> Tous les forums > Forum Analyse de rapports et désinfection
 Fichiers WAV par centaines infection ?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
f060ges
  Posté le 30/03/2018 @ 19:08 
Aller en bas de la page 
Astucien

Bonjour à tous

Cela fait longtemps que je ne suis pas venu sur le forum
Mais j'ai besoin de vos lumières

Je suis rendu compte que mon SSD de 250 GO était subitement saturé. Normalement W10 et les programmes pesent entre 40 et 50 GO

La cause environ 200 GO de fichiers WAV dans system 32 ( des fichiers qui se recréent tout seul je les effaces et progressivement ils reviennent)

Voici un exemple depuis quelques minutes

Dés que je coupe internet la création de fichiers s'arrête bien évidement

Le plus gros fichier effacé 1.7 GO...

Merci de votre avis sur ce phénomène

Publicité
El Magnifico
 Posté le 30/03/2018 à 22:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pas d'avis sur le phénoméne, une redirection d'un site resté ouvert , une infection peut etre , pour s' en assurer suivre ceci

Bonjourimage



• si vous pensez que votre machine est infectée, lisez ceci: https://forum.pcastuces.com/sujet.asp?f=26&s=4



Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports avec l'aide de CJoint, cochez Privée et 21 jours.

      Tuto =>
image




Pour télécharger et executer les outils , désactivez l 'Antivirus et éventuellement le Filtre SmartScreen le temps des opérations
(exemples)

image Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports qu' avec le lien donné par CJoint

      => Tuto pour ZHPDiag
image



Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI

Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative !

• Questions:

      • Réalisez vous des sauvegardes image du système sur
un disque dur externe
      ainsi que les données que vous créez ?

      • Quel antivirus utilisez vous ?

      • Avez vous modifier le fichier Hosts ?

      • Utilisez vous Yahoo ?





image Pour commencer vous allez régler et créer un point de restauration système que vous nommez : Avant désinfection

Solution de repli stratégiqueimage
  • Tuto => image

Code
Touches Windows image + R , tapez ou Copiez / Collez sysdm.cpl dans la fenêtre puis OK / Onglet protection du système / surlignez C (système) / configurer / cochez Activer la protection ( ou) Restaurer les paramètres système / mettre le curseur sur 15% / validez par OK
Puis revenir sur l'onglet protection du système surlignez C (système)/Créer/………/créer.




image



Modifié par El Magnifico le 30/03/2018 22:37
f060ges
 Posté le 30/03/2018 à 23:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir El Magnifico

Merci de regarder mes problèmes

Quelques informations je n'avais que la protection Microsoft et aucun problème "apparemment"
J'ai mis Bitdefender qui n'a rien trouvé

Pour info création de 10 GO de fichier en 2 heures, si je coupe internet le phénomène s'arrete

Mes images disques ne fonctionnent plus avec Acronis . J'ai changé de SSD un Samsung 250 mo à la place d' un intel postville récemment
Cela explique sans doute le problème. J n'arrive pas non plus a la faire avec le cd de démarrage de acronis
Il faudrait que je fasse un clonage à l'envers et remonter le système sur le postville sans doute

Voici les fichiers demandés

https://www.cjoint.com/c/HCEvwimEqWS

https://www.cjoint.com/c/HCEvxTcSxRS

https://www.cjoint.com/c/HCEvyvYuzbS

https://www.cjoint.com/c/HCEvy5VzFlS



Modifié par f060ges le 31/03/2018 08:25
f060ges
 Posté le 31/03/2018 à 00:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re bonsoir El Magnifico

Voici 2 autres rapports

https://www.cjoint.com/data/HCEv4eG0GmS_AdwCleaner-S1-.txt

https://www.cjoint.com/c/HCEv5JmtzCS

420 fichiers crées depuis 21h10 énormes !!!!! 8.5 GO

Avec mes remerciements

f060ges
 Posté le 31/03/2018 à 00:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour

Je voulais apporter une précision

J'ai pu écouter certains fichiers : ils ont tous un rapport avec la publicité pour une sté d'assurances Allianz

C'est extrêmement étonnant non !!!!

Ca matin ouverture de mon Pc et aussitôt création de dizaines de fichiers avec son WAV d'ouverture windows

Merci de vos lumières

Bon WE



Modifié par f060ges le 31/03/2018 08:24
El Magnifico
 Posté le 31/03/2018 à 10:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Je regarde vos rapports, et je reviens vers vous, dans l' après midi.

En attendant

Réinitialiser/Réparer les Navigateurs WEB concerné(s) par les problèmes :



Réparer Mozilla Firefox (premier paragraphe) ICI

Réparer Google Chrome (premier paragraphe) ICI

Réinitialiser et réparer Internet Explorer ICI

Reinitialiser EDGE ICI

**************

Redésinstallez Bitdefender, pas necessaire avec W10

et Microsoft Security

Ainsi que : Adobe AIR

Bonjour

Java

*************

Avez vous des logiciels crackés ?



Modifié par El Magnifico le 31/03/2018 10:49
Labougie
 Posté le 31/03/2018 à 16:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

f060ges a écrit :

Bonsoir El Magnifico

Merci de regarder mes problèmes

Quelques informations je n'avais que la protection Microsoft et aucun problème "apparemment"
J'ai mis Bitdefender qui n'a rien trouvé

F060ges, El magnifico ,

Je m'inscris pour suivre ce sujet qui me semble intéressant.

Quand tu écris que La protection microsoft n'a rien trouvé, je reste surpris.

Regarde

Date: 2018-03-21 22:34:53.194
Description: 
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Fuerboos.D!cl&threatid=2147723655&enterprise=0
Nom : Trojan:Win32/Fuerboos.D!cl
ID : 2147723655
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_F:\Documents Papa\Dossiers de travail\Dossier Ocp\DIVERS INFORMATIQUE\Signatures Outlook.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : Unknown
Version de la signature : AV: 1.263.908.0, AS: 1.263.908.0, NIS: 119.0.0.0
Version du moteur : AM: 1.1.14600.4, NIS: 2.1.14600.4

Ci joint le lien ==> https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3aWin32%2fFuerboos.D!cl&threatid=2147723655&enterprise=0

Afin d'aider ton assistant, je te conseille de faire analyser en ligne ce fichier pointé en rouge (signature outlook.exe) sur le site virus total et d'en donner le lien.

Labougie



Modifié par Labougie le 31/03/2018 16:11
El Magnifico
 Posté le 31/03/2018 à 16:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Me voici de retour, j' analyse les rapports, on commencera par faire un premier decrassage

Labougie

**********************************************

image Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI


Desactivez votre antivirus le temps de la correction .




On attaque dans l’ dur image pour un bon nettoyage de saison !


image ZHPFix (de Nicolas Coolman)

image


Code
1) INSTALLATION de ZHPFix

Téléchargez ZHPFix sur le bureau image , puis cliquez sous le compteur (bouton bleu clair) et enregistrez le sur votre Bureau et pas ailleurs !. (Enregistrer sous=> bureau) Téléchargement de secours : Blog US ou ICI

2) ENREGISTREMENT du scriptZHPfix pour correctif.

• Avec ce correctif nous allons effectuer un premier nettoyage

• Tuto => image

=> Surlignez toutes les lignes bleues ce qui se trouvent sous "Citation", ( commence par Script ZHPFix et fini par Fin) puis clic droit / Copier

Ensuite ouvrez ZHPFix, cliquez sur "importer", (supprimer la petite fenetre d'info si elle se présente) , mettre le curseur en haut dans la fenetre vide clic droit / coller, puis cliquez sur GO




Citation

Script ZHPFix
ShortcutFix
IFEOFix
SysRestore
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{01E61FB8-7D60-496F-B004-69D53C147F3A}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{01E61FB8-7D60-496F-B004-69D53C147F3A}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{01E61FB8-7D60-496F-B004-69D53C147F3A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{01E61FB8-7D60-496F-B004-69D53C147F3A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{01E61FB8-7D60-496F-B004-69D53C147F3A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{01E61FB8-7D60-496F-B004-69D53C147F3A}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{230363D5-EE22-40B2-B9E2-616C9FE28076}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{230363D5-EE22-40B2-B9E2-616C9FE28076}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{230363D5-EE22-40B2-B9E2-616C9FE28076}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{230363D5-EE22-40B2-B9E2-616C9FE28076}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{230363D5-EE22-40B2-B9E2-616C9FE28076}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{230363D5-EE22-40B2-B9E2-616C9FE28076}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{343B116B-A86E-44DE-9329-B120572CFA96}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{343B116B-A86E-44DE-9329-B120572CFA96}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{343B116B-A86E-44DE-9329-B120572CFA96}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{343B116B-A86E-44DE-9329-B120572CFA96}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{343B116B-A86E-44DE-9329-B120572CFA96}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{343B116B-A86E-44DE-9329-B120572CFA96}
C:\Windows\System32\Tasks\Microsoft_Hardware_Launch_LifeExp_exe
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\OCURActivate
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D5975CA-F404-4265-823E-EA16195BF8DC}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3D5975CA-F404-4265-823E-EA16195BF8DC}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3D5975CA-F404-4265-823E-EA16195BF8DC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D5975CA-F404-4265-823E-EA16195BF8DC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3D5975CA-F404-4265-823E-EA16195BF8DC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3D5975CA-F404-4265-823E-EA16195BF8DC}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\StartRecording
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAC41EC3-304A-451A-8918-16976A229175}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{AAC41EC3-304A-451A-8918-16976A229175}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{AAC41EC3-304A-451A-8918-16976A229175}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAC41EC3-304A-451A-8918-16976A229175}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{AAC41EC3-304A-451A-8918-16976A229175}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{AAC41EC3-304A-451A-8918-16976A229175}
C:\Windows\System32\Tasks\Microsoft\Microsoft Antimalware\MpIdleTask
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
C:\Windows\System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E70038E9-CBFB-4681-89FE-3450262A3140}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E70038E9-CBFB-4681-89FE-3450262A3140}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E70038E9-CBFB-4681-89FE-3450262A3140}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E70038E9-CBFB-4681-89FE-3450262A3140}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E70038E9-CBFB-4681-89FE-3450262A3140}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E70038E9-CBFB-4681-89FE-3450262A3140}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\IXnView
HKLM\Software\Classes\CLSID\{A5D35F9F-6A11-4EAA-B70B-7BB6FE32663A}
HKLM\Software\WOW6432Node\Classes\CLSID\{A5D35F9F-6A11-4EAA-B70B-7BB6FE32663A} =>.Reinstall Software IXnView
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\Gadgets
HKLM\Software\Classes\CLSID\{6B9228DA-9C15-419e-856C-19E768A13BDC}
HKLM\Software\WOW6432Node\Classes\CLSID\{6B9228DA-9C15-419e-856C-19E768A13BDC} =>.Reinstall Software Gadgets
C:\Windows\Installer\181b55b.msp
C:\Windows\Installer\189ea9b.msp
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\IXnView
HKLM\Software\Classes\CLSID\{A5D35F9F-6A11-4EAA-B70B-7BB6FE32663A}
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\Gadgets
HKLM\SOFTWARE\AVG
HKLM\SOFTWARE\WOW6432Node\AVG
HKCU\SOFTWARE\AVG
C:\Program Files (x86)\AVG
C:\ProgramData\Avg
C:\Users\Papa\AppData\Local\Avg
C:\Users\Papa\AppData\Local\Avg2014
C:\Users\Papa\AppData\Local\AvgSetupLog
C:\Windows\Installer\5c6fa6.msp
C:\Windows\Installer\a4ecbb.msp
C:\Windows\Installer\f7124.msp
HKLM\SOFTWARE\GlarySoft
HKLM\SOFTWARE\WOW6432Node\GlarySoft
HKCU\SOFTWARE\GlarySoft
C:\ProgramData\GlarySoft
C:\Program Files (x86)\Orange\CAP Nap Plugin ActiveX
[HKU\S-1-5-21-2619817560-4159708423-2300884157-1001\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main]:HomeButtonPage="http://www.orange.fr/"
HKLM\SOFTWARE\Orange
HKLM\SOFTWARE\WOW6432Node\Orange
HKCU\SOFTWARE\Orange
C:\Program Files (x86)\Orange
C:\Users\Papa\AppData\Roaming\Orange
HKLM\SOFTWARE\PANDA SOFTWARE
HKLM\SOFTWARE\WOW6432Node\PANDA SOFTWARE
HKLM\SOFTWARE\PDF Architect 2
HKLM\SOFTWARE\WOW6432Node\PDF Architect 2
HKCU\SOFTWARE\PDF Architect 2
HKLM\SYSTEM\CurrentControlSet\Services\WsAppService
C:\Program Files (x86)\Wondershare\WAF\2.4.3.231\WsAppService.exe
HKLM\SOFTWARE\Wondershare
HKLM\SOFTWARE\WOW6432Node\Wondershare
HKCU\SOFTWARE\Wondershare
C:\Program Files (x86)\Wondershare
C:\ProgramData\Wondershare
C:\Users\Papa\AppData\Local\Wondershare
HKLM\SOFTWARE\Yahoo
HKLM\SOFTWARE\WOW6432Node\Yahoo
C:\Program Files\ma-config.com
EmptyCLSID
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
ProxyFix
fin




image Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre PC sous peine de l'endommager

…………………………………

Code
3) EXECUTION du Nettoyage

Lancez ZHPFix ( clic droit en tant qu’ administrateur ) sur l'icone ZHPFix (seringue)

Cliquez sur le bouton "IMPORTER"

Si une petite fenêtre d'avertissement apparait , la supprimer, placez le curseur de la souris dans la fenetre dans l'angle en haut à gauche, puis clic droit / coller => Cliquez sur OK puis sur GO

S'il est demandé "Confirmez-vous le nettoyage de ces données", accepter

S'il est demandé de redémarrer l'ordinateur, refuser sinon le script va être interrompu



…………………………………………..

Vérifier que les lignes copiées dans le cadre sont celles du script et rien d’autre. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton GO

……………………………………………

Code
4) HEBERGEZ le rapport ZHPFixReport.txt qui se trouve sur le bureau et communiquez le lien de Cjoint dans la prochaine réponse.


Le rapport ZHPFix.txt se trouve sur le bureau.
A defaut, Touches Windows + R Copier/>Coller dans la fenetre %AppData% /ZHP puis OK. dans la fentre explorateur cliquez sur ZHP

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque


……………………………………………

Redemarrer l‘ordinateur pour la prise en compte des modifications.

.....................................

Comme le préconise Labougie, nous allons contrôler le fichier, précité

FRST et VirusTotal

Nous allons vérifier ces fichiers avec VT afin de s'assurer de leur innocuité ou non.

Maintenant lancez FRST.exe en double cliquant dessus

Copiez ce qui se trouve sous Code et collez dans la fenêtre de FRST

Code

start::
VirusTotal: F:\Documents Papa\Dossiers de travail\Dossier Ocp\DIVERS INFORMATIQUE\Signatures Outlook.exe
end::




Que les cases soient cochées ou non, cela n'a pas d'importance !

Cliquez sur CORRIGER puis validez le Disclaimer par "Ok"

image

Laissez le travailler

Postez le rapport Fixlog.txt quand celui ci est disponible.



A vous lire image



Modifié par El Magnifico le 31/03/2018 17:45
Pierre95
 Posté le 31/03/2018 à 17:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour à tous

Labougie

Tu les détiens d' où ces infos

Je réponds à sa place:

==> Dans Addition.txt rubrique "erreurs du journal d'évenements "

Publicité
El Magnifico
 Posté le 31/03/2018 à 17:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Oui, je viens de m' en apercevoir

Attention Defender détecte aussi des FP !

J'ai demandé une verif avec VT de l' exe qui se trouve dans la partition F/ à l'aide de FRST



Modifié par El Magnifico le 31/03/2018 17:53
f060ges
 Posté le 31/03/2018 à 18:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir à tous

desole de ne pas vous avoir répondu plus vite

je suis absent jusqu’à lundi dans la soirée

je reprendrai contact à ce moment-là

avec mes remerciements pour votre travail

bonWE

El Magnifico
 Posté le 31/03/2018 à 18:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonnes Pâques.

A lundi

f060ges
 Posté le 02/04/2018 à 16:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

El Magnifico a écrit :

Bonnes Pâques.

A lundi

El Magnifico , Labougie

Me voici de retour

Je regarde bien les fichiers crées: mon système enregistre tous les fichiers audios "qu'il entend"

Si je lance IE il enregistre les audios de Pub, il les enregistre les sons Windows de même
et enregistre les audios d'un film ou de la télé ( my canal) ou d'un morceau de musique.

J'ai donc désactivé les 2 pilotes sons Realtek et Nvidia (celui de ma carte graphique )

Et là plus aucune création de fichiers dans windows/syteme 32

Je ne sais pas si ces informations vous apportent un éclairage particulier

Les fichiers demandés

Merci de vos services

https://www.cjoint.com/c/HDcouUWy2oS

https://www.cjoint.com/c/HDcosZxq58S



Modifié par f060ges le 02/04/2018 16:43
f060ges
 Posté le 02/04/2018 à 16:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Labougie a écrit :
f060ges a écrit :

Bonsoir El Magnifico

Merci de regarder mes problèmes

Quelques informations je n'avais que la protection Microsoft et aucun problème "apparemment"
J'ai mis Bitdefender qui n'a rien trouvé

F060ges, El magnifico ,

Je m'inscris pour suivre ce sujet qui me semble intéressant.

Quand tu écris que La protection microsoft n'a rien trouvé, je reste surpris.

Regarde

Date: 2018-03-21 22:34:53.194
Description: 
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Fuerboos.D!cl&threatid=2147723655&enterprise=0
Nom : Trojan:Win32/Fuerboos.D!cl
ID : 2147723655
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_F:\Documents Papa\Dossiers de travail\Dossier Ocp\DIVERS INFORMATIQUE\Signatures Outlook.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : Unknown
Version de la signature : AV: 1.263.908.0, AS: 1.263.908.0, NIS: 119.0.0.0
Version du moteur : AM: 1.1.14600.4, NIS: 2.1.14600.4

Ci joint le lien ==> https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3aWin32%2fFuerboos.D!cl&threatid=2147723655&enterprise=0

Afin d'aider ton assistant, je te conseille de faire analyser en ligne ce fichier pointé en rouge (signature outlook.exe) sur le site virus total et d'en donner le lien.

Labougie

Re bonjour Labougie El Magnifico

Je suis étonnée par ce fichier . Il date de 2016 et c'est un exécutif provenant de ma société pour la création de signature dans Outlook .

Il n'a jamais été exécuté sur mon Pc mais uniquement sur mon PC portable pro

Il est en effet dans mes fichiers pro sauvegardés.

El Magnifico
 Posté le 02/04/2018 à 16:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

f060ges

Concernant le fichier , il est bien vérolé reconnu comme tel par 9 sur 66 antivirus

On le supprimera !

*************************

On poursuit les investigations

ZHPCleaner
    (de Nicolas Coolman)



image


image Téléchargez (clic sur le bouton bleu en dessous du compteur) => image et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US]

Si aucun des liens ne fonctionnent utilisez cette version : ZHPCleaner

Cet outil puissant supprimera des malveillants présents dans la machine

Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

• Tuto => image

  • Cliquez sur Options

  • Puis sur : Tout cocher / Fermer



image

  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".



La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix

image

Le rapport se trouvera sur le bureau

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".

Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur " Valider " puis sur Nettoyer


image

La réparation s'effectue...patienter quelques minutes.

Redémarrer l' ordinateur, et le rapport s'affichera au redémarrage. Fermer le rapport.

• Le rapport ZHPCleaner.txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows image + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK

• Postez le rapport avec l’aide de Cjoint

La procédure pour Cjoint est la suivante :
Rendez-vous sur ce site :http://www.cjoint.com/ cocher : privée et 21 jours
Cliquez sur Parcourir et cherchez le fichier à héberger sur le disque


*****************************************************************************************************

ADWCleaner


image

image Téléchargez la derniere version AdwCleaner. et enregistrez le sur votre Bureau => image. (Enregistrer sous => bureau)

Adwcleaner va rechercher les Adwares

Tutoriel d’ utilisation ADWCleaner en images ( version 7.00 et +) ICI

  • Tuto => image



Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte/I Agree" dans les conditions d'utilisation.

Cliquez sur Language, Choisir en Français, fermez le logiciel puis le réouvrir.

  • Cliquez sur Outils puis Options puis cochez : Fichiers Prefetch ; Clés Tracing ; IFEO

  • Puis dans la colonne de droite : cochez en plus de Winsock ; IEPolicies ; Policies Chrome ; Parefeu ; validez par OK



Cliquez sur Analyser pour lancer l'analyse.

Cette fonction ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

Patientez le temps de l'analyse .

Si des détections malveillantes sont mises en évidence, postez le rapport

Cliquer sur Nettoyer .

L'utilitaire va fermer tous vos programmes pendant la suppression, cliquez sur "OK"

Confirmez le redémarrage de l'ordinateur.

Au redémarrage le rapport s'ouvrira dans le bloc note.

  • Tuto pour creer un lien avec Cjoint=> image



Postez le rapport .

Note : Les rapports sont stockés dans C:\AdwCleaner (ou le dossier courant) et sont nommés selon le format suivant:

  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt



Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil


***************************************************************************************************

MBAR



image


Téléchargez MBAR sur votre bureau image

Avec cet outil nous allons vérifier de suite si un roootkit se cache dans la machine.

Tuto => image


Attention! MBAR doit être exécuté à partir d'un compte avec des droits d'administrateur.

· Clic droit sur le fichier téléchargé / Exécuter en tant qu' administrateur. OK, auto-extraction rapide.

· MBAR démarre. Cliquez sur "Next" pour continuer.

· Cliquez sur l'écran suivant "Update" pour obtenir les dernières définitions de logiciels malveillants. Puis sur Next

· Cochez les 3 cases – Drivers-Sectors-System

· Une fois la mise à jour terminée, sélectionnez "Scan"

· Lorsque l’ analyse est terminée et qu'aucun logiciel malveillant n'a été trouvé, sélectionnez "Exit"

· Si des logiciels malveillants ont été détectés, assurez-vous de vérifier tous les éléments et cliquez sur "Cleanup" .

Dés que le “nettoyage” est terminé, un message s’affiche “Cleanup scheduled successfully” ainsi qu’une fenêtre, Cliquez dans cette fenêtre sur “Yes“,
Votre ordinateur redémarre.

Le rapport se trouve ici=> Ouvrez le dossier MBAR situé sur votre bureau puis dans ce fichier => "Mbar-log- {date} (xx-xx-xx) .txt"

Uniquement si des malveillants ont été détectés=>Exécutez une nouvelle analyse avec Malwarebytes Anti-Rootkit (MBAR) pour vérifier qu'aucune menace ne demeure. S'il en reste, cliquez sur le bouton de nettoyage une nouvelle fois et répétez le processus.

S’il n’y a plus rien de détectés par Malwarebytes Anti-Rootkit (MBAR), vérifiez que votre système fonctionne maintenant normalement, en s'assurant que les éléments suivants soient fonctionnels :

  • Accès à Internet

  • Mise à jour de Windows

  • Pare-feu Windows



S’il y a d'autres problèmes avec votre système, comme un problème avec l’un des éléments ci-dessus, ou n’importe quel autre problème, exécutez l'outil « FixDamage » inclus avec Malwarebytes Anti-Rootkit (MBAR), que vous trouverez dans le répertoire « Plugins », puis redémarrez l’ordinateur.

Vérifiez que votre système fonctionne désormais normalement.

Si vous rencontrez le moindre problème dans l'exécution de Malwarebytes Anti-Rootkit (MBAR), ou s’il n'a pas entièrement résolu tous les problèmes que vous avez eus, s'il vous plaît contactez le support technique.
Un journal est produit, déposé dans le répertoire où se trouve MBAR, sous le nom system-log.txt. Les analyses successives sont cumulatives.

f060ges
 Posté le 02/04/2018 à 17:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

El Magnifico

Voici les rapports demandés

Rien de trouvé

https://www.cjoint.com/c/HDcpz3764qS

https://www.cjoint.com/c/HDcpA5WUoNS

https://www.cjoint.com/c/HDcpBPhiXES

https://www.cjoint.com/c/HDcpCqFciDS

Je regarde bien les fichiers crées: mon système enregistre tous les fichiers audios "qu'il entend"

Si je lance IE il enregistre les audios de Pub,Youtube il les enregistre, les sons Windows de même
et enregistre les audios d'un film ou de la télé ( my canal) ou d'un morceau de musique.

J'ai donc désactivé les 2 pilotes sons Realtek et Nvidia (celui de ma carte graphique )

Et là plus aucune création de fichiers dans windows/syteme 32

Je ne sais pas si ces informations vous apportent un éclairage particulier

Merci de votre patience

El Magnifico
 Posté le 02/04/2018 à 17:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Vous avez posté ZHPFIX à la place de ZHPcleaner.txt

Vous avez posté ADWCLeaner en scan , je ne vois pas le nettoyage

*********************

Refaire un scan avec ZHPDiag , postez le rapport

Refaire un scan avec FRST , postez les 3 rapports

*****************

Ce phénoméne se produit même si aucun navigateur est ouvert ?



Modifié par El Magnifico le 02/04/2018 17:51
Publicité
f060ges
 Posté le 02/04/2018 à 18:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

El Magnifico

Voici les rapports demandés
https://www.cjoint.com/c/HDcqpdJnOWS
https://www.cjoint.com/c/HDcqpBHJVGS
https://www.cjoint.com/c/HDcqqkQmRlS
https://www.cjoint.com/c/HDcqqKd1FeS
https://www.cjoint.com/c/HDcqrdzymyS

Je n'ai plus le "phénomène". J'ai désinstallé tous les pilotes audios
et réinstallé le dernier Realtek ==> plus le phénomène.

Je me demande si le changement de GC le 13/03/18 n'est pas en cause . Une NVIDIA 1030 passive à la place d'une vielle HD 4770
La Nvidia a des pilotes audios que j'ai installés avec le package.

A vous lire

Encore tous mes remerciements



Modifié par f060ges le 02/04/2018 18:26
El Magnifico
 Posté le 02/04/2018 à 18:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Je n'ai plus le "phénomène". J'ai désinstallé tous les pilotes audios
et réinstallé le dernier Realtek ==> plus le phénomène.

Je pense que vous avez mis le doigt dessus

Je regarde les liens, reviens vers vous pour terminer le nettoyage

El Magnifico
 Posté le 02/04/2018 à 20:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

image
      => Je vous invite dans un premier temps à désinstaller ces programmes inutiles cités sous "Citation" ,
sauf votre avis contraire !

Code
Pour obtenir directement l'accés à ces programmes :
Touches Windows image + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK



Citation


=> Adobe AIR
=> Bonjour
=> Java
=> Microsoft Security Client


.

      Voici un correctif avec
FRST





imageCe correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.


Desactivez votre antivirus le temps de la correction .




Copiez tout ceci : surlignez toutes les lignes ( en dessous de Citation) puis un clic droit / copier, et c'est tout ! ( commence parstart::et fini parend::) Pas besoin d'enregistrer dans Word par exemple !

