|
Posté le 29/06/2014 @ 13:04 |
| Bonjour,
Mon PC :
-est lent au démarrage,
- continue à "travailler" alors qu'aucun programme n'est en cours.
- plantage internet qui se fige sur une page web et vidéo (flashplayer) qui fonctionne une fois sur 2.
Voici : les rapports
Malwarebytes Anti-Malware www.malwarebytes.org
Date de l'examen: 29/06/2014 Heure de l'examen: 12:17:13 Fichier journal: Administrateur: Oui
Version: 2.00.2.1012 Base de données Malveillants: v2014.06.29.02 Base de données Rootkits: v2014.06.23.02 Licence: Gratuite Protection contre les malveillants: Désactivé(e) Protection contre les sites Web malveillants: Désactivé(e) Self-protection: Désactivé(e)
Système d'exploitation: Windows 7 Service Pack 1 Processeur: x64 Système de fichiers: NTFS Utilisateur: David
Type d'examen: Examen "Menaces" Résultat: Terminé Objets analysés: 370340 Temps écoulé: 37 min, 58 sec
Mémoire: Activé(e) Démarrage: Activé(e) Système de fichiers: Activé(e) Archives: Activé(e) Rootkits: Désactivé(e) Heuristics: Activé(e) PUP: Activé(e) PUM: Activé(e)
Processus: 0 (No malicious items detected)
Modules: 0 (No malicious items detected)
Clés du Registre: 8 PUP.Optional.PriceGong.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{1631550F-191D-4826-B069-D9439253D926}, , [9b9ba8d6780338fee9639eabd32f4ab6], PUP.Optional.PriceGong.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{1631550F-191D-4826-B069-D9439253D926}, , [9b9ba8d6780338fee9639eabd32f4ab6], PUP.Optional.SweetPacks, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{EEE6C35C-6118-11DC-9C72-001320C79847}, , [a29484fa5229cb6b5b290f3f06fc37c9], PUP.Optional.SweetPacks, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{EEE6C35C-6118-11DC-9C72-001320C79847}, , [a29484fa5229cb6b5b290f3f06fc37c9], PUP.Optional.BestToolbar.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}, , [0a2c7a04dc9fa29420b555f3a65c0ff1], PUP.Optional.BestToolbar.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}, , [0a2c7a04dc9fa29420b555f3a65c0ff1], PUP.Optional.WindowsProtectManger.A, HKLM\SOFTWARE\WOW6432NODE\supWindowsProtectManger, , [89ad7e00a1da0a2c36361a929a6846ba], PUP.Optional.MindSpark.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\TelevisionFanatic, , [f046a2dc1d5ede58c6472a8c40c235cb],
Valeurs du Registre: 0 (No malicious items detected)
Données du Registre: 1 PUP.Optional.SimplyTech.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS|newtab, %appdata%\SimplyTech\home\home.htm, Bon: (www.google.com), Mauvais: (%appdata%\SimplyTech\home\home.htm),,[6accd6a8e992c373cc8492ee57ad0ef2]
Dossiers: 0 (No malicious items detected)
Fichiers: 2 PUP.Optional.WebsSearches.A, C:\Users\David\AppData\Local\Google\Chrome\User Data\Default\Preferences, Bon: (), Mauvais: ( "startup_urls": [ "http://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1", "about:newtab?source=home" ],), ,[7abc413dbdbec274907a01b8d232ad53] PUP.Optional.WebsSearches.A, C:\Users\David\AppData\Local\Google\Chrome\User Data\Default\Preferences, Bon: (), Mauvais: ( "homepage": "http://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1",), ,[26100777394237ff0a01a61312f259a7]
Secteurs physiques: 0 (No malicious items detected)
(end)
|
|
|
|
|
|
Posté le 29/06/2014 à 13:06 |
| Message original par Aitana
*Citation inutile supprimée par la modération.
P.S. : j'ai validé les fichiers pour les mettre en quarantaine.
|
|
Posté le 29/06/2014 à 14:00 |
Grand Maître astucien |
Bonjour ,
Apparemment, ton PC est infecté.
- Tu lis attentivement l’aide au diagnostic d’un PC infecté (en rouge, en bas dans ma signature).
- Tu suis scrupuleusement les indications indiquées, à savoir postes dans l’ordre les 3 rapports demandés : MBAM, AdwCleaner, ZHPDiag.
- Tu attends qu’un membre du Groupe Sécurité te prenne en charge.
@ +
|
|
Posté le 29/06/2014 à 16:44 |
| |
|
Posté le 29/06/2014 à 16:45 |
| Voici ci dessus les rapports
Merci de votre aide.
Modifié par Aitana le 29/06/2014 16:46 |
|
Posté le 29/06/2014 à 16:48 |
| |
|
Posté le 29/06/2014 à 19:21 |
|
Bonjour,
- Mon Nom est labougie et je vais t'assister au cours de cette désinfection..
- Si tu es d'accord, nous allons fixer quelques règles pour que la désinfection soit efficace.
Soit attentif aux lignes suivantes afin que l'intervention se déroule correctement:
- Ne fais aucune modification sur ton ordinateur y compris installation/désinstallation, suppression de fichiers, modification du registre et l'utilisation d'outils non conseillés.
- Si tu ne comprends pas quelque chose, ou que cela bloque dans le déroulement d'une tâche, n'hésite pas à poser des questions avant de continuer.
- Même si ton pc semble aller mieux, cela ne suffit pas à conclure que nous en avons terminé. Continue à suivre les instructions et à répondre aux instructions tant que l'information (Ton PC est sain), n'a pas été diagnostiqué.
- Soit assuré que ton suivi automatique de réponse via une alerte mail soit actif. Cela permet d'avoir une meilleure réactivité.
- L'intervention doit être assurée de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
- Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
- La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
- Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.
