> Tous les forums > Forum Sécurité
 Explorer+Progs lents - Pilotes/Virus/Spyware ?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
Rogerateur
  Posté le 03/04/2012 @ 11:43 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

J'ai un soucis depuis hier après-midi avec mon PC portable (cf. ci-dessous). J'avais désactivé l'écran le temps de vérifier un truc pour le boulot mais, en revenant, j'ai vu que l'écran était allumé, noir, avec inscrit un truc du style (j'aurai dû noter, mais je suis à peu près sûr de mon coup): "no bootable device, insert boot disk and press any key".

Bon. J'appuie sur Entrée, l'ordinateur redémarre. Tout va bien. Je relance mes applis (Word, Thunderbird), pas de souci. Je double-clique sur une photo, l'aperçu s'ouvre, ok. Sauf que quelques minutes après avoir démarré ma session, l'écran se fige. Je me suis aperçu peu après qu'en fait, le PC ramait à mort en essayant de répondre à ce que je lui demandais (ex: réduire une fenêtre, alt+tab, etc...).

J'ai lancé un scan complet avec Mailwarebytes en mode sans échec. Il me trouve deux entrées PUP.BundleInstaller.Somoto - toutes deux supprimées depuis. Je redémarre comme suggéré et me retrouve avec ma session Windows normale pendant ~2 min jusqu'à ce que l'explorer devienne très lent (genre ~3-5 min pour que le menu démarrer ou que le gestionnaire des tâches s'ouvrent) et que le lancement des programmes ne soit quasiment plus possible. Avec Thunderbird, par exemple, je clique, j'attends..., bon, je vois qu'il est bien dans la liste des processus, mais il est bloqué à ~700k, ~1500k ou ~20000k (selon legs essais).

Précisons que je n'avais pas de problème de mémoire vive auparavant. La différence est maintenant flagrante. Ah, et je n'ai aucun problème en mode sans échec (avec ou sans prise en charge réseau).

Bref, je ne sais pas ce qui se passe. J'ai essayé de revenir au denier point de sauvegarde (mise à jour Java du 31/03/2012), rien ne change. Sans doute s'agit-il d'un spyware ou d'un virus, mais lequel ? A moins qu'un pilote ou que le registre ait souffert de quelque problème ?

Suivant l'aide au diagnostic fournie par PCA, j'ai lancé ZHPDiag puis Mailwarebytes en mode sans échec.

Si quelqu'un peut me dire ce qui se passe et comment y remédier, j'apprécierai grandement. Toute aide est la bienvenue, merci d'avance !

