Aide, VIRUS Win7 écran bleu + redémarrageFermé

Question

Bonjour, 

depuis quelques temps, j'aperçois cet écran bleu quelques secondes que j'ai pu prendre en photo :

https://www.casimages.com/i/120607043503748673.jpg.html

puis mon ordinateur se redémarre instantanément.
S'il vous plait, aidez moi à enlever ce virus, ça me fait vraiment ralentir mon pc...
Merci d'avance,
Thomas.



Configuration: Windows 7 / Safari 536.5

g3n-h@ckm@n · Answer

salut tu as installé un gros programme dernierement ?

Tms933 · Answer

Non pas spécialement enfin j'ai installé Adobe CS4 puis Photoshop CS5 tu crois que ça peut venir de là ?

nosmarties · Answer

A présent il faut exploiter le crash dump file que windows a généré : fichier de vidage mémoire relatant les matériels à suspecter fautifs. 

Pour ce faire , utilisez : 

Microsoft Debugging Tools téléchargeable avec le SDK : 
http://www.microsoft.com/en-us/download/details.aspx?id=8442 

Je vois que tu as windows 7 mais 32 ou 64 ??? 
32 --> GRMSDK_EN_DVD.iso  
64 --> GRMSDKX_EN_DVD.iso

Sinon utilise le websetup 

http://www.microsoft.com/en-us/download/details.aspx?id=8279

lilidurhone · Answer

Bienvenue sur CCM

Un écran bleu n'est toujours pas synonyme de virus

Ce que tu peux essayer 
Si tu as accès au mode sans échec touche F8 au démarrage tenter une restauration à partir d'un point de restauration d'avant ton problème

Sinon à titre d'information il existe un logiciel permettant de décrypter les bsod(écran bleu)

Disponible ici même
https://www.commentcamarche.net/telecharger/utilitaires/23795-whocrashed-free-home-edition/

Lire ceci aussi https://www.commentcamarche.net/informatique/windows/25143-ecran-bleu-windows-bsod-explications-solutions/

Bonne journée

Tms933 · Answer

Win7 64 bits

g3n-h@ckm@n · Answer

600 Mo pour lire un crashdump c'est quoi ce delire ? 

Télécharge ici : Blue screen View
Décompresse l'archive sur ton Bureau.
Double clique sur le fichier BlueScreenView.exe pour le lancer. (Clic droit Executer en tant qu'administrateur sous Vista/Seven)

A la fin du scan, , clique sur Edit puis Select All.
Puis Go File et Save Selected Items.
Sauve le rapport sous BSOD.txt.
Ouvre BSOD.txt dans le Bloc-notes, copie son contenu et poste le dans ta réponse. 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Tms933 · Answer

@ g3n-h@ckm@n une fois que j'ai téléchargé Blue Screen View, je fais comment pour lancer le scan ?

nosmarties · Answer

Dézippe et exécute BlueScreenView.exe

Dis nous koya à la première ligne , le premier .dmp sous la colonne Caused By Driver ???

g3n-h@ckm@n · Answer

as-tu blue screen view qui s'est ouvert ?

g3n-h@ckm@n · Answer

le tableau est vierge ?

g3n-h@ckm@n · Answer

le service de rapport d'evenements ou d'erreurs doit etre desactivé...

=======

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Tms933 · Answer

Voilà ce que j'ai obtenu, désolé pour l'attente.

https://pjjoint.malekal.com/files.php?id=20120607_n6z5i5h9j7

g3n-h@ckm@n · Answer

et ouais il etait en manuel au lieu de Auto :

[WerSvc] | Start : 3 -> 2 : Inactif

==================

desinstalle VShareToolbar
desinstalle Smartbar 
desinstalle agence exlusive/PCTuto/MajTuto
desinstalle Java

====================

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"QuickTime Task"=-
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 
"autoupdater"=\Agence-Exclusive\autoupdater.exe -runonce     
[HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\Microsoft\Windows\CurrentVersion\Run] 
""=-
"AdobeBridge"=- 
[HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
"Application Restart #2"=-
[HKLM\Software\Microsoft\Internet Explorer\Toolbar] 
"{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=VShareTB     
"{ae07101b-46d4-4a98-af68-0333ea26e113}"=Smartbar 
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]  
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[-HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\Agence-Exclusive]     
[-HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\Smartbar] 
[-HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\SmartbarBackup] 
[-HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\SmartbarLog] 
[-HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\StartSearch]     
[-HKU\S-1-5-21-3193363883-290224360-1833230757-1000\Software\vShare.tv]     
[-HKLM\Software\Agence-Exclusive]     
[-HKLM\Software\Babylon]     

File::
C:\Users\THOMAS-PC\Downloads\C639.tmp 
C:\Users\THOMAS-PC\Downloads\D65F.tmp 
C:\Users\THOMAS-PC\Downloads\E989.tmp 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Player tuto.com.lnk 
C:\Users\THOMAS-PC\AppData\Roaming\pkyup.txt 
C:\Users\THOMAS-PC\AppData\Roaming\QFFfG.txt 
C:\Users\THOMAS-PC\AppData\Roaming	scFZ.txt 
C:\Users\THOMAS-PC\AppData\Roaming\ulOtx.txt 

Folder::
C:\Program Files (x86)\Agence-Exclusive
C:\049c4afe7c9f9f042855f67a76 
C:\04d6685ef49e7c643af4da5579 
C:\07fe73b939cac5134217d0a15b40c988
C:\088fa9287b93825559 
C:\0ad4296218310da4314d2d 
C:\10db076fee881ca980 
C:\16b0c6b6e5834b941f5fdad3d1c6c8
C:\1e5d87da55c4808c6374dba39c1945
C:\2556ed09afe6e3bcbd899b957e48 
C:\2bbf306770c59316e3169b22 
C:\4394e75f7aa6221195ef56ee 
C:\4adb1b6423ef48cc69bb98 
C:\4ca68263f50ac6787fd74bfa4a 
C:\4d119ce6ccdb7e932ce9f39eb050 
C:\4d26b990585a29fd12196b1115d6 
C:\516d014b02b68fa41344 
C:\577ac1d99e65571b5de9d6ad94319389
C:\594ca2f3d0117d569158 
C:\5acc73d6e6f69f68b99647 
C:\5c65a37caaa94d7d9accb25d14 
C:\5ec9cf4b5ae3884f405e05851e93d8
C:\66a2d680df19ebaa9db9c468300abe 
C:\6cf6340bb84884c0288a321834 
C:\74b4204eb500c2cb9b8a47fd19 
C:\7a11898c60fb2d9e92598c 
C:\80221167221a070daa 
C:\809b8bb31ea78a6354 
C:\8495074f1dd8f862d18f20d211 
C:\88a6dfe320fa2159ec 
C:\8af298f37892274050fddf 
C:\8ec207cba43227cd34647aa26a7d93
C:\9a564d596a09c73737cb71 
C:\9b3145366e8af168d333dae3 
C:\9c392157b9f7c3745da60b3242 
C:\b822b2a710654c46bf 
C:\c623137818b6df4ec3c412f15e6ed9
C:\ca3d834d5d6e7d94f85120 
C:\cd5ba00e1d6edd1a91c44eadde76 
C:\cf6bbcab94837680fd26e853182c849b 
C:\df16fe29777bb704b1f8321dfdebbeee
C:\e3c0e4f0b6897d2eb7b9e856 
C:\e841f5f48ab5b7fb3a 
C:\e9bde3c178df5e654b3a 
C:\ea3dd30f1108ef6e3b75a9 
C:\f00b3109829a5d88e6 
C:\f4f39be70fc92015b3185e6f34 
C:\f7242f35489aa80025fa4b2a00435664 
C:\Users\All Users\McAfee 
C:\Users\THOMAS-PC\AppData\Roaming\Babylon     
C:\ProgramData\Babylon     
C:\ProgramData\McAfee 
C:\Users\THOMAS-PC\AppData\Local\Agence-Exclusive     
C:\Users\THOMAS-PC\AppData\Local\Babylon     
C:\Users\THOMAS-PC\AppData\Local\eojet     
C:\Users\THOMAS-PC\AppData\Local\MAJTuto     
C:\Users\THOMAS-PC\AppData\Local\Smartbar 

Driver::
MAJTuto 

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

ca veut dire que ton service de repport d'evenement n'etait pas configuré pour être demarré automatiquement au lancement de windows , d'où l'impossibilité de lire quoi que ce soit avec blew screen view pour voir le composant qui avait fait crasher le pc.

====

heu ben...sans les deux traits horizontaux au dessus et au dessous du texte en gras.....

Tms933 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.607 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

THOMAS-PC : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 00:45:04

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Suppression Drivers | Services

Service : MAJTuto  non actif



¤

Modification du registre effectuée

¤

Supprimé : C:\Users\THOMAS-PC\Downloads\C639.tmp
Supprimé : C:\Users\THOMAS-PC\Downloads\D65F.tmp
Supprimé : C:\Users\THOMAS-PC\Downloads\E989.tmp
Absent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Player tuto.com.lnk 
Supprimé : C:\Users\THOMAS-PC\AppData\Roaming\pkyup.txt
Supprimé : C:\Users\THOMAS-PC\AppData\Roaming\QFFfG.txt
Supprimé : C:\Users\THOMAS-PC\AppData\Roaming	scFZ.txt
Supprimé : C:\Users\THOMAS-PC\AppData\Roaming\ulOtx.txt

¤

Absent : C:\Program Files (x86)\Agence-Exclusive 
non Supprimé : C:\049c4afe7c9f9f042855f67a76 
non Supprimé : C:\04d6685ef49e7c643af4da5579 
non Supprimé : C:\07fe73b939cac5134217d0a15b40c988 
non Supprimé : C:\088fa9287b93825559 
non Supprimé : C:\0ad4296218310da4314d2d 
non Supprimé : C:\10db076fee881ca980 
non Supprimé : C:\16b0c6b6e5834b941f5fdad3d1c6c8 
non Supprimé : C:\1e5d87da55c4808c6374dba39c1945 
non Supprimé : C:\2556ed09afe6e3bcbd899b957e48 
non Supprimé : C:\2bbf306770c59316e3169b22 
non Supprimé : C:\4394e75f7aa6221195ef56ee 
non Supprimé : C:\4adb1b6423ef48cc69bb98 
non Supprimé : C:\4ca68263f50ac6787fd74bfa4a 
non Supprimé : C:\4d119ce6ccdb7e932ce9f39eb050 
non Supprimé : C:\4d26b990585a29fd12196b1115d6 
non Supprimé : C:\516d014b02b68fa41344 
non Supprimé : C:\577ac1d99e65571b5de9d6ad94319389 
non Supprimé : C:\594ca2f3d0117d569158 
non Supprimé : C:\5acc73d6e6f69f68b99647 
non Supprimé : C:\5c65a37caaa94d7d9accb25d14 
non Supprimé : C:\5ec9cf4b5ae3884f405e05851e93d8 
non Supprimé : C:\66a2d680df19ebaa9db9c468300abe 
non Supprimé : C:\6cf6340bb84884c0288a321834 
non Supprimé : C:\74b4204eb500c2cb9b8a47fd19 
non Supprimé : C:\7a11898c60fb2d9e92598c 
non Supprimé : C:\80221167221a070daa 
non Supprimé : C:\809b8bb31ea78a6354 
non Supprimé : C:\8495074f1dd8f862d18f20d211 
non Supprimé : C:\88a6dfe320fa2159ec 
non Supprimé : C:\8af298f37892274050fddf 
non Supprimé : C:\8ec207cba43227cd34647aa26a7d93 
non Supprimé : C:\9a564d596a09c73737cb71 
non Supprimé : C:\9b3145366e8af168d333dae3 
non Supprimé : C:\9c392157b9f7c3745da60b3242 
non Supprimé : C:\b822b2a710654c46bf 
non Supprimé : C:\c623137818b6df4ec3c412f15e6ed9 
non Supprimé : C:\ca3d834d5d6e7d94f85120 
non Supprimé : C:\cd5ba00e1d6edd1a91c44eadde76 
non Supprimé : C:\cf6bbcab94837680fd26e853182c849b 
non Supprimé : C:\df16fe29777bb704b1f8321dfdebbeee 
non Supprimé : C:\e3c0e4f0b6897d2eb7b9e856 
non Supprimé : C:\e841f5f48ab5b7fb3a 
non Supprimé : C:\e9bde3c178df5e654b3a 
non Supprimé : C:\ea3dd30f1108ef6e3b75a9 
non Supprimé : C:\f00b3109829a5d88e6 
non Supprimé : C:\f4f39be70fc92015b3185e6f34 
Supprimé : C:\f7242f35489aa80025fa4b2a00435664 
Supprimé : C:\Users\All Users\McAfee 
Supprimé : C:\Users\THOMAS-PC\AppData\Roaming\Babylon 
Supprimé : C:\ProgramData\Babylon 
Absent : C:\ProgramData\McAfee 
Supprimé : C:\Users\THOMAS-PC\AppData\Local\Agence-Exclusive 
Supprimé : C:\Users\THOMAS-PC\AppData\Local\Babylon 
Absent : C:\Users\THOMAS-PC\AppData\Local\eojet 
Absent : C:\Users\THOMAS-PC\AppData\Local\MAJTuto 
Absent : C:\Users\THOMAS-PC\AppData\Local\Smartbar 

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	TOSHIBA
BIOS Manufacturer:		TOSHIBA
System Manufacturer:		TOSHIBA
System Product Name:		Satellite L550
Logical Drives Mask:		0x0000001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 00:45:33

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ton pc etait en train de faire des mises à jour ?

g3n-h@ckm@n · Answer

re

ok ;)

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

Tms933 · Answer

# AdwCleaner v1.608 - Rapport créé le 08/06/2012 à 12:00:54
# Mis à jour le 27/05/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : THOMAS-PC - NETWORK-24
# Exécuté depuis : C:\Users\THOMAS-PC\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\THOMAS-PC\AppData\Roaming\Mozilla\Firefox\Profiles\0pnzsm0q.default\extensions\ffxtlbr@babylon.com
Fichier Supprimé : C:\Users\THOMAS-PC\errorlog.tmp
Fichier Supprimé : C:\Users\THOMAS-PC\AppData\Roaming\Mozilla\Firefox\Profiles\0pnzsm0q.default\searchplugins\Startsear.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\Agence-Exclusive
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKLM\SOFTWARE\Agence-Exclusive
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\Messenger Plus!\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Classes\PCTutoBHO.PCTBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\PCTutoBHO.PCTBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PCTutoBHO.DLL
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [comnetwork]
[x64] Clé Supprimée : HKLM\SOFTWARE\Software
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PCTuto

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{759F1421-4D31-4C1F-8C51-E4956A037676}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
[x64] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v [Impossible d'obtenir la version]

Nom du profil : default 
Fichier : C:\Users\THOMAS-PC\AppData\Roaming\Mozilla\Firefox\Profiles\0pnzsm0q.default\prefs.js

C:\Users\THOMAS-PC\AppData\Roaming\Mozilla\Firefox\Profiles\0pnzsm0q.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.defaultengine", "Web Search");
Supprimée : user_pref("browser.search.defaultenginename", "Web Search");
Supprimée : user_pref("browser.search.order.1", "Web Search");
Supprimée : user_pref("extensions.vshare@toolbar.update.enabled", false);
Supprimée : user_pref("keyword.URL", "hxxp://startsear.ch/?aff=1&q=");
Supprimée : user_pref("vshare.install.date", "1295136000000");
Supprimée : user_pref("vshare.install.dumpFileCount", 0);
Supprimée : user_pref("vshare.install.dumpFileDisabled", false);
Supprimée : user_pref("vshare.install.finished", "1.0.2");
Supprimée : user_pref("vshare.install.guid", "{da043175-0e68-4b52-9f78-b716dee0f6fb}");
Supprimée : user_pref("vshare.install.isHidden", true);
Supprimée : user_pref("vshare.install.laststatreq", "1309219200000");
Supprimée : user_pref("vshare.install.newtab", true);
Supprimée : user_pref("vshare.install.newtabDisabledByUser", true);
Supprimée : user_pref("vshare.install.overlayVersion", 1);
Supprimée : user_pref("vshare.install.userHPSettings", "hxxp://www.google.fr/ig?hl=fr&source=iglk");
Supprimée : user_pref("vshare.install.userSPSettings", "Google");

-\ Google Chrome v19.0.1084.52

Fichier : C:\Users\THOMAS-PC\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :          "name": "vShare.tv plug-in",
Supprimée :          "path": "C:\Users\THOMAS-PC\AppData\Local\Google\Chrome\User Data\Default\Extensio[...]
Supprimée :          "name": "vShare.tv plug-in"

*************************

AdwCleaner[S1].txt - [7373 octets] - [08/06/2012 12:00:54]

########## EOF - C:\AdwCleaner[S1].txt - [7501 octets] ##########

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Tms933 · Answer

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.08.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
THOMAS-PC :: NETWORK-24 [administrateur]

Protection: Activé

08/06/2012 13:45:46
mbam-log-2012-06-08 (13-45-46).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 568608
Temps écoulé: 1 heure(s), 55 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Pre_Scan\Quarantine\Agence-Exclusive.P_S\Agence-Exclusive\autoupdater.exe (PUP.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\Agence-Exclusive.P_S\Agence-Exclusive\UpdatePCTuto.exe (PUP.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.
C:\Users\THOMAS-PC\Downloads\FLVBlaster.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\Users\THOMAS-PC\Downloads\SOFTWARE\Adobe Photoshop CS5\Keygen\Adobe Photoshop CS5 Extended v12.0 Keymaker.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\THOMAS-PC\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

quels soucis persistent ?

Tms933 · Answer

Voilà ce qui apparaît encore :

https://www.casimages.com/i/120609125308359450.jpg.html

mon pc se redémarre comme avant, et je ne vois pas ce qui a changé véritablement parce qu'il est très lent au début, puis l'écran bleu apparaît et il se redémarre.

g3n-h@ckm@n · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Tms933 · Answer

Voilà le rapport... Désolé pour l'attente


GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-08-13 17:11:34
Windows 6.1.7601 Service Pack 1 
Running: 08hbf6cf.exe


---- Registry - GMER 1.0.15 ----

Reg   HKCU\Software\Microsoft\Windows Live\Companion\mvpbasket@hotmail.fr@6add3ed2d4a74c422c918c219fcff041
  0xC7 0x71 0x1C 0x07 ...
Reg   HKCU\Software\Microsoft\Windows Live\Companion\mvpbasket@hotmail.fr@972d665a18202ef40708349762c6dca6
  0x7C 0xFE 0x2B 0x04 ...

---- Files - GMER 1.0.15 ----

File  C:\Users\THOMAS-PC\AppData\Local\Temp\etilqs_blUgJzhqptXDqTU                                              0 bytes

---- EOF - GMER 1.0.15 ----

g3n-h@ckm@n · Answer

relance-le ,verifie que toutes les cases de droites soient cochées, clique sur scan ensuite et fournis le rapport 

(si il est identique , signale-le juste inutile de le poster )

Tms933 · Answer

Je l'ai relancé et c'est identique au 1er scan !

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Tms933 · Answer

Désolé mais c'est quoi AVG ? --'

g3n-h@ckm@n · Answer

laisse tomber ce passage

Tms933 · Answer

ComboFix 12-09-12.02 - THOMAS-PC 12/09/2012  15:37:27.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.3958.2296 [GMT 2:00]
Lancé depuis: c:\users\THOMAS-PC\Desktop\Nouveau dossier\cequetuveux.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-08-12 au 2012-09-12  ))))))))))))))))))))))))))))))))))))
.
.
2012-09-12 14:06 . 2012-09-12 14:06	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2012-09-12 14:06 . 2012-09-12 14:06	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-09-12 02:44 . 2012-09-12 02:58	--------	d-----w-	C:\37c14a53861b8da9073a765fd333558f
2012-09-11 20:59 . 2012-08-22 18:12	950128	----a-w-	c:\windows\system32\drivers
dis.sys
2012-09-11 20:59 . 2012-07-04 20:26	41472	----a-w-	c:\windows\system32\drivers\RNDISMP.sys
2012-09-11 20:59 . 2012-08-02 17:58	574464	----a-w-	c:\windows\system32\d3d10level9.dll
2012-09-11 20:59 . 2012-08-22 18:12	1913200	----a-w-	c:\windows\system32\drivers	cpip.sys
2012-09-11 20:59 . 2012-08-22 18:12	376688	----a-w-	c:\windows\system32\drivers
etio.sys
2012-09-11 20:59 . 2012-08-22 18:12	288624	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
2012-09-10 04:54 . 2012-09-10 05:21	--------	d-----w-	C:\11e6ccbc47f220a2022c
2012-09-09 15:29 . 2012-09-09 15:58	--------	d-----w-	C:\6ea9cd5c3675f6e2905614f5a382ff
2012-09-08 04:59 . 2012-09-08 05:29	--------	d-----w-	C:\5156dee84cff2df322ee
2012-09-07 04:53 . 2012-09-07 05:18	--------	d-----w-	C:\62c04b516e17f48a1d1e2a
2012-09-06 02:17 . 2012-09-06 02:17	--------	d-----w-	c:\program files (x86)\Common Files\Skype
2012-09-05 11:04 . 2012-09-05 11:04	--------	d-----w-	c:\program files (x86)\PC Connectivity Solution
2012-09-05 02:47 . 2012-09-05 03:00	--------	d-----w-	C:\17f68df3e9f8dc9d849ecd4b02a8f5c9
2012-09-01 03:47 . 2012-09-01 04:07	--------	d-----w-	C:\6d1300c357141457c9810b2dcb10
2012-08-25 21:31 . 2012-08-25 21:45	--------	d-----w-	C:\5a1fad0b760ece1cf8b941
2012-08-25 03:02 . 2012-08-25 03:17	--------	d-----w-	C:\978a9950f3ee890bb29a4cb9d6c50bb6
2012-08-24 20:26 . 2012-05-05 08:36	503808	----a-w-	c:\windows\system32\srcore.dll
2012-08-24 20:26 . 2012-02-11 06:43	751104	----a-w-	c:\windows\system32\win32spl.dll
2012-08-24 20:26 . 2012-02-11 06:36	559104	----a-w-	c:\windows\system32\spoolsv.exe
2012-08-24 20:26 . 2012-02-11 06:36	67072	----a-w-	c:\windows\splwow64.exe
2012-08-24 20:22 . 2012-07-04 22:16	73216	----a-w-	c:\windows\system32
etapi32.dll
2012-08-24 20:22 . 2012-07-04 22:13	59392	----a-w-	c:\windows\system32\browcli.dll
2012-08-24 20:22 . 2012-07-04 22:13	136704	----a-w-	c:\windows\system32\browser.dll
2012-08-24 20:22 . 2012-07-18 18:15	3148800	----a-w-	c:\windows\system32\win32k.sys
2012-08-24 20:22 . 2012-05-14 05:26	956928	----a-w-	c:\windows\system32\localspl.dll
2012-08-23 21:35 . 2012-08-23 21:35	--------	d-----w-	C:\be0449cbc0977c6d8ab1f7bec4b2fb
2012-08-14 20:49 . 2012-08-14 20:49	--------	d-----w-	C:\1728f3d5435fca8735e37aba3aa6efc3
2012-08-13 15:32 . 2012-06-09 05:43	14172672	----a-w-	c:\windows\system32\shell32.dll
2012-08-13 15:30 . 2012-06-06 06:06	2004480	----a-w-	c:\windows\system32\msxml6.dll
2012-08-13 15:30 . 2012-06-06 06:06	1881600	----a-w-	c:\windows\system32\msxml3.dll
2012-08-13 15:30 . 2010-06-26 03:55	2048	----a-w-	c:\windows\system32\msxml3r.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-23 08:26 . 2012-09-07 15:12	9310152	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{FF232886-ACC9-4BBB-9042-23D5BDB79779}\mpengine.dll
2012-08-03 02:27 . 2010-10-16 00:43	62134624	----a-w-	c:\windows\system32\MRT.exe
2012-08-02 16:57 . 2012-09-11 20:59	490496	----a-w-	c:\windows\SysWow64\d3d10level9.dll
2012-07-04 21:14 . 2012-08-24 20:22	41984	----a-w-	c:\windows\SysWow64\browcli.dll
2012-07-03 11:46 . 2012-06-08 11:44	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-29 00:16 . 2012-08-25 01:37	1800704	----a-w-	c:\windows\SysWow64\jscript9.dll
2012-06-29 00:09 . 2012-08-25 01:37	1129472	----a-w-	c:\windows\SysWow64\wininet.dll
2012-06-29 00:08 . 2012-08-25 01:37	1427968	----a-w-	c:\windows\SysWow64\inetcpl.cpl
2012-06-29 00:04 . 2012-08-25 01:37	142848	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2012-06-29 00:00 . 2012-08-25 01:37	2382848	----a-w-	c:\windows\SysWow64\mshtml.tlb
2012-06-27 13:18 . 2012-06-08 22:28	26112	----a-w-	c:\windows\system32\drivers\pccsmcfdx64.sys
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\Toshiba Online Product Information	opi.exe" [2009-08-12 6203296]
"ccleaner"="c:\program files\CCleaner\CCleaner64.exe" [2012-07-24 5312352]
"NokiaPCInternetAccess"="c:\program files (x86)\Nokia\PC Internet Access\NPCIA.exe" [2009-05-26 651264]
"Facebook Update"="c:\users\THOMAS-PC\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-18 138096]
"MobileDocuments"="c:\program files (x86)\Common Files\Apple\Internet Services\ubd.exe" [2012-02-23 59240]
"NokiaSuite.exe"="c:\program files (x86)\Nokia\Nokia Suite\NokiaSuite.exe" [2012-08-03 1086376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-09-08 98304]
"HWSetup"="c:\program files\TOSHIBA\Utilities\HWSetup.exe" [2009-06-02 423936]
"KeNotify"="c:\program files (x86)\TOSHIBA\Utilities\KeNotify.exe" [2009-01-13 34088]
"SVPWUTIL"="c:\program files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe" [2009-08-12 352256]
"TWebCamera"="c:\program files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2009-11-21 2454840]
"ToshibaServiceStation"="c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2011-02-11 1295736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"AdobeCS4ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2012-03-27 40376]
"Acrobat Assistant 8.0"="c:\program files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2012-03-26 640440]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-07-05 421888]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-03-07 4241512]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\Toshiba Online Product Information	opi.exe" [2009-08-12 6203296]
.
c:\users\Invité\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-04 136176]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944]
R2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe [2009-10-15 116104]
R2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2009-09-28 251760]
R3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files (x86)\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [2008-08-15 284016]
R3 FLEXnet Licensing Service 64;FLEXnet Licensing Service 64;c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe [2010-10-25 1038088]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-04 136176]
R3 nmwcdnsucx64;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsucx64.sys [2012-01-09 12800]
R3 nmwcdnsux64;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsux64.sys [2012-01-09 171008]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-09-22 225280]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [2009-06-10 292864]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [2009-06-10 1485312]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [2009-06-10 740864]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2011-02-11 54136]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-02-15 52736]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-10-11 1255736]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2010-07-12 55856]
S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS	os_sps64.sys [2009-07-24 482384]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-09-08 202752]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-03-07 69976]
S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe [2009-10-27 252784]
S2 ConfigFree Service;ConfigFree Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-07-03 655944]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [2009-06-19 14472]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-09-30 2314240]
S3 dc3d;MS Hardware Device Detection Driver (USB);c:\windows\system32\DRIVERS\dc3d.sys [2010-07-07 51600]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 151936]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-07-03 24904]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 35008]
S3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [2010-07-21 45456]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-11-05 291328]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERStl8192se.sys [2009-10-02 946688]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-11-05 137560]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-11-10 824688]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2012-09-12 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3193363883-290224360-1833230757-1000Core.job
- c:\users\THOMAS-PC\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-02-05 00:09]
.
2012-09-12 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3193363883-290224360-1833230757-1000UA.job
- c:\users\THOMAS-PC\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-02-05 00:09]
.
2012-09-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-04 22:26]
.
2012-09-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-04 22:26]
.
2012-09-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3193363883-290224360-1833230757-1000Core.job
- c:\users\THOMAS-PC\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-26 13:44]
.
2012-09-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3193363883-290224360-1833230757-1000UA.job
- c:\users\THOMAS-PC\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-26 13:44]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-03-07 00:15	135408	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2009-11-05 709976]
"Toshiba TEMPRO"="c:\program files (x86)\Toshiba TEMPRO\TemproTray.exe" [2009-10-15 1050000]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-10-21 8306208]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2010-07-21 2327952]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Wow6432Node-HKCU-Run-msnmsgm - (no file)
Wow6432Node-HKCU-Run-AdobeBridge - (no file)
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
HKLM-Run-TosNC - c:\program files (x86)\Toshiba\BulletinBoard\TosNcCore.exe
HKLM-Run-TosReelTimeMonitor - c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
HKLM-Run-HSON - c:\program files (x86)\TOSHIBA\TBS\HSON.exe
HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe
HKLM-Run-00TCrdMain - c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-SmartFaceVWatcher - c:\program files (x86)\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
HKLM-Run-Teco - c:\program files (x86)\TOSHIBA\TECO\Teco.exe
HKLM-Run-TosWaitSrv - c:\program files (x86)\TOSHIBA\TPHM\TosWaitSrv.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3193363883-290224360-1833230757-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-3193363883-290224360-1833230757-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\PC Connectivity Solution\ServiceLayer.exe
c:\program files (x86)\Common Files\Apple\Apple Application Support\distnoted.exe
.
**************************************************************************
.
Heure de fin: 2012-09-12  16:54:48 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-09-12 14:54
.
Avant-CF: 226 450 046 976 octets libres
Après-CF: 226 386 743 296 octets libres
.
- - End Of File - - FF85461F94831F4C587C5C6F6BE62B78

g3n-h@ckm@n · Answer

c'est quoi ce nouveau dossier sur ton bureau ?????????????

g3n-h@ckm@n · Answer

les outils ne sont-ils pas demandés d'etre enregistrés sur le bureau ?

g3n-h@ckm@n · Answer

oui ca change quelque chose du fait que les outils ne doivent pas etre conservés dans lepc !

g3n-h@ckm@n · Answer

supprime ton dossier nouveau dossier sur ton bureau ou du moins les outimls qui sont dedans !

g3n-h@ckm@n · Answer

quels soucis persistent ?

Tms933 · Answer

Déjà j'ai noté que l'écran bleu n'apparaissait plus mais le pc rame au démarrage...

g3n-h@ckm@n · Answer

fais ce menage on avisera aorès ^^

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

g3n-h@ckm@n · Answer

de rien ^^

Aide, VIRUS Win7 écran bleu + redémarrage

38 réponses

Discussions similaires

Newsletters