Je ne supporte pas les cracks et keygens, donc supprime les, il en est de même pour les windows illégaux.
labougie
|
|
Posté le 29/06/2014 à 19:27 |
| Tu utilises ce pc à des fins professionnelles, donc, je te conseille vivement de faire une sauvegarde de tes données les plus importantes afin de palier certains plantages.
Quand tu les auras réalisées, procède à ce qui suis.
/ Restauration système sous Windows 7
- Dans "Démarrer", puis "Rechercher", tapez restauration, puis cliquez sur "Créer un point de restauration"
- L’onglet "Protection du système" s’ouvre.
- Vérifiez que la protection sur C soit bien activée, puis cliquez sur "Créer"
- Créez un point de restauration système que vous nommez : PC infecté , puis cliquez sur "Créer".
- Le point de restauration se crée....
- Un message de réussite apparaît : le point a été créé.
- Refermez les fenêtres.
- Aide en images
1/ Malwarebytes
Aide toi de ce tutoriel
2/ Zhpfix
ZHPFix
Citation
- Logiciel de nettoyage de rapport ZHPDiag développé par Nicolas Coolman. Principalement, il assure la suppression de fichiers et de dossiers, le nettoyage de la Base de Registre et la désinstallation de certains logiciels. Il est nécessaire d'utiliser ZHPFix avec l'aide d'un forum sécurité.
- Il est très important de copier toutes les lignes.
- Le script doit comporter obligatoirement comme première ligne : Script ZHPFix.
- A l'aide de votre souris (avec le pointeur de la souris et clic gauche maintenu)
- Parcourez et sélectionnez toutes les lignes ci dessous
- Ensuite, copiez les. (avec le clic droit de la souris, sélectionnez "Copier" dans le menu contextuel).
EXEMPLE Lignes à copier
Code
Script ZHPFix FirewallRaz EmptyPrefetch EmptyTemp EmptyFlash [MD5.9657BA00089954583AE690DF76F145D7] - (. http://simple-files.com/ - SimpleFiles Updater Application.) -- C:\Program Files (x86)\SimpleFilesUpdater\SimpleFilesUpdater.exe [425016] [PID.1260] =>Adware.SimpleFiles M2 - MFEP: prefs.js [David - czabxj8j.default-1401277967363\foxyproxy@eric.h.jung] [] FoxyProxy Basic v3.2.4 (..) =>Hijacker.Proxy [MD5.9657BA00089954583AE690DF76F145D7] [APT] [SimpleFiles Update Service] (. http://simple-files.com/.) -- C:\Program Files (x86)\SimpleFilesUpdater\SimpleFilesUpdater.exe [425016] =>Adware.SimpleFiles [MD5.00000000000000000000000000000000] [APT] [TaskUserUpdate_wp] (...) -- C:\Users\David\AppData\Roaming\~kgmeucc.exe (.not file.) [0] => Infection FakeAlert (Possible) [HKCU\Software\SimpleFiles] =>Adware.SimpleFiles [HKCU\Software\zbani_revshare] =>PUP.VShareRedir [HKLM\Software\Wow6432Node\SimpleFiles] =>Adware.SimpleFiles O43 - CFD: 28/05/2014 - 02:27:59 - [] ----D C:\Program Files (x86)\SimpleFilesUpdater =>Adware.SimpleFiles O43 - CFD: 28/05/2014 - 02:30:39 - [] ----D C:\Users\David\AppData\Roaming\SimpleFiles =>Adware.SimpleFiles [MD5.FF68663BEA6865F688B4C883F9E65645] [WIS][22/06/2014] (.Kreapixel - Webplayer.) -- C:\Windows\Installer\19cd7f9.msi [36864] =>Adware.SocialSkinz HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASAPI32 =>PUP.MyPCBackup HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASMANCS =>PUP.MyPCBackup HKLM\SOFTWARE\Microsoft\Tracing\InstTracker_RASAPI32 =>Adware.PredictAd HKLM\SOFTWARE\Microsoft\Tracing\InstTracker_RASMANCS =>Adware.PredictAd HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\basicscan_RASAPI32 =>Adware.BasicScan HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\basicscan_RASMANCS =>Adware.BasicScan HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\GigglingGamesSA_RASAPI32 =>Adware.Hotbar HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\GigglingGamesSA_RASMANCS =>Adware.Hotbar HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\moovida_RASAPI32 =>Adware.SPointer HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchSettings_RASAPI32 =>Adware.SearchSettings HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchSettings_RASMANCS =>Adware.SearchSettings HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SecondOffer1_RASAPI32 =>PUP.Linkular HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SecondOffer1_RASMANCS =>PUP.Linkular HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SweetIM_RASDLG =>PUP.SweetIM HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VAFPlayer_RASAPI32 =>PUP.VAFPlayer HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VAFPlayer_RASMANCS =>PUP.VAFPlayer [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC] =>Adware.Boxore^ C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\czabxj8j.default-1401277967363\extensions\foxyproxy@eric.h.jung =>Hijacker.Proxy^ C:\Program Files (x86)\SimpleFilesUpdater =>Adware.SimpleFiles^ C:\Users\David\AppData\Roaming\SimpleFiles =>Adware.SimpleFiles^ C:\Program Files (x86)\SimpleFilesUpdater\SimpleFilesUpdater.exe =>Adware.SimpleFiles^ [HKCU\Software\SimpleFiles] =>Adware.SimpleFiles^ [HKCU\Software\zbani_revshare] =>PUP.VShareRedir^ [HKLM\Software\Wow6432Node\SimpleFiles] =>Adware.SimpleFiles^ C:\Windows\Installer\19cd7f9.msi =>Adware.SocialSkinz^ C:\Users\David\AppData\Local\Temp\boxore.dat =>Adware.Boxore [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => SYSTEM : Active Desktop désactivé et configuration refusée [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install] LastSuccessTime : Out Of Date => SYSTEM : Aucune mise à jour depuis 15 jours ! R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1 => Internet Explorer Allows Proxy Settings Remotely O4 - HKLM\..\Wow6432Node\Run: [TaskTray] Clé orpheline => Orphean Key not necessary O41 - Driver: ({a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64) . (. - .) - C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys (.not file.) => Fichier absent O43 - CFD: 01/01/2014 - 10:03:57 - [0] ----D C:\Users\David\AppData\Local\2012 => Empty Folder not necessary [MD5.F3B92530E8852FBE30E52B10EBC10DD2] [SPRF][01/01/2012] (...) -- C:\ProgramData\1325414588.bdinstall.bin [234907] => BitDedender Random File Installation [MD5.DD2F5CABE1E86ACB3F4C9EB67C472CC9] [SPRF][01/01/2012] (...) -- C:\ProgramData\1325436506.bdinstall.bin [103926] => BitDedender Random File Installation [MD5.3BA9F151A623796E31C98A7920A5C347] [SPRF][03/01/2012] (...) -- C:\ProgramData\1325601758.bdinstall.bin [236440] => BitDedender Random File Installation [MD5.662BAE063C217F716C38C2454036BA94] [SPRF][31/01/2012] (...) -- C:\ProgramData\1328012750.bdinstall.bin [200069] => BitDedender Random File Installation P2 - FPN: [HKCU] [pandonetworks.com/PandoWebPlugin] - (...) -- C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (.not file.) => P2P.Pando
- Double-cliquez sur le raccourci du programme "ZHPFix" qui est sur votre bureau.
