problème avec live sécurity platinumFermé

Question

Bonjour, 

voila j'ai un gros probleme je ne sais pas si je poste au bon endroit desolé ..
Ce matin je me connecte et ce logiciel s'est installé..j'ai voulu le supprimer mais impossible ...
J'ai supprimer le fichier dans le menu demarrer et redemarrer mon ordi mais maintenant c'est pire.
Mon ordi plante je ne peux plus acceder à Internet rien ...
Je vous en supplie aidez moi je suis à deux doigts de peter un cable 

Ps: je suis débutante niveau informatique ...

J'attend votre aide car la je desepere

superbarnis · Answer

telecharge drweb installe sur un cle usb 
ouvre l'ordi incrimine  et clic sur la cle et laisse faire

Utilisateur anonyme · Answer

Bonjour mathy-03  


En mode sans echec avec prise en charge réseau

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)  
[*] Quitter tous les programmes  
[*] Lancer RogueKiller.exe.  
[*] Attendre que le Prescan ait fini ...  
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport 

@+ 

---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

mathy-03 · Answer

voila le rapport (et merci de m'aider au fait =) )

RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: mathy [Droits d'admin]
Mode: Recherche -- Date: 16/08/2012 15:43:07

¤¤¤ Processus malicieux: 1 ¤¤¤
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED

¤¤¤ Entrees de registre: 9 ¤¤¤
[SUSP PATH] HKCU\[...]\RunOnce : 036DFF98006D5B7386ACE5A12F3B707C (C:\ProgramData\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3139586007-1081452640-4032422523-1000[...]\RunOnce : 036DFF98006D5B7386ACE5A12F3B707C (C:\ProgramData\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\mathy\AppData\Local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n.) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n --> FOUND
[ZeroAccess][FILE] @ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\L --> FOUND
[ZeroAccess][FILE] n : c:\users\mathy\appdata\local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n --> FOUND
[ZeroAccess][FILE] @ : c:\users\mathy\appdata\local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\mathy\appdata\local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\mathy\appdata\local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\L --> FOUND
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> FOUND
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> FOUND

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250827AS +++++
--- User ---
[MBR] 52493e11aaed1e0692949cbafb56e65d
[BSP] 0a0130fc1e7566745e78d6ab7b9944e9 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 226182 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Kingston DataTraveler 2.0 USB Device +++++
--- User ---
[MBR] 379dc06f33a6de084c780f0932a18fda
[BSP] ef3177ea6997481f5647d45aa222b26f : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 3871 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Verdict?

Utilisateur anonyme · Answer

Re

Relance Roguekiller option suppression et poste moi son rapport

Merci

@+

mathy-03 · Answer

voila le deuxieme rapport

gueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: mathy [Droits d'admin]
Mode: Suppression -- Date: 16/08/2012 15:58:01

¤¤¤ Processus malicieux: 2 ¤¤¤
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED

¤¤¤ Entrees de registre: 8 ¤¤¤
[SUSP PATH] HKCU\[...]\RunOnce : 036DFF98006D5B7386ACE5A12F3B707C (C:\ProgramData\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\mathy\AppData\Local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\L --> REMOVED
[ZeroAccess][FILE] n : c:\users\mathy\appdata\local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\users\mathy\appdata\local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\mathy\appdata\local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\mathy\appdata\local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\L --> REMOVED
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe)
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

Utilisateur anonyme · Answer

Re

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

Utilisateur anonyme · Answer

Re

Passons à autre chose.

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

 Clique sur " choose File", cherche un fichier à la fois :

 c:\windows\system32\services.exe

Clique sur Scan It! 

Un rapport va s'élaborer ligne à ligne. 

 Attends la fin. Il doit comprendre la taille du fichier envoyé. 

 Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

 Copie le lien du rapport dans ta réponse et fait le pour chaque fichier ; merci 

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant
 


@+

Utilisateur anonyme · Answer

Re

Il faut arrêter l'informatique ;-(
On renomme un fichier et non une extension de fichier dans ce cas présent.
Et d'ailleurs cette extension  asdehi te dis quelque chose?
On avance;merci


 @+

mathy-03 · Answer

c'est peut etre stupide mais je n'y connais rien en informatique (je maitrise quelque bases mais basta)...Il me semblait bien que c'etais stupide ce que je demandais mais je souhaite pas planter mon ordi et c'est pas facile de depatouiller quand on y connais rien 

alors sinon j'ai tester virus total j'ai quand meme une question (meme si elle est stupide ) quand tu me dis "et fait le pour chaque fichier ": quels fichiers, tous les fichiers contenus dans le dossier systems32

Utilisateur anonyme · Answer

Re

non;
je n'ai pas pris le temps de modifier mon canned ;-(

Poste moi ce rapport de Virus total
Et ensuite réessaye ComboFix renommé

Merci

@+

mathy-03 · Answer

SHA256:

d370021aecf0826cf3935467c09fbca0960ee0cd7f99fbf83d50fe204537e133



SHA1:

653e37bb2ae7df6bbe5f62aa0bd2566c684cc259



MD5:

8737764f4fd36d6808ee80578409c843



File size:

273.0 KB ( 279552 bytes ) 



File name:

services.exe



File type:

Win32 EXE



Detection ratio:

27 / 42



Analysis date:

 2012-08-16 15:12:36 UTC ( 0 minute ago ) 







0



15

 
More details





Antivirus

Result

Update




AhnLab-V3

-

20120816



AntiVir

W32/Patched.UB

20120816



Antiy-AVL

Virus/Win32.ZAccess.gen

20120816



Avast

-

20120816



AVG

Patched_c.LYT

20120815



BitDefender

Trojan.Patched.Sirefef.C

20120816



ByteHero

-

20120814



CAT-QuickHeal

-

20120814



ClamAV

Trojan.Zeroaccess-496

20120816



Commtouch

-

20120816



Comodo

-

20120816



DrWeb

BackDoor.Maxplus.5220

20120816



Emsisoft

Trojan.Win32.Sirefef!IK

20120816



eSafe

Win32.Trojan

20120816



ESET-NOD32

Win32/Sirefef.FB.Gen

20120816



F-Prot

-

20120815



F-Secure

Virus:W32/ZeroAccess.B

20120816



Fortinet

W32/ZAccInf.B!tr

20120816



GData

Trojan.Patched.Sirefef.C

20120816



Ikarus

Trojan.Win32.Sirefef

20120816



Jiangmin

-

20120816



K7AntiVirus

Trojan

20120815



Kaspersky

Virus.Win32.ZAccess.m

20120816



McAfee

ZeroAccess.ds.gen.c

20120816



McAfee-GW-Edition

ZeroAccess.ds.gen.c

20120816



Microsoft

Virus:Win32/Sirefef.R

20120816



Norman

W32/ZAccess.JPR

20120816



nProtect

-

20120816



Panda

-

20120816



PCTools

Trojan.Zeroaccess

20120813



Rising

-

20120815



Sophos

Troj/ZAccInf-B

20120816



SUPERAntiSpyware

-

20120816



Symantec

Trojan.Zeroaccess!inf

20120816



TheHacker

Trojan/Sirefef.FB.gen

20120814



TotalDefense

-

20120816



TrendMicro

PTCH_ZACCESS.SLZ

20120816



TrendMicro-HouseCall

PTCH_ZACCESS.SLZ

20120816



VBA32

-

20120814



VIPRE

Win32.Malware!Drop

20120816



ViRobot

Win32.ZeroAccess.A

20120816



VirusBuster

-

20120816


Voila le rapport si tu comprend pas un truc dis moi je suis co sur le fo avec un autre ordi

