009-10-19 22:43 -------- d-----w- c:\program files\Microsoft
2009-10-19 22:42 . 2009-10-19 22:42 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-10-19 22:41 . 2009-10-19 22:43 -------- d-----w- c:\program files\Windows Live
2009-10-19 22:18 . 2009-10-19 22:18 -------- d-----w- c:\documents and settings\x\Application Data\Foxit
2009-10-19 22:14 . 2009-10-21 02:11 -------- d-----w- c:\documents and settings\x\Application Data\vlc
2009-10-19 22:06 . 2009-10-19 22:06 -------- d-----w- c:\documents and settings\x\Local Settings\Application Data\Yahoo
2009-10-19 22:03 . 2009-10-19 22:03 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-10-19 21:58 . 2009-10-19 22:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo!
2009-10-19 21:58 . 2009-10-19 21:58 -------- d-----w- c:\program files\Yahoo!
2009-10-19 21:52 . 2009-10-21 14:41 -------- d-----w- c:\documents and settings\x\Application Data\IDM
2009-10-19 21:52 . 2009-10-21 18:56 -------- d-----w- c:\documents and settings\x\Application Data\DMCache
2009-10-19 21:52 . 2009-10-19 21:52 -------- d-----w- c:\program files\Internet Download Manager
2009-10-19 21:51 . 2009-10-19 21:51 -------- d-----w- c:\program files\Fichiers communs\COWON
2009-10-19 21:51 . 2009-10-19 21:51 -------- d-----w- c:\program files\JetAudio
2009-10-19 21:51 . 2009-10-19 21:51 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-19 21:50 . 2009-10-19 21:50 -------- d-----w- c:\documents and settings\x\Application Data\InstallShield
2009-10-19 21:47 . 2009-10-19 21:47 0 ----a-w- c:\windows\nsreg.dat
2009-10-19 21:47 . 2009-10-19 21:47 -------- d-----w- c:\documents and settings\x\Local Settings\Application Data\Mozilla
2009-10-19 21:37 . 2009-10-19 21:37 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-19 21:37 . 2009-10-19 21:37 -------- d-----w- c:\program files\Java
2009-10-19 21:35 . 2009-10-19 21:35 -------- d-sh--w- c:\documents and settings\x\UserData
2009-10-19 20:29 . 2009-10-19 20:30 -------- d-----w- c:\windows\system32\NtmsData
2009-10-16 14:53 . 2009-10-19 20:23 -------- d-----w- c:\documents and settings\Ma musique\Gabao show
2009-10-16 14:51 . 2009-10-19 20:25 -------- d-----w- c:\documents and settings\Ma musique\rap américain
2009-10-16 09:49 . 2009-10-19 20:26 -------- d-----w- c:\documents and settings\Ma musique\rap français
2009-10-15 06:09 . 2009-09-09 10:43 210352 ----a-w- c:\windows\system32\idmmbc.dll
2009-10-13 17:18 . 2009-10-21 19:03 -------- d-----w- c:\documents and settings\Ma musique

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-21 17:40 . 2001-08-24 12:00 374348 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-21 17:40 . 2001-08-24 12:00 51600 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-21 14:15 . 2009-08-23 13:23 -------- d-----w- c:\program files\Fichiers communs\Real
2009-10-19 23:03 . 2009-08-10 20:54 70677 ----a-w- c:\windows\BricoPackUninst.cmd
2009-10-19 22:26 . 2009-08-06 20:32 -------- d-----w- c:\documents and settings\x\Application Data\dvdcss
2009-08-10 20:54 . 2004-08-03 22:54 219648 ----a-w- c:\windows\system32\uxtheme.dll
2009-07-26 14:44 . 2009-07-26 14:44 48448 ----a-w- c:\windows\system32\sirenacm.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2009-05-26 4527344]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-10-15 3216816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1381712]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

Les clés de Registre SafeBoot doivent être réparées. Cette machine ne peut pas utiliser le Mode Sans Échec.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKLM\~\startupfolder\C:^Documents and Settings^x^Menu Démarrer^Programmes^Démarrage^Dos Optimizer.pif]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DRIVESYS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RocketDock
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\wscntfy.exe"=
"c:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"c:\\Program Files\\Movie Maker\\explorer.exe"=
"c:\\WINDOWS\\system32\\netsh.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\jqs.exe"=
"c:\\Program Files\\Internet Download Manager\\IEMonitor.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\jqsnotify.exe"=
"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Program Files\\Internet Download Manager\\IDMan.exe"=
"c:\\Program Files\\JetAudio\\JetAudio.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\Yahoo!\\YUPDATER\\YUPDATER.EXE"=
"c:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"=
"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbamgui.exe"=