- Dans l'interface du logiciel qui s'est ouvert, cliquez sur "Importer" pour transférer les lignes copiées.
- Si le script n'est pas conforme : Un avertissement s'affiche.
- Si le script est conforme : Le texte copié est affiché dans ZHPFix.
- Vérifiez bien que le script que vous voyez dans ZHPFix correspond aux lignes copiées.
- Fermez vos applications en cours (navigateur internet compris) sauf ZHPFix
- Cliquez sur le bouton « GO » pour lancer le nettoyage.
- Confirmez ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes.
- Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script.
- Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
- A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows.
- Le rapport ZHPFix.txt est aussi sauvegardé sur le Bureau Windows.
- Postez le contenu de ce rapport par copier/coller.
- Vous pouvez fermer ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres.
3/ Junkware Removal Tool (de Thisisu)
Citation
Outil qui recherche et élimine les adwares, les barres d'outils et les programmes potentiellement indésirables (PUP).
- Téléchargez Junkware Removal Tool et enregistrez le sur votre ordinateur : Lien direct
- Quittez tous les programmes en cours.
- Avec Windows Vista et ultérieur, faites un clic droit -> lancez le programme en tant qu'administrateur
- Avec Windows XP lancez simplement Junkware Removal Tool en cliquant dessus.
- L'outil de suppression va maintenant commencer son travail, et à l'invite de commande, vous aurez besoin d'appuyer sur une touche de votre clavier pour confirmer votre choix.
- Veuillez être patient(e) car les processus (sauvegarde Erunt et suppression des malveillants) peuvent prendre un certain temps (jusqu'à 10 minutes) en fonction des spécifications de votre système.
- Votre bureau va disparaitre provisoirement lors du travail de l'outil, ne paniquez pas car c'est normal et attendu.
- Lorsque l'analyse est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, un copie se trouve aussi dans le même dossier que Junkware Removal Tool.
- Postez ce rapport par copier/coller.
4/ Frst
Frst de Farbar Charge la version qui convient à ton pc. La version 32bits pour un pc en X86 (32bits) ou la version 64bits pour un pc en X64 (64bits). Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Clique sur "Actions" puis sur "Exécuter quand même" Frst 64 bist version=> Clique sur le lien, le chargement se lancera tout seul.
Dépose Frst.exe sur ton bureau
Regarde bien cette image, frst n'est pas un raccourci, il n'y a pas de flèche
Maintenant que tu as chargé la bonne version de l'outil, double clique dessus, puis valide le Disclaimer par "Ok" Coche en + les cases "Drivers MD5" // "Additions.txt" & "Shorcut" Patient le temps que l'outil analyse ton pc. Les rapports dont j'ai besoin se situent dans le même dossier que Frst.exe, ils se nomment Frst.txt // Additions.txt & Shorcut.txt Copie colle les dans ta prochaine réponse
_____________________________________________________________________________________________
Les rapports attendus sont:
* Malwarebytes suppression effectuée
*Zhpfix
*JRT
*Frst les rapports suivant sont attendus => frst.txt // addition.txt // shortcut.txt _____________________________________________________________________________________________
Voici comment déposer un rapport sur le forum
- Pour transmettre le rapport clique sur ce lien : en bas de page
- le rapport si situe normalement sur ton bureau => ZHPDiag.txt, frst.txt, addition.txt, shorcut.txt, search.txt, etc....
- Si toute fois le rapport était trop long, dépose le alors sur,
http://cjoint.com/
- Clique sur Parcourir et cherche le fichier demandé
Sélectionne le fichier Frst.txt (par exemple) Clique sur "Créer le lien". Un lien de cette forme : http://cjoint.com/?iErNEgHkid est ajouté dans la page.