Utilisateur anonyme · Answer

Re

Procède à un nouveau essai avec ComboFix renommé correctement

Merci

@+

mathy-03 · Answer

j'ai essayer c'est toujours pas bon =s L'acces m'est refuser

mathy-03 · Answer

rectification combofix fonctionne scan en cours

mathy-03 · Answer

Voila le rapport

ComboFix 12-08-16.01 - mathy 16/08/2012  17:56:17.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2046.1629 [GMT 2:00]
Lancé depuis: c:\users\mathy\Desktop\ashedi.exe
AV: avast! antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\ClickPotatoLite
c:\program files\ClickPotatoLite\bin\10.0.542.0\firefox\extensions\install.rdf
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome.manifest
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chromeesultbar.jar
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences\prefs.js
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\install.rdf
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.ico
c:\programdata\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
c:\programdata\ClickPotatoLiteSA
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA.dat
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAAbout.mht
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAEULA.mht
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk
c:\users\mathy\AppData\Roaming\ClickPotatoLite
c:\users\mathy\AppData\Roaming\OfferBox
c:\users\mathy\AppData\Roaming\OfferBox\config.tmp
c:\users\mathy\AppData\Roaming\OfferBox\config.xml
.
Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe 
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-07-16 au 2012-08-16  ))))))))))))))))))))))))))))))))))))
.
.
2012-08-16 16:10 . 2012-08-16 16:13	--------	d-----w-	c:\users\mathy\AppData\Local	emp
2012-08-16 16:10 . 2012-08-16 16:10	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2012-08-16 16:10 . 2012-08-16 16:10	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-08-16 14:36 . 2012-08-16 15:51	--------	d-----w-	C:\ComboFix
2012-08-16 13:37 . 2012-08-16 13:37	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-08-16 09:07 . 2012-07-04 14:02	2047488	----a-w-	c:\windows\system32\win32k.sys
2012-08-15 08:38 . 2012-05-11 15:57	623616	----a-w-	c:\windows\system32\localspl.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-29 08:44 . 2012-08-14 09:41	6891424	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0AA16106-BD7D-486A-AF6F-1F3D1FD03D56}\mpengine.dll
2012-06-05 16:47 . 2012-07-12 20:23	1401856	----a-w-	c:\windows\system32\msxml6.dll
2012-06-05 16:47 . 2012-07-12 20:23	1248768	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 15:26 . 2012-07-12 20:23	440704	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-06-02 22:19 . 2012-06-19 09:06	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-19 09:06	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-19 09:05	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-19 09:05	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-19 09:06	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-19 09:06	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-19 09:05	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-19 09:05	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-19 09:05	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-02 00:04 . 2012-07-12 20:23	278528	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 00:03 . 2012-07-12 20:23	204288	----a-w-	c:\windows\system32
crypt.dll
2012-05-31 10:25 . 2009-10-02 16:47	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-07-19 08:48 . 2011-06-30 22:13	136672	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.

mathy-03 · Answer

oups desole sa s'est mal copier..