Citation
start::
CreateRestorePoint:
CloseProcesses:
EmptyTemp:
RemoveProxy:
Hosts:
F:\Documents Papa\Dossiers de travail\Dossier Ocp\DIVERS INFORMATIQUE\Signatures Outlook.exe
Tcpip\..\Interfaces\{50c3cafb-216f-4429-a43b-103b19a86f02}: [NameServer] 208.67.222.222,208.67.220.220
SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL =
HKU\S-1-5-21-2619817560-4159708423-2300884157-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-2619817560-4159708423-2300884157-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://r.orange.fr/r/Oodc_oi_promoHP?ref=O_OI_defaultPage_IEe64_w10e64_promoHP
SearchScopes: HKU\S-1-5-21-2619817560-4159708423-2300884157-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKU\S-1-5-21-2619817560-4159708423-2300884157-1001 -> Pas de nom - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Pas de fichier
Edge Extension: (Translator pour Microsoft Edge) -> MicrosoftTranslate_MicrosoftTranslatorforMicrosoftEdge_8wekyb3d8bbwe => C:\Program Files\WindowsApps\Microsoft.TranslatorforMicrosoftEdge_0.91.42.0_neutral__8wekyb3d8bbwe [non trouvé(e)]
Edge Extension: (Pas de nom) -> MouseGestures_MicrosoftMouseGestures_8wekyb3d8bbwe => C:\Program Files\WindowsApps\Microsoft.MouseGestures_0.6.17136.0_neutral__8wekyb3d8bbwe [2017-09-10]
FF Plugin: @microsoft.com/VirtualEarth3D,version=4.0 -> C:\Program Files (x86)\Virtual Earth 3D\ [Pas de fichier]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Pas de fichier]
FF Plugin-x32: @divx.com/DivX Browser Plugin,version=1.0.0 -> C:\Windows\system32\C2MP\npdivx32.dll [Pas de fichier]
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.3 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [Pas de fichier]
FF Plugin-x32: @real.com/nppl3260;version=6.0.12.69 -> C:\Program Files (x86)\Video Convert Master\codec\real\browser\plugins\nppl3260.dll [Pas de fichier]
FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.69 -> C:\Program Files (x86)\Video Convert Master\codec\real\browser\plugins\nprpjplug.dll [Pas de fichier]
FF Plugin-x32: @rocketlife.com/RocketLife Secure Plug-In Layer;version=1.0.5 -> C:\ProgramData\Visan\plugins\npRLSecurePluginLayer.dll [Pas de fichier]
CHR HKLM-x32\...\Chrome\Extension: [dhhejlifdlcgcmogbggeomfodgklfaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
U3 idsvc; pas de ImagePath
U4 npcap_wifi; pas de ImagePath
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Pas de fichier
Task: {2A71FD76-E465-43FB-B7E6-1BE817D46370} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Pas de fichier <==== ATTENTION
Task: {2B4C8E5D-2BF2-4C34-9394-CF847C97CDC3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Pas de fichier <==== ATTENTION
Task: {44E08EF2-8B07-4688-9324-39B224B253A8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier <==== ATTENTION
Task: {612C415D-B99C-4227-8958-E2E8C6708961} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier <==== ATTENTION
Task: {706D795E-92A8-477B-9A60-F4659FA965FF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Pas de fichier <==== ATTENTION
Task: {7A244351-681E-4901-8D6E-547D52F56DEC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier <==== ATTENTION
Task: {8043886F-F294-4174-9DF4-6E1CB6FAC9F2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier <==== ATTENTION
Task: {87C0B7FD-D633-4C3C-8627-2859DDE57D87} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier <==== ATTENTION
Task: {8FA5EE30-08A1-4911-A3F1-D49574935318} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier <==== ATTENTION
Task: {99D25C57-80F4-4F9D-A21F-540726C7BF8E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier <==== ATTENTION
Task: {BE7EEB2F-D052-4252-9006-85EC8089E20D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier <==== ATTENTION
Task: {CF0738C1-FF2C-4A9F-AC6F-AD365138EDB8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier <==== ATTENTION
Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
Task: C:\Windows\Tasks\DropboxUpdateTaskMachineCore.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe
Task: C:\Windows\Tasks\DropboxUpdateTaskMachineUA.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe
AlternateDataStreams: C:\Users\La Famille\Downloads\paje_bulletinsalaire (1).pdf:BDU [1]
AlternateDataStreams: C:\Users\La Famille\Downloads\paje_bulletinsalaire (2).pdf:BDU [1]
AlternateDataStreams: C:\Users\La Famille\Downloads\paje_bulletinsalaire (3).pdf:BDU [1]
AlternateDataStreams: C:\Users\La Famille\Downloads\paje_bulletinsalaire.pdf:BDU [1]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Images sons vidéos\QuickTime\QuickTime Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Images sons vidéos\QuickTime\À propos de QuickTime.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple\Apple Software Update.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\amendes courrier Lille Mesgouez Benjamin.doc.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\ben cv1.doc.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\ben cv2 (5).doc.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\ben cv2.doc.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\Bibliothèque.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\carte de visite.docx.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\cv ben-1.docx.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\cv ben.docx.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\CV.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\DD - BEN (H).lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\EUROTOOL.XLA.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\LM 2.doc.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\LM 3.doc.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\LM.doc.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\Normal.dot.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\ORJS4F7O.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\Patrick Mesgouez ANEPF 2010.ppt.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\QUIKANIM.PPT.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\TE5LKKR3.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\Word excel.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Office\Récent\Y9RVRC00.lnk
C:\Users\Benjamin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\CCleaner.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Matériel\MSI\Live Update 5\Désinstaller Live Update 5.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Matériel\Java\Get Help.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Matériel\Java\Visit Java.com.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Java\Obtenir de l'aide.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Java\Visiter le site Java.com.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Images sons vidéos\Gestionnaire audio HD Realtek - Raccourci.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Office\Récent\EUROTOOL.XLA.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Office\Récent\Formation ingenieur conseil maj du 16 février 2013.ppt.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Office\Récent\Journée des partenaire 10 10 2013.ppt.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Office\Récent\Présentation FAC 14 fev 2014.ppt.lnk
C:\Users\Papa\AppData\Roaming\Microsoft\Excel\x34%20neuf303946813355739662\x34%20neuf.xlsx.lnk
C:\Users\Papa\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk
C:\Users\Papa\AppData\Local\Microsoft\Windows\GameExplorer\{FE49A9AB-ACF9-4935-93DE-9938DBA68BDC}\PlayTasks\0\Play.lnk
StartRegEdit:
Windows Registry Editor Version 5.00
[HKCU\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:Blank"
EndRegEdit:
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{01E61FB8-7D60-496F-B004-69D53C147F3A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{01E61FB8-7D60-496F-B004-69D53C147F3A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{01E61FB8-7D60-496F-B004-69D53C147F3A}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{033D74BF-4C08-4E01-B3B4-1A4C68DD8697}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{052A8AA6-4090-4380-BC3A-FE57DFF56B43}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{0CA35B9B-87C4-4677-A6ED-77ED9BCA385C}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{230363D5-EE22-40B2-B9E2-616C9FE28076}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{230363D5-EE22-40B2-B9E2-616C9FE28076}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{230363D5-EE22-40B2-B9E2-616C9FE28076}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{343B116B-A86E-44DE-9329-B120572CFA96}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{343B116B-A86E-44DE-9329-B120572CFA96}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{343B116B-A86E-44DE-9329-B120572CFA96}
C:\Windows\System32\Tasks\Microsoft_Hardware_Launch_LifeExp_exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3BD1C094-63FF-4197-A8DE-98F69CDD576F}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\OCURActivate
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D5975CA-F404-4265-823E-EA16195BF8DC}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3D5975CA-F404-4265-823E-EA16195BF8DC}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{3D5975CA-F404-4265-823E-EA16195BF8DC}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{51FF8E53-98CC-4B7F-904E-221FC28ABC49}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5A91695A-F5BA-41AB-B5A7-1047202D3786}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\StartRecording
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{5C0D4762-FD03-4997-94CA-970D0E23AC7A}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{66D13CB9-D59F-45DA-ABF0-802A231A1A2B}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{6BD618DF-6EE4-4C4A-A6CF-06234D94BAA0}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{70D060F8-4924-4B05-AB46-DDE8F86D8B0A}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\mcupdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{75D377B9-57E0-4873-B41E-06C8E52CEA90}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{903F727F-181F-4EC3-9FF5-B6EA5067F494}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A1783E1B-68A6-4090-A0CF-E836D9F14AC5}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAC41EC3-304A-451A-8918-16976A229175}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{AAC41EC3-304A-451A-8918-16976A229175}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{AAC41EC3-304A-451A-8918-16976A229175}
C:\Windows\System32\Tasks\Microsoft\Microsoft Antimalware\MpIdleTask
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B3A6EFC9-A7D1-4F02-A343-DC1C2F862511}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{B8B34454-76C3-41D5-82B0-6ABEBBAD4ACC}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{CDE95BF2-5D3E-44E3-A96B-1AEF47DF106E}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D4EF248C-3F9A-416B-B10E-0C43B9E51642}
C:\Windows\System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{DBDE2CF8-2400-49F9-91D6-1CC70E1D94A3}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E70038E9-CBFB-4681-89FE-3450262A3140}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E70038E9-CBFB-4681-89FE-3450262A3140}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{E70038E9-CBFB-4681-89FE-3450262A3140}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{EE06FB79-95C7-4A01-865E-B4002EFB78B1}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{F242DAEC-3F79-4D6C-AB68-4C6227C31852}
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\IXnView
DeleteKey: HKLM\Software\Classes\CLSID\{A5D35F9F-6A11-4EAA-B70B-7BB6FE32663A}
DeleteKey: HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\Gadgets
DeleteKey: HKLM\Software\Classes\CLSID\{6B9228DA-9C15-419e-856C-19E768A13BDC}
C:\Windows\Installer\181b55b.msp
C:\Windows\Installer\189ea9b.msp
DeleteKey: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\IXnView
DeleteKey: HKLM\Software\Classes\CLSID\{A5D35F9F-6A11-4EAA-B70B-7BB6FE32663A}
DeleteKey: HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\Gadgets
DeleteValue: HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{1DAC0C53-7D23-4AB3-856A-B04D98CD982A}
DeleteKey: HKLM\SOFTWARE\AVG
DeleteKey: HKLM\SOFTWARE\WOW6432Node\AVG
C:\Program Files (x86)\AVG
C:\Windows\Installer\5c6fa6.msp
C:\Windows\Installer\a4ecbb.msp
C:\Windows\Installer\f7124.msp
DeleteKey: HKLM\SOFTWARE\GlarySoft
DeleteKey: HKLM\SOFTWARE\WOW6432Node\GlarySoft
C:\Program Files (x86)\Orange\CAP Nap Plugin ActiveX
DeleteKey: HKLM\SOFTWARE\Orange
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Orange
C:\Program Files (x86)\Orange
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\WsAppService
C:\Program Files (x86)\Wondershare\WAF\2.4.3.231\WsAppService.exe
DeleteKey: HKLM\SOFTWARE\Wondershare
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Wondershare
C:\Program Files (x86)\Wondershare
C:\ProgramData\Wondershare
DeleteKey: HKLM\SOFTWARE\Yahoo
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Yahoo
DeleteKey: HKCU\SOFTWARE\AVAST Software
DeleteKey: HKCU\SOFTWARE\Bitdefender Home Scanner
DeleteKey: HKCU\SOFTWARE\Bitdefender VPN
C:\Program Files\Bitdefender
C:\ProgramData\BDLogging
C:\ProgramData\Bitdefender
C:\ProgramData\Bitdefender Agent
C:\ProgramData\Bitdefender Device Management
C:\ProgramData\Bitdefender Home Scanner
C:\ProgramData\Bitdefender VPN
C:\Users\Papa\AppData\Roaming\QuickScan
C:\Program Files\ma-config.com
cmd: ipconfig /flushdns
cmd: netsh winsock reset
Cmd: netsh advfirewall reset
Cmd: Netsh advfirewall set allprofiles state on
end::




Maintenant lancez FRST.exe en double cliquant dessus

Que les cases soient cochées ou non, cela n'a pas d'importance !

Collez le correctif, en plaçant la fleche dans la fenetre rectangulaire, puis clic droit/ coller

Cliquez sur CORRIGER puis validez le Disclaimer par "Ok"

image

Laissez le travailler, cela peut durer un certain temps. image

Postez le rapport Fixlog.txt quand celui ci est disponible.
Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

Tuto => image

.........................

Comment tourne la machine ?

f060ges
 Posté le 02/04/2018 à 22:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

El Magnifico bonsoir

La machine tourne parfaitement

La partition windows est contenue dans 51 GO et ne produit plus les fichiers parasites . WAV

Les programmes à désinstaller

=> Adobe AIR j'en ai besoin pour mon reader Voiles & Voiliers
=> Bonjour nous avons des teléphones Apple n'est ce pas un problème pour les sauvegardes et synchro ??
=> Java je peux enlever
=> Microsoft Security Client ayant sur vos conseils désinstallé Bitdefender je n'ai plus que cet antivirus

Voici le dernier rapport

https://www.cjoint.com/c/HDcuPfqQMRS

Bonne nuit

El Magnifico
 Posté le 03/04/2018 à 09:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

f060ges

Concernant Adobe air, ok gardez le s' il vous est utile

Bonjour est un logiciel adobe , gardez le

Java , supprimez le , de toute façon il est téléchargeable à chaque instant

Microsoft securité , n'est pas nécessaire , avec W10 vous avez Defender d' origine qui est l' équivalent de tous les AV gratuits, pourquoi mettre 2 AV, d'autant qu'il n' en faut qu' un d' activé ?!

**********************

Le trojan détecté par défender (justement on en parlait) a été supprimé

Nous allons verifier une derniere fois toute la machine cette fois, ainsi que les clés et DD externes, avec ESET en ligne, attention le temps de l' analyse est très long , plusieurs heures sans activité!

ESET



image


Il se peut que des nuisibles non détectés par les outils utilisés soient encore présents.
Nous allons procéder à une derniere analyse avec cet outil : Patience , l'analyse est très longueimage

Branchez les disques durs externes et clés USB, ceci permettra de les contrôler également.

Il s'agit d' un scan en ligne avec ESET Online Scanner

  • Tuto=> image



Désactivez impérativement vos programmes de sécurité qui incluent, mais sans s'y limiter, antivirus, antiviraux, anti- espions et autres.....


image Téléchargez Esetsmartinstaller_enu.exe image puis sur Scannez maintenant

Cliquez avec le bouton droit de la souris sur le programme et choisissez Exécuter en tant qu'administrateur .

Acceptez leurs termes et conditions et poursuivez.

Installez Add-On / Active X si vous y êtes invité.

• À partir du paramètre d' analyse de l' ordinateur, cochez la case suivante => Activer la détection pour les programmes potentiellement indésirables (Enable detection of potentially unwanted applications)

• Cliquez sur Paramètres avancés (advanced settings)

      • Cochez la case à côté de Activer la detection d'une application potentiellement dangereuse
(Enable detection of potentially unsafe application)

      • Cochez la case à côté de Activer la detection d'une application suspecte
(Enable detection of suspicious application)

      • Cochez la case en regard des archives de numérisation
(Scan Archives)

      • Cochez la case Activer la technologie anti-Stealth
(Enable Anti-Stealth technologiy)



Cliquez sur Démarrer (Scan) et attendez que la base de données de signature de virus soit mise à jour.