========== Infos système


Nom de l'h“te: PORTABLEJF
Nom du systŠme d'exploitation: Microsoft Windowsÿ7 dition Familiale Premium
Version du systŠme: 6.1.7601 Service Pack 1 version 7601
Fabricant du systŠme d'exploitation: Microsoft Corporation
Configuration du systŠme d'exploitation: Station de travail autonome
Type de version du systŠme d'exploitation: Multiprocessor Free
Propri‚taire enregistr‚: User_1
Organisation enregistr‚e:
Identificateur de produit: 00359-OEM-8992687-00007
Date d'installation originale: 16/05/2010, 21:53:46
Heure de d‚marrage du systŠme: 03/04/2012, 09:50:48
Fabricant du systŠme: ASUSTeK Computer Inc.
ModŠle du systŠme: K52JK
Type du systŠme: x64-based PC
Processeur(s): 1 processeur(s) install‚(s).
[01]ÿ: Intel64 Family 6 Model 37 Stepping 2 GenuineIntel ~2261 MHz
Version du BIOS: American Megatrends Inc. K52JK.202, 09/02/2010
R‚pertoire Windows: C:\Windows
R‚pertoire systŠme: C:\Windows\system32
P‚riph‚rique d'amor‡age: \Device\HarddiskVolume2
Option r‚gionale du systŠme: fr;Fran‡ais (France)
ParamŠtres r‚gionaux d'entr‚e: fr;Fran‡ais (France)
Fuseau horaire: (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
M‚moire physique totale: 3ÿ949 Mo
M‚moire physique disponible: 2ÿ609 Mo
M‚moire virtuelleÿ: taille maximale: 7ÿ895 Mo
M‚moire virtuelleÿ: disponible: 6ÿ765 Mo
M‚moire virtuelleÿ: en cours d'utilisation: 1ÿ130 Mo
Emplacements des fichiers d'‚change: C:\pagefile.sys
Domaine: WORKGROUP
Serveur d'ouverture de session: \\PORTABLE
Correctif(s): 107 Corrections install‚es.
[01]: KB971033
[02]: KB2305420
[03]: KB2393802
[04]: KB2425227
[05]: KB2446710
[06]: KB2475792
[07]: KB2476490
[08]: KB2478662
[09]: KB2479628
[10]: KB2479943
[11]: KB2482017
[12]: KB2484033
[13]: KB2485376
[14]: KB2487426
[15]: KB2488113
[16]: KB2491683
[17]: KB2492386
[18]: KB2497640
[19]: KB2503658
[20]: KB2503665
[21]: KB2505438
[22]: KB2506014
[23]: KB2506212
[24]: KB2506223
[25]: KB2506928
[26]: KB2507618
[27]: KB2507938
[28]: KB2508272
[29]: KB2508429
[30]: KB2509553
[31]: KB2510531
[32]: KB2511250
[33]: KB2511455
[34]: KB2515325
[35]: KB2518869
[36]: KB2522422
[37]: KB2524375
[38]: KB2525694
[39]: KB2529073
[40]: KB2530548
[41]: KB2532531
[42]: KB2533552
[43]: KB2533623
[44]: KB2534366
[45]: KB2536275
[46]: KB2536276
[47]: KB2539635
[48]: KB2541014
[49]: KB2544521
[50]: KB2544893
[51]: KB2545698
[52]: KB2547666
[53]: KB2552343
[54]: KB2555917
[55]: KB2556532
[56]: KB2559049
[57]: KB2560656
[58]: KB2562937
[59]: KB2563227
[60]: KB2563894
[61]: KB2564958
[62]: KB2567053
[63]: KB2567680
[64]: KB2570791
[65]: KB2570947
[66]: KB2572077
[67]: KB2579686
[68]: KB2584146
[69]: KB2585542
[70]: KB2586448
[71]: KB2588516
[72]: KB2598845
[73]: KB2603229
[74]: KB2607576
[75]: KB2607712
[76]: KB2616676
[77]: KB2617657
[78]: KB2618444
[79]: KB2618451
[80]: KB2619339
[81]: KB2620704
[82]: KB2620712
[83]: KB2621440
[84]: KB2631813
[85]: KB2632503
[86]: KB2633873
[87]: KB2633952
[88]: KB2639308
[89]: KB2639417
[90]: KB2640148
[91]: KB2641653
[92]: KB2641690
[93]: KB2644615
[94]: KB2645640
[95]: KB2647516
[96]: KB2647518
[97]: KB2654428
[98]: KB2656356
[99]: KB2660075
[100]: KB2660465
[101]: KB2665364
[102]: KB2667402
[103]: KB958488
[104]: KB976002
[105]: KB976902
[106]: KB976932
[107]: KB982018
Carte(s) r‚seau: 2 carte(s) r‚seau install‚e(s).
[01]: Atheros AR9285 Wireless Network Adapter
Nom de la connexionÿ: Connexion r‚seau sans fil
DHCP activ‚ÿ: Oui
Serveur DHCPÿ: 192.168.1.1
Adresse(s) IP
[01]: 192.168.1.33
[02]: fe80::3c3a:dc19:2007:c1de
[02]: JMicron PCI Express Gigabit Ethernet Adapter
Nom de la connexionÿ: Connexion au r‚seau local
tatÿ: Support d‚connect‚

Publicité
Rogerateur
 Posté le 03/04/2012 à 11:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Rogerateur
 Posté le 03/04/2012 à 12:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Et enfin le rapport Malwarebaytes:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.04.03.05