ComboFix 12-08-16.01 - mathy 16/08/2012  17:56:17.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2046.1629 [GMT 2:00]
Lancé depuis: c:\users\mathy\Desktop\ashedi.exe
AV: avast! antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\ClickPotatoLite
c:\program files\ClickPotatoLite\bin\10.0.542.0\firefox\extensions\install.rdf
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome.manifest
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chromeesultbar.jar
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences\prefs.js
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\install.rdf
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.ico
c:\programdata\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
c:\programdata\ClickPotatoLiteSA
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA.dat
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAAbout.mht
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat
c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAEULA.mht
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk
c:\users\mathy\AppData\Roaming\ClickPotatoLite
c:\users\mathy\AppData\Roaming\OfferBox
c:\users\mathy\AppData\Roaming\OfferBox\config.tmp
c:\users\mathy\AppData\Roaming\OfferBox\config.xml
.
Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe 
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-07-16 au 2012-08-16  ))))))))))))))))))))))))))))))))))))
.
.
2012-08-16 16:10 . 2012-08-16 16:13	--------	d-----w-	c:\users\mathy\AppData\Local	emp
2012-08-16 16:10 . 2012-08-16 16:10	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2012-08-16 16:10 . 2012-08-16 16:10	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-08-16 14:36 . 2012-08-16 15:51	--------	d-----w-	C:\ComboFix
2012-08-16 13:37 . 2012-08-16 13:37	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-08-16 09:07 . 2012-07-04 14:02	2047488	----a-w-	c:\windows\system32\win32k.sys
2012-08-15 08:38 . 2012-05-11 15:57	623616	----a-w-	c:\windows\system32\localspl.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-29 08:44 . 2012-08-14 09:41	6891424	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0AA16106-BD7D-486A-AF6F-1F3D1FD03D56}\mpengine.dll
2012-06-05 16:47 . 2012-07-12 20:23	1401856	----a-w-	c:\windows\system32\msxml6.dll
2012-06-05 16:47 . 2012-07-12 20:23	1248768	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 15:26 . 2012-07-12 20:23	440704	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-06-02 22:19 . 2012-06-19 09:06	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-19 09:06	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-19 09:05	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-19 09:05	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-19 09:06	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-19 09:06	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-19 09:05	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-19 09:05	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-19 09:05	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-02 00:04 . 2012-07-12 20:23	278528	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 00:03 . 2012-07-12 20:23	204288	----a-w-	c:\windows\system32
crypt.dll
2012-05-31 10:25 . 2009-10-02 16:47	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-07-19 08:48 . 2011-06-30 22:13	136672	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{59994074-c06d-4a75-9768-49e5a8c21264}"= "c:\program files\Messenger_Plus_Live_France	bMess.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59994074-c06d-4a75-9768-49e5a8c21264}]
2010-04-15 10:33	2515552	----a-w-	c:\program files\Messenger_Plus_Live_France	bMess.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{59994074-c06d-4a75-9768-49e5a8c21264}"= "c:\program files\Messenger_Plus_Live_France	bMess.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{59994074-C06D-4A75-9768-49E5A8C21264}"= "c:\program files\Messenger_Plus_Live_France	bMess.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2008-02-04 1038136]
"Facebook Update"="c:\users\mathy\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-10-08 107864]
"Driver Manager"="c:\program files\Driver Manager\Driver Manager\DriverManager.exe" [2012-05-21 3513272]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControlUser"="c:\program files\ATK Hotkey\HcontrolUser.exe" [2008-07-03 98304]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 6266880]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-10 1348904]
"CarboniteSetupLite"="c:\program files\Packard Bell\Carbonite\CarboniteSetupLitePBPreInstaller.exe" [2008-04-07 306112]
"Skytel"="Skytel.exe" [2008-06-25 1826816]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-09-13 283160]
"MRT"="c:\windows\system32\MRT.exe" [2012-08-16 59884088]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^Users^mathy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Notification de cadeaux MSN.lnk]
path=c:\users\mathy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^mathy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
path=c:\users\mathy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16	39792	----a-w-	c:\program files\Adobe\Reader 8.0\Readereader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-01-14 12:12	1688872	----a-w-	c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2010-04-16 21:12	3872080	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\System32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43	248040	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg	oolbar_eula_launcher]
2007-02-20 16:20	28672	----a-w-	c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-16 c:\windows\Tasks\Extension de garantie-mathy.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2008-10-07 10:13]
.
2012-08-15 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3139586007-1081452640-4032422523-1000Core.job
- c:\users\mathy\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-17 21:34]
.
2012-08-16 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3139586007-1081452640-4032422523-1000UA.job
- c:\users\mathy\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-17 21:34]
.
2012-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 15:42]
.
2012-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 15:42]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.babylon.com/?affID=111020&tt=060612_5_&babsrc=HP_ss&mntrId=bc66a067000000000000002243335d3b
uInternet Settings,ProxyOverride = *.local;<local>
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {83A4D5A6-E2C1-4EDD-AD48-1A1C50BD06EF} - hxxp://www.photoweb.fr/telechargement/telechargement-photoweb-6.5.6.cab
FF - ProfilePath - c:\users\mathy\AppData\Roaming\Mozilla\Firefox\Profiles\p8n96j79.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=webhp
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=111020&tt=060612_5_&babsrc=KW_ss&mntrId=bc66a067000000000000002243335d3b&q=
FF - user.js: general.useragent.extra.ludi - LUDI2
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=111020&tt=060612_5_
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - bc66a067000000000000002243335d3b
FF - user.js: extensions.BabylonToolbar_i.hardId - bc66a067000000000000002243335d3b
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15506
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1722:34
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
HKLM-Run-NPSStartup - (no file)
MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-[webwiz] - c:\progra~1\_WEBWI~1\WEBWIZ~1.EXE
.
.
.
**************************************************************************
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\ATK Hotkey\ASLDRSrv.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\FsUsbExService.Exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\ATK Hotkey\Hcontrol.exe
c:\program files\ATK Hotkey\MsgTranAgt.exe
c:\program files\Packardbell\EcoBtn\EcoBtn.exe
c:\windows\system32\conime.exe
c:\program files\ATK Hotkey\LOSD.exe
c:\program files\ATK Hotkey\ATKOSD.exe
c:\program files\ATK Hotkey\WDC.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\RtHDVCpl.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
.
**************************************************************************
.
Heure de fin: 2012-08-16  18:21:55 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-08-16 16:20
.
Avant-CF: 61 236 191 232 octets libres
Après-CF: 59 269 820 416 octets libres
.
- - End Of File - - 804AA30DBE179CDEAA570E0623F1E92E

Utilisateur anonyme · Answer

Re

1) Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
Lance le, clique sur  [Suppression] puis patiente le temps du scan. 
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start= 


2)Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+

mathy-03 · Answer

Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.16.10

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
mathy :: PC-DE-MATHY [administrateur]

Protection: Désactivé

16/08/2012 19:15:54
mbam-log-2012-08-16 (19-15-54).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 395567
Temps écoulé: 1 heure(s), 9 minute(s), 46 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\Qoobox\Quarantine\C\ProgramData\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe.vir (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\System32\Services.exe.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathy\Desktop\RK_Quarantine\036DFF98006D5B7386ACE5A12F3B707C.exe.vir (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathy\Desktop\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathy\Desktop\RK_Quarantine
.vir (RootKit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathy\Downloads\installer_reader-fr-fr.exe (PUP.SmsPay.pns) -> Mis en quarantaine et supprimé avec succès.

(fin)

Utilisateur anonyme · Answer

Re


Pour vérifications diverses , fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

mathy-03 · Answer

voila  


http://cjoint.com/?3Hqvj4IwxCI

Utilisateur anonyme · Answer

Re

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified     
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified     
[HKLM\Software\Trymedia Systems]     
O43 - CFD: 19/12/2009 - 20:10:42 - [0] ----D C:\Program Files\Circle Dvelopement     
O69 - SBI: SearchScopes [HKCU] {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - (Search the Web) - http://search.imgag.com     
[HKLM\Software\Classes\ag.mediaplayercom] 
[HKLM\Software\Classes\agihelper.agutils] 
[HKLM\Software\Classes\kiweeietoolbar.kiweetoolbar] 
[HKLM\Software\Classes\kiweeietoolbar.kiweetoolbar.1] 
[HKLM\Software\Classes\kiweeietoolbar.toolbarinfo] 
[HKLM\Software\Classes\kiweeietoolbar.toolbarinfo.1] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0bc6e3fa-78ef-4886-842c-5a1258c4455a}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0bc6e3fa-78ef-4886-842c-5a1258c4455a}]     
[HKLM\Software\Classes\CLSID\{0bc6e3fa-78ef-4886-842c-5a1258c4455a}]     
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0bc6e3fa-78ef-4886-842c-5a1258c4455a}]     
[HKLM\Software\Classes\TypeLib\{259eeb17-79aa-44df-8410-8e55f82a902a}] 
[HKLM\Software\Classes\Interface\{3e16a203-c0aa-4d44-acc5-38a70a8c76da}]     
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{87A0B80B-5BA7-4CB0-9553-105D68777D60}]     
[HKLM\Software\Classes\TypeLib\{c7403c30-3644-43d8-a82f-4bd84b9682d9}] 
[HKLM\Software\Classes\AppID\{CC50232E-FDB1-436F-B658-452F88E81736}]     
[HKLM\Software\Mozilla\Firefox\Extensions]:toolbar@kiwee.com 
C:\Users\mathy\AppData\LocalLow\AGI     
C:\Users\mathy\AppData\LocalLow\Kiwee Toolbar     
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com 
R3 - URLSearchHook: WiseConvert 1.5 Toolbar - {19803860-b306-423c-bbb5-f60a7d82cde5} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\WiseConvert_1.5\prxtbWis0.dll 
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Conduit Ltd. - Conduit Toolbar.) (No version) -- (.not file.)     
R3 - URLSearchHook: WiseConvert 1.5 Toolbar - {19803860-b306-423c-bbb5-f60a7d82cde5} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\WiseConvert_1.5\prxtbWis0.dll 
O2 - BHO: WiseConvert 1.5 - {19803860-b306-423c-bbb5-f60a7d82cde5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\WiseConvert_1.5\prxtbWis0.dll 
O3 - Toolbar: WiseConvert 1.5 Toolbar - [HKLM]{19803860-b306-423c-bbb5-f60a7d82cde5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\WiseConvert_1.5\prxtbWis0.dll 
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\AppDataLow\Software\Messenger_Plus_Live_France]     
[HKCU\Software\AppDataLow\Software\Smartbar]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKLM\Software\Conduit]     
O43 - CFD: 16/08/2012 - 20:56:17 - [0,609] ----D C:\Program Files\Conduit     
O43 - CFD: 16/08/2012 - 20:55:54 - [0,063] ----D C:\Users\mathy\AppData\Local\Conduit     
[MD5.73406FA9287B36CA4163797C73A2CD04] [SPRF][16/07/2012] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\mathy\AppData\Local\Temp
sm2B08.tmp.tbWise.dll   [4451144] 
[MD5.73406FA9287B36CA4163797C73A2CD04] [SPRF][16/07/2012] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\mathy\AppData\Local\Temp	bedrs.dll   [4451144] 
[HKCU\Software\AppDataLow\Software\Messenger_Plus_Live_France]     
[HKCU\Software\AppDataLow\Toolbar]     
C:\Program Files\Conduit     
C:\Users\mathy\AppData\Local\Conduit     
C:\Users\mathy\AppData\LocalLow\Conduit     


FirewallRAZ
Emptytemp
EmptyCLSID


--------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

*Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

*Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur le bouton « GO » pour lancer le nettoyage, 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



A+

mathy-03 · Answer

je peux pas le poster desole ...
Je fais quoi maintenant?

Utilisateur anonyme · Answer

Re

Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier (Fichier demandé )
Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.


@+

Utilisateur anonyme · Answer

Re

Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


@+

Utilisateur anonyme · Answer

Re

Voici de quoi le faire(désinstaller les outils utilisés):
 Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 

 
 @+

mathy-03 · Answer

j'ai redemarrer mon ordi et ce logiciel s'est reinstaller!!!!!!

Utilisateur anonyme · Answer

Bonjour

Vérifions cela:

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

mathy-03 · Answer

RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: mathy [Droits d'admin] Mode: Recherche -- Date: 17/08/2012 11:11:30 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 5 ¤¤¤ [SUSP PATH] HKCU\[...]\RunOnce : 036DFF98006D5B7386ACE5A12F3B707C (C:\ProgramData\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-3139586007-1081452640-4032422523-1000[...]\RunOnce : 036DFF98006D5B7386ACE5A12F3B707C (C:\ProgramData\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe) -> FOUND [ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\mathy\AppData\Local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n.) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n --> FOUND [ZeroAccess][FILE] @ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\@ --> FOUND [ZeroAccess][FOLDER] U : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U --> FOUND [Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> FOUND [ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> FOUND ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250827AS +++++ --- User --- [MBR] 52493e11aaed1e0692949cbafb56e65d [BSP] 0a0130fc1e7566745e78d6ab7b9944e9 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 226182 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

Utilisateur anonyme · Answer

Re

Relance Roguekiller option suppression

@+

mathy-03 · Answer

RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: mathy [Droits d'admin] Mode: Suppression -- Date: 17/08/2012 11:24:52 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 4 ¤¤¤ [SUSP PATH] HKCU\[...]\RunOnce : 036DFF98006D5B7386ACE5A12F3B707C (C:\ProgramData\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe) -> DELETED [ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\mathy\AppData\Local\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n.) -> REPLACED (c:\windows\system32\shell32.dll) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\n --> REMOVED [ZeroAccess][FILE] @ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\@ --> REMOVED AT REBOOT [Del.Parent][FILE] 00000001.@ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U\00000001.@ --> REMOVED [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U\80000000.@ --> REMOVED [Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U\800000cb.@ --> REMOVED [ZeroAccess][FOLDER] U : c:\windows\installer\{654268fe-a3f6-0e25-0810-5c1cfc7f9286}\U --> REMOVED [Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe) [ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250827AS +++++ --- User --- [MBR] 52493e11aaed1e0692949cbafb56e65d [BSP] 0a0130fc1e7566745e78d6ab7b9944e9 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 226182 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt ensuite?