- Copie ce lien dans ta réponse.
labougie |
|
Posté le 29/06/2014 à 19:47 |
| Copie colle les lignes bleues suivantes dans le bloc note
Start file: C:\Windows\SysWOW64\srvany.exe file: C:\Windows\SysWOW64\WIN-svrGA.exe Reg: reg query "HKLM\Software\Wow6432Node\Drums" /s end
nomme ce fichier fixlist
Dépose le sur le bureau (au même endroit que frst.exe)
Lance frst, (attendre que la mise à jour soit faite) presse sur "Fix"
Poste le rapport obtenu fixlog.txt
Labougie |
|
Posté le 01/07/2014 à 11:39 |
| |
|
Posté le 01/07/2014 à 11:44 |
| |
|
Posté le 01/07/2014 à 12:03 |
| ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.1.4 (04.06.2014:1) OS: Windows 7 Home Premium x64 Ran by David on 01/07/2014 at 11:46:00,08 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
~~~ Registry Keys
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4116770032-21449089-622653387-1001\Software\sweetim
~~~ Files
~~~ Folders
Successfully deleted: [Folder] "C:\ProgramData\cloud software ltd"
~~~ FireFox
Emptied folder: C:\Users\David\AppData\Roaming\mozilla\firefox\profiles\czabxj8j.default-1401277967363\minidumps [24 files]
~~~ Event Viewer Logs were cleared
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 01/07/2014 at 11:59:18,40 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|
Posté le 01/07/2014 à 12:16 |
| |
|
Posté le 01/07/2014 à 12:17 |
| |
|
Posté le 01/07/2014 à 12:17 |
| |
|
Posté le 01/07/2014 à 12:20 |
| Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-06-2014 Ran by David at 2014-07-01 12:19:54 Run:1 Running from C:\Users\David\Desktop Boot Mode: Normal ==============================================
Content of fixlist: ***************** Start file: C:\Windows\SysWOW64\srvany.exe file: C:\Windows\SysWOW64\WIN-svrGA.exe Reg: reg query "HKLM\Software\Wow6432Node\Drums" /s end *****************
========================= file: C:\Windows\SysWOW64\srvany.exe ========================
MD5: 4635935FC972C582632BF45C26BFCB0E Creation and modification date: 2014-06-18 17:58 - 2003-04-18 18:06 Size: 0008192 Attributes: ----A Company Name: Internal Name: Original Name: Product Name: Description: File Version: Product Version: Copyright:
====== End Of File: ======
========================= file: C:\Windows\SysWOW64\WIN-svrGA.exe ========================
MD5: 37198115B42B9DCCDD4CC72712C9A65C Creation and modification date: 2014-06-19 10:59 - 2014-06-19 16:13 Size: 0409088 Attributes: ----A Company Name: Internal Name: Original Name: Product Name: Description: File Version: Product Version: Copyright:
====== End Of File: ======
========= reg query "HKLM\Software\Wow6432Node\Drums" /s =========
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Drums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
========= End of Reg: =========
==== End of Fixlog ==== |
|
|
Posté le 01/07/2014 à 12:24 |
| Voilà !
Je crois ne rien avoir oublié.
Merci de votre aide.
|
|
Posté le 01/07/2014 à 16:26 |
| |
|
Posté le 01/07/2014 à 16:44 |
| |
|
Posté le 01/07/2014 à 16:46 |
| |
|
Posté le 01/07/2014 à 19:10 |
| Ton pc a des traces du vers Worm_Lineage
Je ne sais pas ce que tu fais avec ton pc, mais tu as une floppée de softs, qui à mon avis ne servent à rien.
1/ A désinstaller
Duplicate Cleaner Free 3.1.4
Si tu n'utilises pas ceux-ci, tu les vires aussi, sinon, indique moi à quoi ils te servent
PKR PlusVid Raptr Raw Therapee V4.0.8.3 x64 Scan2PDF 1.6 ScanToPDF 3.1.4 ShiftN 3.6 ShotOnline Signal Spam AddIn UFRaw 0.18 Vsk5Online Watchtower Library 2013 - Français
2/ Scanne en ligne
Pour ce faire il utiliser ce lien => Virustotal
voici les fichiers en "rouge"
C:\Windows\System32\DRIVERS\RsFx0153.sys C:\Windows\System32\Drivers\ax6n52c1.sys C:\Windows\SysWOW64\WIN-svrGA.exe C:\Windows\SysWOW64\srvany.exe C:\Windows\SysWOW64\instsrv.exe
3/ Frst
Frst Correction /!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls Copie colle le fichier fixlist.txt au même endroit que FRST.exe Comme sur la capture ci-dessous Maintenant Lance FRST.exe, puis clique sur "FIX" Laisse l'outil faire son job, c'est normalement assez rapide. Poste le rapport Fixlog.txt quand celui-ci est obtenu
_____________________________
Voici comment fabriquer le fichier fixlist
Copie colle les lignes bleues suivantes dans le bloc note, enregistre ce fichier sur le bureau, nomme le fixlist
Start Video Converter Packages (HKCU\...\Video Converter Packages) (Version: - ) <==== ATTENTION Task: {000B4F50-DE74-49AB-98C3-018EFBC8C795} - \YourFile Update No Task File <==== ATTENTION Task: {1B4AD733-1C3D-4FC7-8762-BE6891417A79} - \GoforFilesUpdate No Task File <==== ATTENTION Task: {1D007F5B-E516-44AC-BFEE-B4EBEA19A696} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-3 No Task File <==== ATTENTION Task: {1FFC6CB0-51A6-4254-AAA3-3E4F5AED24CD} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-7 No Task File <==== ATTENTION Task: {4BDC14F1-0F3B-400A-A9BF-8315967D0EC8} - \globalUpdateUpdateTaskMachineCore No Task File <==== ATTENTION Task: {4DBB94D6-5D9D-42D2-BF5D-4D62CBE5772B} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-6 No Task File <==== ATTENTION Task: {82A99018-7969-42A1-99B6-CE6C4B53D03E} - \MySearchDial No Task File <==== ATTENTION Task: {8E060488-5F2A-4C5C-BB11-8C0707813382} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-5 No Task File <==== ATTENTION Task: {90C2AB52-0D7D-4813-87B9-56D30C5E1299} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-1 No Task File <==== ATTENTION Task: {9D9E536E-6EB0-42F5-9939-439D57FD6675} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-11 No Task File <==== ATTENTION Task: {B4AD1AD5-C4AF-461F-BDDC-757A8CF6977F} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-4 No Task File <==== ATTENTION Task: {F1977C95-97B9-48CD-90A2-D80264451736} - \globalUpdateUpdateTaskMachineUA No Task File <==== ATTENTION 2014-07-01 08:39 - 2014-07-01 08:39 - 00098816 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32api.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00110080 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\pywintypes27.dll 2014-07-01 08:39 - 2014-07-01 08:39 - 00364544 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\pythoncom27.dll 2014-07-01 08:39 - 2014-07-01 08:39 - 00045568 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_socket.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 01160704 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_ssl.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00320512 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32com.shell.shell.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00713216 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_hashlib.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 01175040 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._core_.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00805888 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._gdi_.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00811008 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._windows_.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 01062400 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._controls_.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00735232 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._misc_.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00128512 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_elementtree.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00127488 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\pyexpat.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00557056 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\pysqlite2._sqlite.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00007168 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\hashobjs_ext.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00087552 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_ctypes.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00119808 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32file.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00108544 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32security.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00018432 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32event.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00038912 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32inet.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00070656 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._html2.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00167936 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32gui.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00011264 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32crypt.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00027136 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_multiprocessing.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00122368 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._wizard.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00010240 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\select.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00024064 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32pipe.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00686080 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\unicodedata.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00025600 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32pdh.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00525640 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\windows._lib_cacheinvalidation.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00035840 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32process.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00017408 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32profile.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00022528 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32ts.pyd 2014-07-01 08:39 - 2014-07-01 08:39 - 00078336 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._animate.pyd C:\Users\David\AppData\Local\Temp\_MEI40882 AlternateDataStreams: C:\ProgramData\Temp:373E1720 AlternateDataStreams: C:\ProgramData\Temp:52DBE86F AlternateDataStreams: C:\ProgramData\Temp:5C321E34 AlternateDataStreams: C:\ProgramData\Temp:AB689DEA HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4116770032-21449089-622653387-501-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\Run: [Pando Media Booster] => C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe C:\Program Files (x86)\Pando Networks HKU\S-1-5-21-4116770032-21449089-622653387-501-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\MountPoints2: J - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\propo1_ecran_1024.jpg HKU\S-1-5-21-4116770032-21449089-622653387-501-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\MountPoints2: {73266fff-e3e9-11df-866f-485b3968f2de} - H:\autorun.exe HKU\S-1-5-21-4116770032-21449089-622653387-501-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\MountPoints2: {9973e2d7-f4d5-11df-8548-485b3968f2de} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\propo1_ecran_1024.jpg HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Pando Media Booster] => C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: J - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\propo1_ecran_1024.jpg HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {73266fff-e3e9-11df-866f-485b3968f2de} - H:\autorun.exe HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {9973e2d7-f4d5-11df-8548-485b3968f2de} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\propo1_ecran_1024.jpg GroupPolicy: Group Policy on Chrome detected <======= ATTENTION SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0DEF5760-5470-42D2-A57D-2CDE17F8A065} URL = http://www.google.com/search?hl=en&q={searchTerms}&rlz=1I7ASUT_frFR419FR404 SearchScopes: HKLM-x32 - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT Toolbar: HKLM-x32 - No Name - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - No File Toolbar: HKLM-x32 - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF Plugin: @microsoft.com/GENUINE - disabled No File FF Plugin-x32: @microsoft.com/GENUINE - disabled No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION U4 bdselfpr; S3 dump_wmimmc; \??\G:\Program Files (x86)\ShotOnline.us\GameGuard\dump_wmimmc.sys [X] c:\Users\David\Downloads\flvplayer [1].exe C:\ProgramData\PKP_DLbx.DAT C:\ProgramData\PKP_DLeo.DAT C:\ProgramData\PKP_DLes.DAT C:\ProgramData\PKP_DLet.DAT C:\ProgramData\PKP_DLev.DAT C:\Users\David\AppData\Local\Temp\avgnt.exe end
______________________________________________________________________________________
4/ Usbfix
Utilise le tutoriel suivant
Utilise l'option nettoyage, n'oublie pas de connecter tous les suppports UBS, Hdd Cartes mémoires, clés usb etc...
______________________________________________________________________________________
5/ Frst
Tu supprimes les rapports suivants
Frst.txt addition.txt
Tu coches drivers, additions.txt
Tu cliques sur "Scan"
Les rapports attendus sont:
- Désinstallation(s)
- Réponses Aux questions sur les softs
- Les Scans en ligne ==> tous les fichiers
- Fixlog.txt de frst
- Suppression de USBfix
- Frst.txt & addition.txt
labougie
Modifié par Labougie le 01/07/2014 19:11 |
|
Posté le 01/07/2014 à 19:37 |
| 1
Labougie a écrit :
Ton pc a des traces du vers Worm_Lineage
Je ne sais pas ce que tu fais avec ton pc, mais tu as une floppée de softs, qui à mon avis ne servent à rien.
1/ A désinstaller
Duplicate Cleaner Free 3.1.4 Désinstallé
Si tu n'utilises pas ceux-ci, tu les vires aussi, sinon, indique moi à quoi ils te servent
PKR Désinstallé PlusVid -------------------------------fichier introuvable Raptr Désinstallé Raw Therapee V4.0.8.3 x64 Désinstallé Scan2PDF 1.6 Désinstallé ScanToPDF 3.1.4 Désinstallé ShiftN 3.6 Désinstallé ShotOnline - ---------------------------gardé : Jeu de golf en ligne Signal Spam AddIn - --------------------gardé : logiciel de dénonciation de spam UFRaw 0.18 Désinstallé Vsk5Online -----------------------------gardé : jeux simulation de voile Watchtower Library 2013 - Français Désinstallé
Modifié par Aitana le 01/07/2014 20:19 |
|
Posté le 01/07/2014 à 20:04 |
| 2/ Scanne en ligne
Pour ce faire il utiliser ce lien => Virustotal
voici les fichiers en "rouge"
C:\Windows\System32\DRIVERS\RsFx0153.sys non trouvé C:\Windows\System32\Drivers\ax6n52c1.sys non trouvé C:\Windows\SysWOW64\WIN-svrGA.exe réalisé (résultat : -15 C:\Windows\SysWOW64\srvany.exe réalisé (résultat : +100) Probably harmless! There are strong indicators suggesting that this file is safe to use. C:\Windows\SysWOW64\instsrv.exe réalisé (résultat : +100) Probably harmless! There are strong indicators suggesting that this file is safe to use. |
|
Posté le 01/07/2014 à 20:17 |
| 3/
Fichier joint : Fixlog.txt Modifié par Aitana le 01/07/2014 20:19 |
|
Posté le 01/07/2014 à 20:26 |
| |
|
Posté le 01/07/2014 à 20:32 |
| 5/
Fichier joint : FRST.txt Modifié par Aitana le 01/07/2014 20:33 |
|
Posté le 01/07/2014 à 20:32 |
| |
|
Posté le 01/07/2014 à 20:34 |
| Voilà.