R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\oloih.sys --> c:\windows\system32\drivers\oloih.sys [?]
S3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [20/10/2009 05:35 16456]
S3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [20/10/2009 05:35 11088]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm
IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm
FF - ProfilePath - c:\documents and settings\x\Application Data\Mozilla\Firefox\Profiles\o9i2g7ih.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - component: c:\documents and settings\x\Application Data\IDM\idmmzcc3\components\idmmzcc.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-SuperCopier2 - (no file)
AddRemove-HijackThis - c:\documents and settings\x\Mes documents\Downloads\Programs\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-21 20:03
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):63,12,d4,21,5a,e5,5b,73,ac,a1,b0,e8,70,49,23,a8,41,d7,6f,ff,81,
fa,35,c2,23,f9,f8,f1,be,c7,b6,cb,8e,90,45,be,fa,85,c0,23,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{b7581cd3-5331-41d0-a8f3-077ccc1bbc04}]
@Denied: (Full) (Everyone)
"Model"=dword:00000125
"Therad"=dword:00000018
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\system32\COMRes.dll
.
Heure de fin: 2009-10-21 20:05
ComboFix-quarantined-files.txt 2009-10-21 19:05

Avant-CF: 6 259 429 376 octets libres
Après-CF: 6 216 761 344 octets libres

- - End Of File - - B4582336A0DAD3EB299020F675FDC168


Mais mon gestionnaire de tâche est toujours inaccessible, pareil pour la base de registre
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar Falkra » 21 Oct 2009 21:23

Mais mon gestionnaire de tâche est toujours inaccessible, pareil pour la base de registre
Normal tu n'as pas viré les clés via MBAM et je n'y ai pas encore touché. L'étape suivante va rétablir des choses.

Des MP3 apparemment piégés ont été supprimés, gaffe avec ces fichiers, dangereux.

On va réparer le registre, on dirait que tu as XP SP2, mais avec une clé ou deux de Vista, ajoutée à tort, justement dans les clés voisines de celles citées par MBAM (pas nocives, je le répète). On dirait une erreur d'optimisation.

Télécharge ce fichier .reg, et double clique dessus pour l'ajouter au registre :
http://senduit.com/fc3801

Confirme moi que l'opération réussit (windows donne un message pour dire si ça a été fait).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 21:30

non malheureusement,message: "modification du registre a été désactivé par votre administrateur"
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar Falkra » 21 Oct 2009 21:31

Ok, m'étonne pas. On va faire autrement, on a plein de façons de régler ça.

Télécharge OTMoveIt (OTM) par OldTimer.
  • Enregistre ce fichier sur le Bureau.
  • Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
    Code: Tout sélectionner
    :processes
    explorer.exe

    :reg
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableTaskMgr"=-
    "DisableRegistryTools"=-

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "AntiVirusDisableNotify"=-
    "FirewallDisableNotify"=-
    "UpdatesDisableNotify"=-
    "UacDisableNotify"=-

    :commands
    [start explorer]
    .
  • Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  • Clique sur le bouton rouge Moveit!.
  • Ferme OTMoveIt3
  • Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 21:33

j'ai pu intégré le fichier grâce à un logiciel qui permet d'accéder à sa base de registre même si cette dernière reste inaccessible.le logiciel s'appelle "vilma registry explorer" Maintenant comment je fais pour savoir si ça marché?
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar Falkra » 21 Oct 2009 21:36

Une solution comme une autre, mais fais gaffe, dans certaines manips que je vais prescrire, si on fait un autre truc avant, sans prévenir, ça peut avoir des conséquences fâcheuses, sois plus prudent.

Maintenant comment je fais pour savoir si ça marché ?
Menu démarrer, exécuter (ou windows + R), et tape Regedit pour ouvrir l'éditeur de registre windows, pour voir.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 21:37

je redémarre la machine
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Re: Centre de sécurité windows attaqué

Messagepar Falkra » 21 Oct 2009 21:43

Ben, pas spécialement demandé non plus hein. :hmm:
Justement ça aurait été bien de voir avant redémarrage, parce que si le registre est perturbé par un élément du démarrage, on ne saura pas... :roll:

Soit on t'aide, mais il faut suivre les procédures, soit tu fais tout seul, mais là on va avoir du mal à bosser efficacement, si on fait comme ça. ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Centre de sécurité windows attaqué

Messagepar syruss2009 » 21 Oct 2009 21:47

toujours rien!!! je vais devenir fou Seigneur Dieu !!!

voici ce que tu as demandé:

========== PROCESSES ==========
Process explorer.exe killed successfully!
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system\\DisableTaskMgr deleted successfully.
Registry value HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system\\DisableRegistryTools deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\\AntiVirusDisableNotify deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\\FirewallDisableNotify deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\\UpdatesDisableNotify deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\\UacDisableNotify deleted successfully.
========== COMMANDS ==========

OTM by OldTimer - Version 3.0.0.6 log created on 10212009_203559
syruss2009
 
Messages: 29
Inscription: 21 Oct 2009 17:56

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités