> Tous les forums > Forum Sécurité
 Systeme progressive protectionSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
benwah16
  Posté le 21/10/2012 @ 17:10 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

comme beaucoup, je subis depuis hier les assauts de "System progressive protection".

Après quelques recherches, j'ai vu qu'une solution consistait à lancer roguekiller et scanner l'ordinateur, puis exécuter malwarebites après une mise à jour.

Seulement, je ne crois pas pouvoir comprendre les résultats de ce scan et m'en débrouiller tout seul ! Est ce le seul moyen de s'en débarasser !?

Si oui, quelqu'un peut il m'aider !

Merci d'avance

Benwah16

Publicité
eliot3
 Posté le 21/10/2012 à 17:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
benwah16
 Posté le 21/10/2012 à 20:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Eliot3,

donc j'oublie Roguekiller pour le moment et je commence par malwarebytes !?

....mais impossible de le lancer, "system progressive scan" m'indique qu'un fichier est infecté et rien ne se passe !

J'ai réussi à lancer un scan par mon antivirus (AVG) tout à l'heure : il m' trouvé 3 erreurs mais dès que j'ai voulu consulter le rapport... rebug et rien ne se passe, donc je n'en sais pas plus !

Je dois essayer en mode sans échec ? Comment on fait ? (F8 au démarage et après !?)

Merci

Fill
 Posté le 21/10/2012 à 20:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Je vais t'assister au cours de cette désinfection. Si tu es d'accord, on va fixer quelques règles pour que la désinfection soit efficace.

  • Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
  • Si tu as des cracks ou des keygens, tu les supprimes,
  • Si tu as un windows illégal, je ne désinfecte pas.
  • Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
  • La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
  • Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.
  • Essaie de passer rogue killer, en mode recherche.
  • Si tu as des questions, n'hésite pas.

Fill

benwah16
 Posté le 21/10/2012 à 20:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Fill,

je lance donc Roguekiller et je t'informe !

Merci

benwah16
 Posté le 21/10/2012 à 20:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai oublié de préciser que j'acceptais les conditions requises (un seul garagiste, windows légal, temps restreint...)

Voilà le rapport

RogueKiller V8.1.1 [01/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Website: http://www.sur-la-toile.com/RogueKiller/

Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version

Demarrage : Mode normal

Utilisateur : monadier [Droits d'admin]

Mode : Recherche -- Date : 21/10/2012 20:32:30

¤¤¤ Processus malicieux : 1 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤

[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 681D43494D556F1E0000681CDB337622 (C:\ProgramData\681D43494D556F1E0000681CDB337622\681D43494D556F1E0000681CDB337622.exe) -> TROUVÉ

[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-3470758974-2774036070-2317676466-1000[...]\RunOnce : 681D43494D556F1E0000681CDB337622 (C:\ProgramData\681D43494D556F1E0000681CDB337622\681D43494D556F1E0000681CDB337622.exe) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3470758974-2774036070-2317676466-1000\$96988dbfe7489963cea3e23fbf0acad3\n.) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3470758974-2774036070-2317676466-1000\$96988dbfe7489963cea3e23fbf0acad3\@ --> TROUVÉ

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3470758974-2774036070-2317676466-1000\$96988dbfe7489963cea3e23fbf0acad3\U --> TROUVÉ

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3470758974-2774036070-2317676466-1000\$96988dbfe7489963cea3e23fbf0acad3\L --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++

--- User ---

[MBR] 92f165a81564c33686198553cd73fa2f

[BSP] 0afeb09b0ca29fc140ba5f109a525136 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 241478 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 497620992 | Size: 233961 Mo

User = LL1 ... OK!

User = LL2 ... OK!

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++

--- User ---

[MBR] 0c4228ddd8bb5cd48f8232dead2b20b6

[BSP] be7807f2870c3b5f649c250a4588b44c : MBR Code unknown

Partition table:

0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 8064 | Size: 3816 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

Termine : << RKreport[1].txt >>

RKreport[1].txt

Fill
 Posté le 21/10/2012 à 20:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Très belle infection

1/

  • Exécute le programme Roguekiller de Tigzy (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification).
  • Clique sur le bouton "Suppression" comme indiqué ici pour que le programme corrige les éléments trouvés :


Un rapport RKreport[2] créé sur ton Bureau. Copie/colle son contenu dans ta prochaine réponse.

2/ Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller.zip depuis le lien ci-dessous:
http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.


Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:
Image IPB

Cliquez sur Change parameters Image IPB

L'écran Settings de TDSSKiller s'affiche:
Image IPB

Cochez la case située devant Loaded modules Image IPB

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".
Image IPB

Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:
Image IPB

Cliquez sur Change parameters Image IPB

L'écran Settings de TDSSKiller s'affiche.
Cochez toutes les cases, comme ceci:
Image IPB

puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:
Image IPB

Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:
Image IPB
*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:
Image IPB

Ensuite cliquez sur le bouton Continue Image IPB

Un redémarrage est nécessaire:
Image IPB

Cliquez sur Reboot computer Image IPB


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:

Fill

benwah16
 Posté le 21/10/2012 à 21:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai donc supprimé les fichiers avec roguekiller ; voici le rapport :

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur : monadier [Droits d'admin]
Mode : Suppression -- Date : 21/10/2012 21:09:10

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 681D43494D556F1E0000681CDB337622 (C:\ProgramData\681D43494D556F1E0000681CDB337622\681D43494D556F1E0000681CDB337622.exe) -> SUPPRIMÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3470758974-2774036070-2317676466-1000\$96988dbfe7489963cea3e23fbf0acad3\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3470758974-2774036070-2317676466-1000\$96988dbfe7489963cea3e23fbf0acad3\@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3470758974-2774036070-2317676466-1000\$96988dbfe7489963cea3e23fbf0acad3\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3470758974-2774036070-2317676466-1000\$96988dbfe7489963cea3e23fbf0acad3\L --> SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess|Rogue.AntiSpy-ST ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++
--- User ---
[MBR] 92f165a81564c33686198553cd73fa2f
[BSP] 0afeb09b0ca29fc140ba5f109a525136 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 241478 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 497620992 | Size: 233961 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 0c4228ddd8bb5cd48f8232dead2b20b6
[BSP] be7807f2870c3b5f649c250a4588b44c : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 8064 | Size: 3816 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

benwah16
 Posté le 21/10/2012 à 21:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

et j'ai ensuite éxécuté TDSSkiller en suivant les consignes.

Seules 6 fichiers suspects que j'ai "skipper" et pas de reboot proposé !

Le rapport est assez long et je n'arrive pas à le coller ! Y'a ça qui s'affiche !

500 - Internal server error.

There is a problem with the resource you are looking for, and it cannot be displayed.

Est il possible de l'envoyer en pièce jointe ,?

Publicité
benwah16
 Posté le 21/10/2012 à 21:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je poste juste la fin du rapport... ça suffira !?

21:14:37.0553 4512 Scan finished
21:14:37.0553 4512 ============================================================
21:14:37.0568 4504 Detected object count: 9
21:14:37.0568 4504 Actual detected object count: 9
21:19:14.0593 4504 CanalPlus.VOD ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0593 4504 CanalPlus.VOD ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:19:14.0609 4504 ConfigFree Gadget Service ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0609 4504 ConfigFree Gadget Service ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:19:14.0609 4504 FLEXnet Licensing Service ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0609 4504 FLEXnet Licensing Service ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:19:14.0609 4504 IDriverT ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0609 4504 IDriverT ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:19:14.0609 4504 o2flash ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0609 4504 o2flash ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:19:14.0609 4504 SmartFaceVWatchSrv ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0609 4504 SmartFaceVWatchSrv ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:19:14.0624 4504 TODDSrv ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0624 4504 TODDSrv ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:19:14.0624 4504 TOSHIBA SMART Log Service ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0624 4504 TOSHIBA SMART Log Service ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:19:14.0624 4504 UleadBurningHelper ( UnsignedFile.Multi.Generic ) - skipped by user
21:19:14.0624 4504 UleadBurningHelper ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:21:04.0245 3424 Deinitialize success

Fill
 Posté le 21/10/2012 à 22:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

C'est OK.

  • Téléchargez Combofix depuis l'un des liens ci-dessous:

    Lien 1
    Lien 2

    * IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

  • Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

  • Faites un double clic sur combofix.exe & suivez les invites.

  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

  • Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


Réduction à 95% de la taille originale [ 536 x 154 ]




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

Je regarde cela demain.

Fill



Modifié par Fill le 21/10/2012 22:01
benwah16
 Posté le 21/10/2012 à 22:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci pour tout !

A demain donc et bonne nuit !

benwah16
 Posté le 22/10/2012 à 08:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

voici donc le rapport de combofix.

Je ne crois pas qu'il ai installé la console de récupération. Un écran bleu est apparu détaillant les étapes d'installation ou de recherche !

omboFix 12-10-21.02 - monadier 21/10/2012 22:18:26.1.2 - x64
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.4060.2103 [GMT 2:00]
Lancé depuis: c:\users\monadier\Desktop\Desktop\Desktop\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\681D43494D556F1E0000681CDB337622
c:\programdata\681D43494D556F1E0000681CDB337622\681D43494D556F1E0000681CDB337622
c:\programdata\681D43494D556F1E0000681CDB337622\681D43494D556F1E0000681CDB337622.exe
c:\programdata\681D43494D556F1E0000681CDB337622\681D43494D556F1E0000681CDB337622.ico
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-09-21 au 2012-10-21 ))))))))))))))))))))))))))))))))))))
.
.
2012-10-21 20:25 . 2012-10-21 20:25 -------- d-----w- c:\users\monadier\AppData\Local\temp
2012-10-21 20:25 . 2012-10-21 20:25 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-10-21 20:16 . 2012-10-21 20:17 -------- d-----w- C:\32788R22FWJFW
2012-10-21 16:03 . 2012-10-21 16:03 -------- d-----w- c:\programdata\WindowsSearch
2012-10-19 06:16 . 2012-10-17 00:31 9291768 ------w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{751D5C98-7FCD-4470-8FF4-03DA08B01AD3}\mpengine.dll
2012-10-10 08:52 . 2012-06-02 00:20 174592 ----a-w- c:\windows\system32\cryptsvc.dll
2012-10-10 08:52 . 2012-06-02 00:20 132096 ----a-w- c:\windows\system32\cryptnet.dll
2012-10-10 08:52 . 2012-06-02 00:20 1268736 ----a-w- c:\windows\system32\crypt32.dll
2012-10-10 08:52 . 2012-06-02 00:02 985088 ----a-w- c:\windows\SysWow64\crypt32.dll
2012-10-10 08:52 . 2012-06-02 00:02 98304 ----a-w- c:\windows\SysWow64\cryptnet.dll
2012-10-10 08:52 . 2012-06-02 00:02 133120 ----a-w- c:\windows\SysWow64\cryptsvc.dll
2012-10-10 08:52 . 2012-08-24 16:07 218624 ----a-w- c:\windows\system32\wintrust.dll
2012-10-10 08:52 . 2012-08-24 15:53 172544 ----a-w- c:\windows\SysWow64\wintrust.dll
2012-10-10 08:52 . 2012-09-13 13:45 2048 ----a-w- c:\windows\system32\tzres.dll
2012-10-10 08:52 . 2012-09-13 13:28 2048 ----a-w- c:\windows\SysWow64\tzres.dll
2012-10-10 08:51 . 2012-08-29 11:40 4699520 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-09-27 08:21 . 2012-09-27 08:20 821736 ----a-w- c:\windows\SysWow64\npDeployJava1.dll
2012-09-27 08:20 . 2012-09-27 08:20 95208 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-22 08:11 . 2012-08-24 11:23 754824 ----a-w- c:\program files\Internet Explorer\iexplore.exe
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-11 16:10 . 2006-11-02 12:35 65309168 ----a-w- c:\windows\system32\mrt.exe
2012-09-27 08:20 . 2010-07-21 19:42 746984 ----a-w- c:\windows\SysWow64\deployJava1.dll
2012-08-14 08:05 . 2012-02-23 16:49 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-08-14 08:05 . 2012-02-23 16:49 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-08-10 08:53 . 2012-04-10 06:48 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-08-10 08:53 . 2011-05-26 11:45 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1555968]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-12-10 438584]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"NDSTray.exe"="NDSTray.exe" [BU]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-09-26 417792]
"TkBellExe"="c:\program files (x86)\real\realplayer\Update\realsched.exe" [2011-11-05 273528]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2011-10-20 163992]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-14 348664]
"XtrCtrlExEmotion"="c:\program files (x86)\Hercules\Dualpix Emotion\XtrCtrlEx.exe" [2009-10-19 3407656]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]
.
c:\users\monadier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-4-28 110592]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\Toshiba\TRDCReminder\TRDCReminder.exe [2009-2-24 391072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=0 (0x0)
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - 17586157
*NewlyCreated* - 50895762
*NewlyCreated* - 92829451
*Deregistered* - 17586157
*Deregistered* - 50895762
*Deregistered* - 92829451
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Themes
.
Contenu du dossier 'Tâches planifiées'
.
2012-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-02-08 08:11]
.
2012-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-02-08 08:11]
.
2012-10-21 c:\windows\Tasks\ReclaimerUpdateFiles_monadier.job
- c:\users\monadier\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.20\agent\rnupgagent.exe [2012-10-08 17:42]
.
2012-10-18 c:\windows\Tasks\ReclaimerUpdateXML_monadier.job
- c:\users\monadier\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.20\agent\rnupgagent.exe [2012-10-08 17:42]
.
2012-10-21 c:\windows\Tasks\RNUpgradeHelperLogonPrompt_monadier.job
- c:\users\monadier\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.20\agent\rnupgagent.exe [2012-10-08 17:42]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" [2008-11-06 492600]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 237056]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2009-03-04 96144]
"XtrCtrlExEmotion"="c:\program files (x86)\Hercules\Dualpix Emotion\XtrCtrlEx.exe" [2009-10-19 3407656]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\monadier\AppData\Roaming\Mozilla\Firefox\Profiles\znrnswbb.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: !HIDDEN! 2010-02-04 20:15; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Wow6432Node-HKLM-Run-ITSecMng - c:\program files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe
Wow6432Node-HKLM-Run-cfFncEnabler.exe - cfFncEnabler.exe
SafeBoot-50895762.sys
SafeBoot-mcmscsvc
SafeBoot-MCODS
WebBrowser-{977AE9CC-AF83-45E8-9E03-E2798216E2D5} - (no file)
HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
HKLM-Run-HSON - c:\program files (x86)\TOSHIBA\TBS\HSON.exe
HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe
HKLM-Run-00TCrdMain - c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe
HKLM-Run-HDMICtrlMan - c:\program files (x86)\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2012-10-21 22:28:27
ComboFix-quarantined-files.txt 2012-10-21 20:28
.
Avant-CF: 70 139 179 008 octets libres
Après-CF: 71 010 381 824 octets libres
.
- - End Of File - - F51A244B16A41DF5E6715267ABC42B5A

Fill
 Posté le 22/10/2012 à 08:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

1/

  • Télécharge le fichier présent dans mon prochain message sur ton Bureau,
  • Dézippe-le (Clic droit > Extraire ici),
  • Renomme-le en CFScript,
  • Fais un glisser/déposer de ce fichier texte CFScript.txt sur le fichier ComboFix.exe comme sur la capture

  • Patiente le temps du scan, le Bureau va disparaître à plusieurs reprises: c'est normal !
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ces instructions ne concernent que cette machine. Elles ne doivent pas être appliquées sur une autre machine.

2/ Relance Rogue killer, option recherche et édite le rapport.

3/ Fais une analyse avec malwarebyte's comme indiqué ici et édite le rapport.

4/ Fais une analyse avec eset comme indiqué ici et édite le rapport.

Fill

Fill
 Posté le 22/10/2012 à 08:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Fichier joint : CFScript.txt

benwah16
 Posté le 22/10/2012 à 09:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici le rapport combofix... je lance la suite !

ComboFix 12-10-21.02 - monadier 22/10/2012 8:56.2.2 - x64
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.4060.2535 [GMT 2:00]
Lancé depuis: c:\users\monadier\Desktop\Desktop\Desktop\Desktop\ComboFix.exe
Commutateurs utilisés
c:\users\monadier\Desktop\Desktop\Desktop\Desktop\CFScript.txt.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_17586157
-------\Legacy_50895762
-------\Legacy_92829451
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-09-22 au 2012-10-22 ))))))))))))))))))))))))))))))))))))
.
.
2012-10-22 07:05 . 2012-10-22 07:09 -------- d-----w- c:\users\monadier\AppData\Local\temp
2012-10-21 16:03 . 2012-10-21 16:03 -------- d-----w- c:\programdata\WindowsSearch
2012-10-19 06:16 . 2012-10-17 00:31 9291768 ------w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{751D5C98-7FCD-4470-8FF4-03DA08B01AD3}\mpengine.dll
2012-10-10 08:52 . 2012-06-02 00:20 174592 ----a-w- c:\windows\system32\cryptsvc.dll
2012-10-10 08:52 . 2012-06-02 00:20 132096 ----a-w- c:\windows\system32\cryptnet.dll
2012-10-10 08:52 . 2012-06-02 00:20 1268736 ----a-w- c:\windows\system32\crypt32.dll
2012-10-10 08:52 . 2012-06-02 00:02 985088 ----a-w- c:\windows\SysWow64\crypt32.dll
2012-10-10 08:52 . 2012-06-02 00:02 98304 ----a-w- c:\windows\SysWow64\cryptnet.dll
2012-10-10 08:52 . 2012-06-02 00:02 133120 ----a-w- c:\windows\SysWow64\cryptsvc.dll
2012-10-10 08:52 . 2012-08-24 16:07 218624 ----a-w- c:\windows\system32\wintrust.dll
2012-10-10 08:52 . 2012-08-24 15:53 172544 ----a-w- c:\windows\SysWow64\wintrust.dll
2012-10-10 08:52 . 2012-09-13 13:45 2048 ----a-w- c:\windows\system32\tzres.dll
2012-10-10 08:52 . 2012-09-13 13:28 2048 ----a-w- c:\windows\SysWow64\tzres.dll
2012-10-10 08:51 . 2012-08-29 11:40 4699520 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-09-27 08:21 . 2012-09-27 08:20 821736 ----a-w- c:\windows\SysWow64\npDeployJava1.dll
2012-09-27 08:20 . 2012-09-27 08:20 95208 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-22 08:11 . 2012-08-24 11:23 754824 ----a-w- c:\program files\Internet Explorer\iexplore.exe
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-11 16:10 . 2006-11-02 12:35 65309168 ----a-w- c:\windows\system32\mrt.exe
2012-09-27 08:20 . 2010-07-21 19:42 746984 ----a-w- c:\windows\SysWow64\deployJava1.dll
2012-08-14 08:05 . 2012-02-23 16:49 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-08-14 08:05 . 2012-02-23 16:49 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-08-10 08:53 . 2012-04-10 06:48 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-08-10 08:53 . 2011-05-26 11:45 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1555968]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-12-10 438584]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"NDSTray.exe"="NDSTray.exe" [BU]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-09-26 417792]
"TkBellExe"="c:\program files (x86)\real\realplayer\Update\realsched.exe" [2011-11-05 273528]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2011-10-20 163992]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-14 348664]
"XtrCtrlExEmotion"="c:\program files (x86)\Hercules\Dualpix Emotion\XtrCtrlEx.exe" [2009-10-19 3407656]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]
.
c:\users\monadier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-4-28 110592]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\Toshiba\TRDCReminder\TRDCReminder.exe [2009-2-24 391072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=0 (0x0)
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Themes
.
Contenu du dossier 'Tâches planifiées'
.
2012-10-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-02-08 08:11]
.
2012-10-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-02-08 08:11]
.
2012-10-21 c:\windows\Tasks\ReclaimerUpdateFiles_monadier.job
- c:\users\monadier\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.20\agent\rnupgagent.exe [2012-10-08 17:42]
.
2012-10-18 c:\windows\Tasks\ReclaimerUpdateXML_monadier.job
- c:\users\monadier\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.20\agent\rnupgagent.exe [2012-10-08 17:42]
.
2012-10-22 c:\windows\Tasks\RNUpgradeHelperLogonPrompt_monadier.job
- c:\users\monadier\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.20\agent\rnupgagent.exe [2012-10-08 17:42]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" [2008-11-06 492600]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 237056]
"TPwrMain"="c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE" [BU]
"HSON"="c:\program files (x86)\TOSHIBA\TBS\HSON.exe" [BU]
"SmoothView"="c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe" [BU]
"00TCrdMain"="c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe" [BU]
"HDMICtrlMan"="c:\program files (x86)\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [BU]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2009-03-04 96144]
"XtrCtrlExEmotion"="c:\program files (x86)\Hercules\Dualpix Emotion\XtrCtrlEx.exe" [2009-10-19 3407656]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\monadier\AppData\Roaming\Mozilla\Firefox\Profiles\znrnswbb.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: !HIDDEN! 2010-02-04 20:15; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{977AE9CC-AF83-45E8-9E03-E2798216E2D5} - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\sched.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Microsoft\BingBar\7.1.391.0\BBSvc.exe
c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
c:\program files (x86)\TOSHIBA\ConfigFree\CFProcSRVC.exe
c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files (x86)\O2Micro Flash Memory Card Driver\o2flash.exe
c:\program files (x86)\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
c:\program files (x86)\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files (x86)\Toshiba\ConfigFree\NDSTray.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.bin
c:\program files (x86)\Toshiba\ConfigFree\CFSwMgr.exe
c:\program files (x86)\Microsoft\BingBar\7.1.391.0\SeaPort.exe
.
**************************************************************************
.
Heure de fin: 2012-10-22 09:19:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-10-22 07:19
ComboFix2.txt 2012-10-21 20:28
.
Avant-CF: 71 374 700 544 octets libres
Après-CF: 70 915 276 800 octets libres
.
- - End Of File - - 6EEB313C35DCA627A65A8637A37C6142

benwah16
 Posté le 22/10/2012 à 09:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

rapport roguekiller :

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur : monadier [Droits d'admin]
Mode : Recherche -- Date : 22/10/2012 09:24:11

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++
--- User ---
[MBR] 92f165a81564c33686198553cd73fa2f
[BSP] 0afeb09b0ca29fc140ba5f109a525136 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 241478 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 497620992 | Size: 233961 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 0c4228ddd8bb5cd48f8232dead2b20b6
[BSP] be7807f2870c3b5f649c250a4588b44c : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 8064 | Size: 3816 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Publicité
benwah16
 Posté le 22/10/2012 à 09:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

rapport malwarebytes avec aucune menace détectée !

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.10.21.08

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
monadier
PORTABLE [administrateur]

Protection: Activé

22/10/2012 09:28:27
mbam-log-2012-10-22 (09-28-27).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 207482
Temps écoulé: 2 minute(s), 17 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

benwah16
 Posté le 22/10/2012 à 10:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

le scan d'ESET est en cours !

Je dois aller bosser... un peu quand même !

Je poste le rapport ce midi... dèjà un trojan trouvé apparemment !

A + tard ! Merci

Benwah16

benwah16
 Posté le 22/10/2012 à 12:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

et le scan d'ESET pour terminer ! J'ai un truc pas bien apparemment !

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=403418c727d3834fbfc662b100293ac7
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-22 09:46:01
# local_time=2012-10-22 11:46:01 )
# country="France"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 20879330 20879330 0 0
# compatibility_mode=5892 16776574 100 56 0 188415406 0 0
# compatibility_mode=8192 67108863 100 0 190 190 0 0
# scanned=196718
# found=1
# cleaned=0
# scan_time=7661
C:\Qoobox\Quarantine\C\ProgramData\681D43494D556F1E0000681CDB337622\681D43494D556F1E0000681CDB337622.exe.vir a variant of Win32/Kryptik.ANLB trojan (unable to clean) 00000000000000000000000000000000 I

Fill
 Posté le 22/10/2012 à 15:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

C'est dans la quarantaine Combofix.

1/ Renomme Combofix en Uninstall et double-clique dessus.

2/ Comment se comporte le pc ? Si c'est OK, on passe aux dernières mesures.

Fill

benwah16
 Posté le 22/10/2012 à 18:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

combofix est bien désinstallé !

Le pc semble bien fonctionner. Prêt pour les dernières mesures !

Merci

Fill
 Posté le 22/10/2012 à 18:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

J'ai oublié une étape de contrôle importante.

Télécharger ZHPDiag de Nicolas Coolman


Double-cliquer sur le fichier ZHPDiag2.exe pour installer l'outil.

Sous Windows Vista et Windows 7, accepter l'exécution du fichier et ne pas modifier les options par défaut.

(Il n'est pas nécessaire de redémarrer.) Sur le bureau seront créées trois icônes

Sous XP, double clic sur celle de droite sur l'image

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tounevis (1) et choisissez Tous (2)
En cas de blocage, sur O80 par exemple ou 043,045, cliquez sur le tournevis pour les décocher

Cliquer sur la loupe pour lancer un scan (3)

Affichage du rapport à enregistrer

Le rapport sera enregistré sur le bureau

Vu la taille assez importante de ce dernier et pour éviter de le saucissonner et de gêner la lisibilité sur le forum, il sera hébergé comme indiqué ci-dessous. Au bas de la page de création du sujet ou d'une réponse cliquer sur "Insérer un rapport"

Dans la page suivante, cliquer sur "Parcourir" pour pointer vers le rapport ZHPDiag.txt qui devrait être sur votre bureau ou en C:

Cliquer maintenant sur "Envoyer"

Les explications en détails

Remarque : Si le rapport est trop volumineux pour l'héberger de cette façon, passer par un hébergeur comme Cjoint par exemple en cochant 4 jours pour la durée d'hébergement. Communiquer le lien obtenu.

Fill

benwah16
 Posté le 22/10/2012 à 19:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Fill
 Posté le 22/10/2012 à 20:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/

Image IPB ZHPFix (de Nicolas Coolman)

  • A l'aide de ta souris (pointeur souris et clic gauche) parcours et mets tout le script suivant en surbrillance et copie (clic droit ou Ctrl+C) la totalité des lignes du cadre ci dessous.


EmptyTemp
EmptyFlash
EmptyCLSID
M2 - MFEP: prefs.js [monadier - znrnswbb.default\{C9B68337-E93A-44EA-94DC-CB300EC06444}] [] IMinent Toolbar v4.51.0 (.IMinent.)
O2 - BHO: (no name) [64Bits] - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} Clé orpheline
O2 - BHO: (no name) [64Bits] - {DBC80044-A445-435b-BC74-9C25C1C588A9} Clé orpheline
[HKLM\Software\Wow6432Node\Iminent]
[HKLM\Software\Wow6432Node\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}] =>Adware.Agent
[HKLM\Software\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}] =>Adware.IMBooster
[HKLM\Software\Wow6432Node\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}] =>Adware.IMBooster
[HKLM\Software\Wow6432Node\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}] =>Adware.IMBooster
[HKLM\Software\Wow6432Node\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}] =>Adware.IMBooster
[HKLM\Software\Wow6432Node\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}] =>PUP.RewardsArcade
[HKLM\Software\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}] =>Adware.SocialSkinz
[HKLM\Software\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}] =>PUP.RewardsArcade
[HKLM\Software\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}] =>PUP.RewardsArcade
[HKLM\Software\Wow6432Node\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}] =>PUP.RewardsArcade
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Iminent] =>Adware.IMBooster
[HKLM\Software\Wow6432Node\Iminent] =>Adware.IMBooster
[HKCU\Software\Softonic] =>Toolbar.Conduit
C:\Users\monadier\AppData\Roaming\pdfforge =>PUP.Dealio
C:\Users\monadier\AppData\LocalLow\Toolbar4 =>Toolbar.Conduit
C:\Users\monadier\AppData\Roaming\pdfforge => Infection BT (PUP.Dealio)
C:\Users\monadier\AppData\LocalLow\Toolbar4 => Infection BT (Adware.SocialSkinz)
O43 - CFD: 02/05/2012 - 11:59:09 - [0,002] ----D C:\Users\monadier\AppData\Roaming\pdfforge => Infection BT (PUP.Dealio)
[HKCU\Software\Softonic] => Softonic
[HKLM\Software\Wow6432Node\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}] => Toolbar.Agent
[HKCU\Software\Softonic] => Softonic



  • Double-clique sur l'icone bureau représentant une seringue "ZHPFix".
  • Note : Sous Vista/Seven, fais un clic droit et choisissez Exécuter en tant qu'administrateur.
  • Dans l'interface du programme, en haut à gauche...Clique sur le 2eme bouton représentant une Malette pour coller les lignes de script dans la fenêtre de ZHPFix.
  • Vérifie bien que le script correspond aux lignes que tu voies dans ZHPFix.
  • La fenêtre doit contenir uniquement les lignes que tu as sélectionnées/copiées au-dessus.(Si ça ne correspond pas, interrompts la procédure et préviens-moi.)
  • Quand ceci est fait, ferme ton navigateur internet et tes programmes ouverts y compris ton antivirus
  • Clique sur le nouveau bouton « GO » qui est apparu pour lancer le nettoyage et confirme ton action dans le pop-up suivant.(Note : le bureau va peut-être disparaitre une fraction de secondes ; c'est normal)




Image IPB

  • Ne touche à rien pendant cette étape. Si le programme demande un redémarrage du pc > faits-le !
  • A l'issue un rapport ZHPFix.txt est créé sur votre bureau. Tu peux fermer ZHPFix.
  • Réactive ton antivirus et poste ce rapport par copier/coller.
  • Note :Si le Bureau ne réapparait pas. Presse Ctrl+Alt+Suppr afin d'accéder au gestionnaire des tâches. Dans ce dernier sélectionne l'onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide.

2/

  • Télécharge Adwcleaner de Xplode sur ton Bureau (Pour Vista ou windows 7, il faut faire un clic droit et exécuter en tant qu'administrateur),
  • Clique sur Recherche,
  • Edite le rapport généré qui se trouve là : C:\AdwCleaner[R1].txt

Fill

benwah16
 Posté le 22/10/2012 à 20:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bon je viens d'éxecuter zhpfix en copiant/collant le script

il m'a demandé de confirmer le nettoyage de données et ça duré 1/4 de secondes et c'était fini mais pas de redémarrage ni de rapport ZHPfix édité sur mon bureau !!

ZHPfix est ouvert avec le script collé !

Normal ?

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
System Progressive Protection
VIRUS SYSTEM PROGRESSIVE PROTECTION
Rogue system progressive Protection
Infection par System Progressive Protection
System Progressive Protection
system progressive protection
System Progressive Protection : comment supprimer?
Supprimer System Progressive Protection
Infection par system progressive Protection
mon systeme se bloque en navigant sur internet
Plus de sujets relatifs à Systeme progressive protection
 > Tous les forums > Forum Sécurité