Merci de votre aide.
|
|
Posté le 02/07/2014 à 08:18 |
| Salut,
Il faut désinstaller ceci
Video Converter Packages
je regarde les logs frst dans la journée.
comment ce comporte ton pc?
labougie |
|
Posté le 02/07/2014 à 18:20 |
| 1/ Frst Correction
/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls
Copie colle les lignes bleues suivantes dans le bloc note, nomme ce fichier "Fixlist"
Assure toi qu'il soit au même endroit que FRST.exe
Lance Frst, attendre que la mise à jour s'effectue
Puis clique sur "Fix"
Voici le contenu du fixlist
Start HKLM-x32\...\Runonce: [] - [X] Task: {92734F74-DC15-413B-9E4F-F3929AEE3264} - System32\Tasks\RunAsStdUser Task => C:\Users\David\AppData\Local\gigglinggamesSA\bin\1.0.6.0\GigglingGamesSA.exe CHR HomePage: hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1 CHR StartupUrls: "hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1", "about:newtab?source=home" CHR HKLM-x32\...\Chrome\Extension: [mdconhhkmfidehpgmfbncnpdpdpfjnfk] - C:\ProgramData\Bcool\mdconhhkmfidehpgmfbncnpdpdpfjnfk.crx [2014-04-11] 2014-07-01 19:28 - 2014-02-26 11:09 - 00000000 ____D () C:\Users\David\AppData\Roaming\Raptr 2014-07-01 19:28 - 2014-02-26 11:08 - 00000000 ____D () C:\Program Files (x86)\Raptr C:\Users\David\AppData\Local\Temp\avgnt.exe End
2/ Scanne en ligne
Suivre le lien suivant
https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm
Les rapports attendus sont:
labougie |
|
Posté le 03/07/2014 à 00:51 |
| Labougie a écrit :
Salut,
Il faut désinstaller ceci
Video Converter Packages
je regarde les logs frst dans la journée.
comment ce comporte ton pc?
labougie
Fait
Le PC se comporte bien. Modifié par Aitana le 03/07/2014 00:52 |
|
Posté le 03/07/2014 à 00:54 |
| Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-07-2014 Ran by David at 2014-07-03 00:54:33 Run:3 Running from C:\Users\David\Desktop Boot Mode: Normal ==============================================
Content of fixlist: ***************** Start HKLM-x32\...\Runonce: [] - [X] Task: {92734F74-DC15-413B-9E4F-F3929AEE3264} - System32\Tasks\RunAsStdUser Task => C:\Users\David\AppData\Local\gigglinggamesSA\bin\1.0.6.0\GigglingGamesSA.exe CHR HomePage: hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1 CHR StartupUrls: "hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1", "about:newtab?source=home" CHR HKLM-x32\...\Chrome\Extension: [mdconhhkmfidehpgmfbncnpdpdpfjnfk] - C:\ProgramData\Bcool\mdconhhkmfidehpgmfbncnpdpdpfjnfk.crx [2014-04-11] 2014-07-01 19:28 - 2014-02-26 11:09 - 00000000 ____D () C:\Users\David\AppData\Roaming\Raptr 2014-07-01 19:28 - 2014-02-26 11:08 - 00000000 ____D () C:\Program Files (x86)\Raptr C:\Users\David\AppData\Local\Temp\avgnt.exe End *****************
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\\ => Value not found. 'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{92734F74-DC15-413B-9E4F-F3929AEE3264}' => Key deleted successfully. 'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92734F74-DC15-413B-9E4F-F3929AEE3264}' => Key deleted successfully. C:\Windows\System32\Tasks\RunAsStdUser Task => Moved successfully. 'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RunAsStdUser Task' => Key deleted successfully. CHR HomePage: hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1 ==> The Chrome "Settings" can be used to fix the entry. CHR StartupUrls: "hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1", "about:newtab?source=home" ==> The Chrome "Settings" can be used to fix the entry. 'HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mdconhhkmfidehpgmfbncnpdpdpfjnfk' => Key deleted successfully. "C:\ProgramData\Bcool\mdconhhkmfidehpgmfbncnpdpdpfjnfk.crx" => File/Directory not found. C:\Users\David\AppData\Roaming\Raptr => Moved successfully. C:\Program Files (x86)\Raptr => Moved successfully. C:\Users\David\AppData\Local\Temp\avgnt.exe => Moved successfully.
==== End of Fixlog ==== |
|
Posté le 03/07/2014 à 01:37 |
| |
|
Posté le 03/07/2014 à 08:03 |
| eset report
Fichier joint : log.txt
Modifié par Aitana le 03/07/2014 08:05 |
|
Posté le 03/07/2014 à 20:59 |
| |
|
Posté le 03/07/2014 à 22:54 |
| Bonsoir,
Eset a supprimé les fichiers infectés restant puis il a désinfecté les quarantaines des outils.
Frst
Copie colle les lignes bleues suivantes dans le bloc note, et nomme ce fichier fixlist
Start DeleteQuarantine: end
Lance frst puis clique sur "Fix"
Poste le rapport obtenu
DelFix (de Xplode)
- Téléchargez et enregistrez DelFix
- Cliquez sur Delfix pour le lancer.
- Vérifiez et cochez la case : "Supprimer les outils de désinfections"
- Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
- Postez par copier/coller le contenu du rapport qui s'est ouvert.
Bien que Delfix crée un point de restauration, je te demande quand même de suivre ceci
Restauration système sous Windows 7
- Dans "Démarrer", puis "Rechercher", tapez restauration, puis cliquez sur "Créer un point de restauration"
- L’onglet "Protection du système" s’ouvre.
- Vérifiez que la protection sur C soit bien activée, puis cliquez sur "Créer"
- Créez un point de restauration système que vous nommez : PC propre , puis cliquez sur "Créer".
- Le point de restauration se crée....
- Un message de réussite apparaît : le point a été créé.
- Refermez les fenêtres.
Sx Check and update
http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-sx-checkupdate/
Regarde cette Vidéo de E:Volution, elle est très instructive. E:Volution Par Mikko Hypponen Acte ou processus par lequel ce qui est simple ou basic devient complexe ou poussé Pratiquer un Internet Sain
Une des raisons principales pour laquelle les gens se font infecter est en premier lieu le fait qu'ils ont une très mauvaise pratique de l'internet. Pratiquer un internet sain c'est s'auto éduquer, posséder des outils de sécurité et en avoir une bonne pratique. Connaitre les raisons de son infection ainsi que les fichiers et ou les sites responsables, permettrons alors de faire de ta machine, une machine plus saine. Ceci est le principal point pour avoir toujours une machine propre. En réalité la plupart des gens qui sont infectés c'est parce qu'ils ont cliqués sur un lien ou \ et un fichier alors qu'ils n'auraient pas duent. Ci-dessous une liste de recommandations à suivre et à connaitre afin de conserver son ordinateur propre et sécurisé.
- Si tu reçois une pièce jointe d'un inconnu, NE PAS OUVRIR, c'est aussi simple que cela. Ouvrir cette pièce jointe provenant d'un inconnu, est une méthode commune pour infecter un ordinateur avec un vers ou un virus.
- Si tu reçois une pièce jointe avec à la fin l'une les extension suivantes, .exe, .com, .bat, ou .pif ne pas ouvrir jusqu'a ce que tu sois certain(e) que ce fichier est sain. Normalement tu ne devrais jamais recevoir ce type de fichier, si toutefois cela était le cas, avant prends les précautions suivantes. Demande à son expéditeur si il es bien l'auteur de mail, teste ce fichier avec ton antivirus.
- Si tu reçois une pièce jointe d'une personne que tu connais, et que celle-ci te semble suspecte, c'est probablement le cas. Alors cet email provient d'une personne infectée avec un Malware (virus) qui tente d'infecter à son tour tout les contacts de son carnet d'adresse.
- Si tu surfes sur le web (Internet) et qu'un PopUp (fenêtre) apparaît indiquant que tu es infecté, Ignore la ! Ces attrapes nigaux sont fait pour que tu achètes ce logiciel, mais c'est un Fake (faux). Par exemple un de ces PopUp. Lien à suivre (Merci à S!Ri)
Ce sont des programmes qui se déguisent eux mêmes en Anti-Spywares ou outils de sécurités, mais ce ne sont en fait que des Rogues. Rogue/Suspect Anti-Spyware Produits & Web Sites & Rogue Data base
- Une autre méthode ou tactique pour te leurrer sur le web est de te montrer des PopUp plus vrai que vrai, dans lequel tu auras un message de ce type. Windows message or alert. Si tu cliques dessus, tu vas être redirigé vers un site web qui va te suggerer un produit. Je te conseille fortement de fermer cette fenêtre en cliquant sur la X au lieu de OK. Alternativement tu peux contrôler si il s'agit réellement d'une véritable alerte Windows en faisant un Clique Droit sur la fenêtre. Si dans le menu tu as le message suivant, => ajouter aux favoris <= tu sauras alors que c'est une fausse alerte.
- Ne pas allez sur des sites pour Adultes. Je sais que cela peut déranger certains d'entre vous. Mais le fait est qu'une grande quantité de logiciel malveillant est faite pour passer ces types de sites. Je ne suis pas entrain de dire que tout ces sites sont comme cela, mais beaucoup le sont.
- Quand tu utilises une messagerie instantané, Msn, Twitter, facebook... ne pas cliquer sur les liens qui te seront proposés. Il s'agit aussi d'une méthode commune pour infecter un ordinateur. La machine infectée se permet d'utiliser le carnet d'adresse et d'envoyer de faux messages avec des vrais liens qui eux sont infectés. Donc par prudence, ne clique pas sur ce message et demande à son auteur, si il en est bien l'instigateur, sinon tu te feras piéger et l'infection rentrera toute seule et avec ton accord.
- Reste éloigné des sites de Warez et de Cracks. Déjà c'est casser des copyrights et tout ce que tu chargeras sera infecté et ton Pc sera truffé de vilaines bébêtes, qui vont invitées en plus toute la famille. Suis ce lien Crack, P2P, beaucoup de risques pour quelques économies, (Merci Sham_Rock).
* Un article de tesgaz sur le crack dans toute sa splendeur * Un autre du même auteur sur le P2P et ses conséquences * Un article de Malekal sur les dangers du crack
- Soit prudent si tu souhaites charger sur des sites de Peer 2 Peer. Les sites te proposent des logiciels dans lesquels sont cachés des Malwares, alors tu penses bien que rien n'est gratuit, même pas le Peer 2 Peer. Et non ce n'est pas de la fiction, de nombreuses infections proviennent du téléchargement illégal.
- Ne jamais installer de logiciel sans avoir au préalable lu le Cluf, (tu sais la petite fenêtre te demandant si tu es d'accord pour l'installation), ouai, d'accord, bon nombre sont en anglais mais bon, il n'est pas interdit de se renseigner avant, Hein !!! Car si l'on prend l'exemple de Messenger Skinner, hé bien lui il vas te proposer des pubs, et tu ne pourras rien y faire, tu a dit "Oui" pendant l'installation. Comment crois tu que les développeurs gagnent de l'argent. Oui il y a des Malwares aussi dans ce type de logiciels
Visite très fréquemment Microsoft's Windows Update (Mise à jour Microsoft)
Il est très important de visiter ce site http://www.windowsupdate.com régulièrement. Cela permet de contrôler que ton PC possède bien les dernières mises à jour donc moins de faille sécuritaire. Si toutefois il y avait des mises à jour à réaliser, les charger puis les installer immédiatement. Un redémarrage sera parfois requis, alors redémarre et revisite le site jusqu'à ce que toutes les mises à jour soient réalisées.
Utilise un antivirus
Il est très important d'avoir dans sa machine un antivirus résident (qui surveille en permanence). Il te protègera du mieux qu'il pourra, cela sera fonction aussi du surf que tu auras, donc de ton attitude, tu réfléchis puis ensuite tu cliques pas l'inverse, OK.
Antivirus, Spyware, et Malware Protections
Mettre à jour son antivirus
C'est aussi très important d'avoir les dernières mises à jour pour son antivirus, sinon, ben... il ne sert à rien. La plupart font des mises à jour automatiques, mais ne t'empêche pas de les faire en mode manuelle. De plus ces mises à jour permettent de reconnaitre les dernière variantes virales, alors tu penses bien que cela sera très utile. Quand ton antivirus arrivera à expiration, il te faudra aussi penser à renouveler sa licence, sinon te ne sera plus protégé.
Assure toi que tout tes logiciels soient à jour
Les mises à jour sont aussi réelles pour tout les autres logiciels que tu utilises.
Utilise un Firewall (Parefeu)
Sans Firewall ton Pc est susceptible de subir des attaques et elles te seront invisibles. Ensuite ton pc sera utilisé à l'insu de ton plein grès. Je suis très sérieux à ce propos, en utilisant un firewall même avec ces réglages de base, tu auras au moins un minimum de protection.
un tuto pour comodo par exemple
Installe un Logiciel AntiSpyware
Nous avons utilisé Malwarebytes-Antimalware (Mbam). C'est un excellent produit mais non résident (travaille uniquement à la demande, donc à la tâche). Garde le, mets le à jour et passe le une fois par semaine, sachant qu'il ne chasse pas les mêmes choses que les antivirus, il te protégera contre les Spywares (logiciels espions)
N'utilises plus ces logiciels Spybot - Search and Destroy et Ad-Aware Personal ils sont obsolètes.
Pense bien aux mises à jour régulièrement Assure toi d'avoir un système à jour afin de palier les failles sécuritaires. Sans ces mises à jours ton Pc ne sera pas correctement protégé quand un nouveau code malveillant sera sorti. Sache que toute cette lecture réduira les risques d'infections.
//////////////////////////////////////////////:*
//////////////////////////////////////////////:*
J'aimerais que tu fasses une petite chose pour moi.
S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou
dans la barre de titre de ton sujet. Merci !
Prudence sur Internet.
Labougie
|
|
Posté le 04/07/2014 à 14:32 |
| Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-07-2014 Ran by David at 2014-07-04 14:32:21 Run:4 Running from C:\Users\David\Desktop Boot Mode: Normal ==============================================
Content of fixlist: ***************** Start DeleteQuarantine: end *****************
"C:\FRST\Quarantine" => removed successfully.
==== End of Fixlog ==== |
|
Posté le 04/07/2014 à 14:36 |
| # DelFix v10.7 - Rapport créé le 04/07/2014 à 14:34:29 # Mis à jour le 27/04/2014 par Xplode # Nom d'utilisateur : David - DAVID-PC-PORT # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\USBFix Supprimé : C:\FRST Supprimé : C:\AdwCleaner Supprimé : C:\Users\David\AppData\Roaming\ZHP Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP Supprimé : C:\Users\David\Desktop\FRST-OlderVersion Supprimé : C:\Program Files (x86)\ZHPDiag Supprimé : C:\AdwCleaner[R1].txt Supprimé : C:\AdwCleaner[S1].txt Supprimé : C:\PhysicalDisk0_MBR.bin Supprimé : C:\Users\David\Desktop\Fixlog.txt Supprimé : C:\Users\David\Desktop\FRST64.exe Supprimé : C:\Users\David\Desktop\UsbFix.lnk Supprimé : C:\Users\David\Downloads\adwcleaner_3.211(1).exe Supprimé : C:\Users\David\Downloads\adwcleaner_3.211.exe Supprimé : C:\Users\David\Downloads\esetsmartinstaller_enu.exe Supprimé : C:\Users\David\Downloads\JRT.exe Supprimé : C:\Users\David\Downloads\Shortcut_Module(1).exe Supprimé : C:\Users\David\Downloads\Shortcut_Module(2).exe Supprimé : C:\Users\David\Downloads\Shortcut_Module.exe Supprimé : C:\Users\David\Downloads\UsbFix.exe Supprimée : HKCU\Software\USBFix Supprimée : HKLM\SOFTWARE\AdwCleaner Supprimée : HKLM\SOFTWARE\Shortcut_Module Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
########## - EOF - ########## |
|
Posté le 04/07/2014 à 17:08 |
Grand Maître astucien | Bonjour Aitana
Pour indiquer que le sujet est résolu (si tel est bien le cas), cliquer sur Marquer comme résolu dans le bandeau au-dessus du premier message ou en bas de page dans Options.
Cordialement.
|
|
Posté le 04/07/2014 à 17:40 |
| |
|
Posté le 05/07/2014 à 00:02 |
| Bonsoir,
Avec plaisir.
labougie |
|