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.7601.17514
User_1
PORTABLE [administrateur]

03/04/2012 10:22:03
mbam-log-2012-04-03 (10-22-03).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | PUP | PUM
Options d'examen désactivées: Heuristique/Shuriken | P2P
Elément(s) analysé(s): 471024
Temps écoulé: 1 heure(s), 45 minute(s), 6 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

leongka
 Posté le 03/04/2012 à 23:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

{#}

bienvenue sur PCAstuces

tout d'abord tu peux désinstaller spybot search & destroy qui est obsolète.

désactive tea timer avant.

tu post un rapport de MBAM propre, tu devrais mettre celui qui a trouvé quelque chose, ce serait plus utile, va dans l'onglet "Rapports/Logs" du logiciel et met le bon.

tu es infecté, remercie le P2P que tu as d'installé. {#}

ne t'étonne pas d'avoir des problèmes avec ça.

désinstalle les, et un helper du s'occupera de toi, soit patient

@+

Rogerateur
 Posté le 04/04/2012 à 10:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci pour le tuyau, leongka. J'ai désinstallé proprement Vuze et Spybot en suivant l'article et recherché le bon (ou plutôt mauvais, vu ce qu'il a trouvé) rapport de MBAM.

tu es infecté, remercie le P2P que tu as d'installé. {#}

ne t'étonne pas d'avoir des problèmes avec ça.

Hum, hum... je crois avoir compris la leçon...

===================================

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.04.02.09

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.7601.17514
Jocelyn Falconnet
PORTABLEJF [administrateur]

02/04/2012 22:32:06
mbam-log-2012-04-02 (22-32-06).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 433778
Temps écoulé: 1 heure(s), 30 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Jocelyn Falconnet\AppData\Local\TempDIR\BetterInstaller.exe (PUP.BundleInstaller.Somoto) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Jocelyn Falconnet\Local Settings\TempDIR\BetterInstaller.exe (PUP.BundleInstaller.Somoto) -> Mis en quarantaine et supprimé avec succès.

(fin)

leongka
 Posté le 04/04/2012 à 17:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

{#}

refait un ZHPDiag pour voir si tout est bien parti, cela fera gagner du temps au GS, merci

@+

Rogerateur
 Posté le 05/04/2012 à 19:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Rogerateur
 Posté le 05/04/2012 à 19:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Et voila ! :-)

Anonyme
 Posté le 06/04/2012 à 07:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour à tous,

les manip' sont à faire en mode normal...

+Télécharge AdwCleaner (merci Xplode) et enregistre le fichier sur ton Bureau : Ici
Double-clique dessus pour lancer l' installation
Vista/7, clic-droit>Exécuter en tant qu' Administrateur
Sur le menu principal, clique sur Suppression
Poste le rapport (C:\AdwCleaner[S].txt)

A+

Publicité
Rogerateur
 Posté le 06/04/2012 à 09:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le voici:

# AdwCleaner v1.504 - Rapport créé le 06/04/2012 à 09:44:34
# Mis à jour le 01/04/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : User_1 - PORTABLE
# Exécuté depuis : C:\Users\User_1\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [H. Navipromo] *****


***** [Registre] *****


***** [Registre (x64)] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v11.0 (fr)

Nom du profil : default
Fichier : C:\Users\User_1\AppData\Roaming\Mozilla\FireFox\Profiles\6atigb2d.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [929 octets] - [06/04/2012 09:44:34]

########## EOF - C:\AdwCleaner[S1].txt - [1056 octets] ##########

Anonyme
 Posté le 06/04/2012 à 12:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re,

¤ Télécharge Ad-Remover (merci C_XX) sur ton Bureau : Ici
- Double-clique dessus pour le démarrer (Vista/7, clic-droit>Exécuter en tant qu' Administrateur)
- Lance la recherche et poste le rapport

Rogerateur
 Posté le 06/04/2012 à 14:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport en question (notons que les problèmes persistaient en mode normal) :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 14:09:27 le 06/04/2012, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
Jocelyn Falconnet@PORTABLEJF (ASUSTeK Computer Inc. K52JK)

============== RECHERCHE ==============


Dossier trouvé: C:\Users\Jocelyn Falconnet\AppData\Roaming\pdfforge



============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [11.0 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\Jocelyn Falconnet\AppData\Roaming\Mozilla\FireFox\Profiles\6atigb2d.default --
Extensions\zotero@chnm.gmu.edu (Zotero)
Extensions\zoteroWinWordIntegration@zotero.org (Zotero Word for Windows Integration)
Searchplugins\google-scholar.xml (?)
Searchplugins\le-conjugueur.xml (?)
Searchplugins\wikipedia-en.xml (?)
Searchplugins\wiktionary-en.xml (?)
Searchplugins\wiktionnaire-fr.xml (?)
Searchplugins\wr-english-french.xml (?)
Searchplugins\wr-french-english.xml (?)
Prefs.js - browser.startup.homepage, about:home
Prefs.js - browser.startup.homepage_override.buildID, 20120312181643
Prefs.js - browser.startup.homepage_override.mstone, rv:11.0
Prefs.js - keyword.URL, hxxp://www.google.com/search?hl=fr&q=

========================================

**** Internet Explorer Version [8.0.7601.17514] ****

HKCU_Main|Default_Page_URL - hxxp://asus.msn.com
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://asus.msn.com
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64} - "?" (?)
HKCU_ElevationPolicy\{B49A34AD-FCEB-4409-8B0E-CC2218474E55} - C:\Program Files (x86)\Reasonable NoClone 2011 Enterprise\NoClone.exe (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{B49A34AD-FCEB-4409-8B0E-CC2218474E55} - C:\Program Files (x86)\Reasonable NoClone 2011 Enterprise\NoClone.exe (x)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 06/04/2012 14:11:15 (3222 Octet(s))

Fin à: 14:12:00, 06/04/2012

============== E.O.F ==============

Anonyme
 Posté le 06/04/2012 à 20:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

- Double-clique sur Ad-Remover pour l' exécuter
- Lance le nettoyage et poste le rapport

Rogerateur
 Posté le 06/04/2012 à 21:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le résultat du nettoyage en mode normal (problèmes persistants même après redémarrage comme conseillé par AdRemover):

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:12:24 le 06/04/2012, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
User_1@PORTABLE (ASUSTeK Computer Inc. K52JK)

============== ACTION(S) ==============


Dossier supprimé: C:\Users\User_1\AppData\Roaming\pdfforge

(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [11.0 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\User_1\AppData\Roaming\Mozilla\FireFox\Profiles\6atigb2d.default --
Extensions\zotero@chnm.gmu.edu (Zotero)
Extensions\zoteroWinWordIntegration@zotero.org (Zotero Word for Windows Integration)
Searchplugins\google-scholar.xml (?)
Searchplugins\le-conjugueur.xml (?)
Searchplugins\wikipedia-en.xml (?)
Searchplugins\wiktionary-en.xml (?)
Searchplugins\wiktionnaire-fr.xml (?)
Searchplugins\wr-english-french.xml (?)
Searchplugins\wr-french-english.xml (?)
Prefs.js - browser.startup.homepage, about:home
Prefs.js - browser.startup.homepage_override.buildID, 20120312181643
Prefs.js - browser.startup.homepage_override.mstone, rv:11.0
Prefs.js - keyword.URL, hxxp://www.google.com/search?hl=fr&q=

========================================

**** Internet Explorer Version [8.0.7601.17514] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64} - "?" (?)
HKCU_ElevationPolicy\{B49A34AD-FCEB-4409-8B0E-CC2218474E55} - C:\Program Files (x86)\Reasonable NoClone 2011 Enterprise\NoClone.exe (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{B49A34AD-FCEB-4409-8B0E-CC2218474E55} - C:\Program Files (x86)\Reasonable NoClone 2011 Enterprise\NoClone.exe (x)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/04/2012 21:12:31 (3468 Octet(s))
C:\Ad-Report-SCAN[1].txt - 06/04/2012 14:11:15 (3360 Octet(s))