L'analyse en ligne commencera automatiquement et peut prendre plusieurs heures.

Remarque: Ne touchez ni la souris ni le clavier pendant l' analyse, ceci peut arreter le processus.

Une fois le scan terminé

• Si aucune menace n'a été trouvée:

Fermez le programme et signalez que rien n'a été trouvé

Si des menaces ont été trouvées:

  • Copiez et collez le contenu du fichier journal (résultats) dans votre prochaine réponse=> Cliquez sur copie to clipboard

Puis rendez vous dans la fenetre Réponse de votre Forum, puis clic droit / coller.


  • Si toute fois vous n' y arrivez pas, enregistrez le résultat dans la machine: cliquez sur Save to text file et enregistrez le dans documents, pour sauvegarder les résultats

Utilisez ensuite CJoint pour poster le résultat.

  • Ne fermez pas l'outil !

Mais vous pouvez reprendre vos activités

Ne pas stresser s'il y a beaucoup de lignes , certaines correspondent certainement à des malveillants déjà en quarantaine.



image Remarque: n'oubliez pas de réactiver vos programmes de sécurité par la suite.

A vous lire image



Modifié par El Magnifico le 03/04/2018 09:02
f060ges
 Posté le 03/04/2018 à 11:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

El magnifico

Rapport ESET de ce matin

C:\Users\Papa\AppData\Local\Microsoft\Windows\INetCache\Low\IE\1K7GYCGX\url[1].htm HTML/Refresh.BC cheval de troie
C:\Users\Papa\AppData\Roaming\Mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\chrome\CT2851639\content\popup.js JS/Toolbar.Conduit.B application potentiellement indésirable
C:\Users\Papa\AppData\Roaming\Mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\Plugins\npConduitFirefoxPlugin.dll une variante de Win32/Conduit.SearchProtect.N application potentiellement indésirable
F:\Documents Papa\Dossiers de travail\Archives Ocp\Archives Ocp\secure client\SC_NGX_R60_HFA2_630000044.msi une variante de Win32/CheckPoint.A application potentiellement dangereuse
F:\Documents Papa\Dossiers de travail\Archives Ocp\Citrix\SC_NGX_R60_HFA2_simp_630000044.msi une variante de Win32/CheckPoint.A application potentiellement dangereuse
F:\Documents Papa\Dossiers de travail\Archives Ocp\Citrix\VPN-1_SecureClient_NGX_R60_HFA_02_Supplement_3_630002002.msi une variante de Win32/CheckPoint.A application potentiellement dangereuse
F:\Documents Papa\Dossiers informatique\logiciels seven W10\Logiciels divers\IZArcInstall.exe Win32/WebDevAZ.C application potentiellement indésirable,Win32/OpenCandy application potentiellement dangereuse
F:\Documents Papa\Dossiers informatique\logiciels seven W10\Logiciels HP\HP_(Hewlett_Packard)_LaserJet_1018_Mise_Ã _jour_Pilote_06-2014.exe une variante de Win32/Systweak.H application potentiellement indésirable
F:\Documents Papa\Dossiers informatique\logiciels seven W10\Logiciels maintenance\ccsetup508.exe Win32/Bundled.Toolbar.Google.D application potentiellement dangereuse
F:\Documents Papa\Dossiers informatique\logiciels seven W10\Logiciels maintenance\rcsetup151.exe Win32/Bundled.Toolbar.Google.D application potentiellement dangereuse
F:\Documents Papa\Dossiers informatique\logiciels seven W10\Logiciels maintenance\spsetup128.exe Win32/Bundled.Toolbar.Google.D application potentiellement dangereuse
F:\Documents Papa\Dossiers informatique\logiciels seven W10\Logiciels maintenance\unlocker_1-9-2_fr_20237.exe une variante de Win32/Toolbar.Babylon.E application potentiellement indésirable
F:\Documents Papa\Dossiers informatique\logiciels seven W10\Logiciels photos musique et videos\Setup_FreeVideoConverter.exe Win32/Toolbar.Widgi application potentiellement indésirable
F:\Documents Papa\Dossiers informatique\logiciels seven W10\Maj logiciels microsoft\windows.7.codec.pack.v4.0.3.setup.exe une variante de Win32/Toolbar.Widgi.B application potentiellement indésirable,une variante de Win32/Toolbar.Widgi application potentiellement indésirable
F:\Documents Papa\Dossiers informatique\Logiciels test pc\spsetup123.exe Win32/Bundled.Toolbar.Google.D application potentiellement dangereuse

El Magnifico
 Posté le 03/04/2018 à 11:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

f060ges

Vous pouvez cliquer sur nettoyer, si le programme est fermé je vous ferai un correctif avec FRST

f060ges
 Posté le 03/04/2018 à 12:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Celui ci est "en cours"

C:\Users\Papa\AppData\Local\Microsoft\Windows\INetCache\Low\IE\1K7GYCGX\url[1].htm HTML/Refresh.BC cheval de troie

Les autres lignes OK



Modifié par f060ges le 03/04/2018 12:25
El Magnifico
 Posté le 03/04/2018 à 12:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

f060ges a écrit :

Celui ci est "en cours"

C:\Users\Papa\AppData\Local\Microsoft\Windows\INetCache\Low\IE\1K7GYCGX\url[1].htm HTML/Refresh.BC cheval de troie

Les autres lignes OK

J' ai pô compris ?

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
[El Magnifico] Une infection qui revient régulièrement
[El Magnifico] suppression impossible de fichiers
[El Magnifico] infection messagerie
[Pierre95]Infection
[El Magnifico]Avira fichiers corrompus+ skype sans vidéo+mozilla
[El Magnifico] recherche infection ou pas
[El Magnifico] Infection - Comportement erratique de la souris
[El Magnifico] infection et/ou adware potentiel
[El Magnifico] PC ralenti et message d'alerte d'infection
[El Magnifico] infection
Plus de sujets relatifs à Fichiers WAV par centaines infection ?
 > Tous les forums > Forum Analyse de rapports et désinfection