Fin à: 21:13:35, 06/04/2012

============== E.O.F ==============

Anonyme
 Posté le 07/04/2012 à 08:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

+Télécharge RogueKiller (merci Tigzy) sur ton Bureau : Ici
Ferme tous les programmes en cours et lance-le
Attends la fin du prescan puis clique sur scan
Poste le rapport


A+

Rogerateur
 Posté le 07/04/2012 à 09:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le rapport:

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Usar_1 [Droits d'admin]
Mode: Recherche -- Date: 07/04/2012 09:48:19

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 locahost
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 adobeereg.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 www.adobeereg.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 192.150.18.108
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 4d125687074a189b6d328ce6bb8f80c0
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 16997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 34812855 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 279000855 | Size: 340706 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Anonyme
 Posté le 07/04/2012 à 17:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re,

refais la manip' de RogueKiller en mode normal!

Publicité
Rogerateur
 Posté le 07/04/2012 à 18:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le voila en mode normal:

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: User_1 [Droits d'admin]
Mode: Recherche -- Date: 07/04/2012 18:30:00

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 locahost
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 adobeereg.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 www.adobeereg.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 192.150.18.108
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 4d125687074a189b6d328ce6bb8f80c0
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 16997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 34812855 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 279000855 | Size: 340706 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Anonyme
 Posté le 07/04/2012 à 21:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

As-tu déjà fait une sauvegarde de ton système?

Rogerateur
 Posté le 07/04/2012 à 23:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

De mes fichiers, oui, mais pas du système qui ne contient rien d'irremplaçable. Et mon portable inclut une partition de restauration.

Anonyme
 Posté le 08/04/2012 à 09:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

fais la manip' de ComboFix (merci sUBs) et poste le rapport : Ici

A+

Rogerateur
 Posté le 08/04/2012 à 09:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

En mode normal aussi ?

Rogerateur
 Posté le 08/04/2012 à 11:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Combofix_log.txt

Anonyme
 Posté le 08/04/2012 à 14:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re,

ton Pc est infecté...

Télécharge TDSSKiller depuis ce lien : Ici

- Extrais de l' archive téléchargée le fichier TDSSKiller.exe et place-le sur le Bureau
- Fais un double-clic dessus pour le lancer

L' écran s' affiche :
Image IPB

- Clique sur Start scan pour lancer l' analyse
- Lorsque l' outil a terminé son travail et que
des nuisibles Image IPB auront été trouvés,
vérifie que l' option Image IPB est sélectionnée puis choisis Quarantine
- Clique sur les boutons Image IPB et si besoin
- Poste le rapport (SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

Rogerateur
 Posté le 08/04/2012 à 14:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut fredericx,

J'ai exécuté TDSSKiller, mais il n'a rien trouvé de nuisible (juste une menace moyenne - 'medium threat'). D'ailleurs, je crois bien avoir fait une bêtise après. Comme je ne voyais pas de bouton 'Cure', j'ai quand même fait copier le fichier moyennement nuisible en quarantaine. Et je m'aperçois maintenant que je n'aurais peut-être pas dû.

Le rapport est dans le message suivant.



Modifié par Rogerateur le 08/04/2012 15:01
Rogerateur
 Posté le 08/04/2012 à 14:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
virus spyware.zbot.ed
Virus qui a pris le controle de explorer windows 7
Infecté de la tête au pied ... Virus/spyware/RAT
Virus ou spyware?
Virus Worm, Spyware.OnlineGames
"trustedsoftware" virus ? spyware?
probleme de virus sur internet explorer
Virus ou spyware "antivirus studio 2010"
anti virus et spyware
virus ou spyware ou disque dur hs ?
Plus de sujets relatifs à Explorer+Progs lents - Pilotes/Virus/Spyware ?
 > Tous les forums > Forum Sécurité