Utilisateur anonyme · Answer

Re

Redémarre ton PC pour que le fichier soit remplacé 
 [Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe) 

Tiens moi au courant

@+

Utilisateur anonyme · Answer

Re 
 
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

mathy-03 · Answer

voila le rapport
ComboFix 12-08-17.01 - mathy 17/08/2012  12:23:34.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2046.1584 [GMT 2:00]
Lancé depuis: c:\users\mathy\Desktop\asdehi.exe
AV: avast! antivirus *Enabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! antivirus *Enabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome.manifest
c:\program files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences\prefs.js
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.exe
c:\programdata\036DFF98006D5B7386ACE5A12F3B707C\036DFF98006D5B7386ACE5A12F3B707C.ico
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk
.
Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\asdehi\HarddiskVolumeShadowCopy9_!Windows!System32!services.exe 
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-07-17 au 2012-08-17  ))))))))))))))))))))))))))))))))))))
.
.
2012-08-17 10:33 . 2012-08-17 10:38	--------	d-----w-	c:\users\mathy\AppData\Local	emp
2012-08-17 10:33 . 2012-08-17 10:33	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2012-08-17 10:33 . 2012-08-17 10:33	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-08-17 09:09 . 2012-08-17 09:09	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-08-16 19:19 . 2012-08-16 21:01	--------	d-----w-	c:\users\mathy\AppData\Local\Temp(119)
2012-08-16 18:55 . 2012-08-16 19:18	--------	d-----w-	c:\program files\WiseConvert_1.5
2012-08-16 17:14 . 2012-08-16 17:14	--------	d-----w-	c:\users\mathy\AppData\Roaming\Malwarebytes
2012-08-16 17:13 . 2012-08-16 17:13	--------	d-----w-	c:\programdata\Malwarebytes
2012-08-16 16:21 . 2012-08-16 16:21	--------	d-----w-	c:\users\Invité\AppData\Local\Temp(111)
2012-08-16 09:07 . 2012-07-04 14:02	2047488	----a-w-	c:\windows\system32\win32k.sys
2012-08-15 08:38 . 2012-05-11 15:57	623616	----a-w-	c:\windows\system32\localspl.dll
2012-08-14 09:41 . 2012-06-29 08:44	6891424	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0AA16106-BD7D-486A-AF6F-1F3D1FD03D56}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-05 16:47 . 2012-07-12 20:23	1401856	----a-w-	c:\windows\system32\msxml6.dll
2012-06-05 16:47 . 2012-07-12 20:23	1248768	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 15:26 . 2012-07-12 20:23	440704	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-06-02 22:19 . 2012-06-19 09:06	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-19 09:06	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-19 09:05	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-19 09:05	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-19 09:06	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-19 09:06	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-19 09:05	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-19 09:05	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-19 09:05	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-02 00:04 . 2012-07-12 20:23	278528	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 00:03 . 2012-07-12 20:23	204288	----a-w-	c:\windows\system32
crypt.dll
2012-05-31 10:25 . 2009-10-02 16:47	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-07-19 08:48 . 2011-06-30 22:13	136672	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{59994074-c06d-4a75-9768-49e5a8c21264}"= "c:\program files\Messenger_Plus_Live_France	bMess.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59994074-c06d-4a75-9768-49e5a8c21264}]
2010-04-15 10:33	2515552	----a-w-	c:\program files\Messenger_Plus_Live_France	bMess.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{59994074-c06d-4a75-9768-49e5a8c21264}"= "c:\program files\Messenger_Plus_Live_France	bMess.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{59994074-C06D-4A75-9768-49E5A8C21264}"= "c:\program files\Messenger_Plus_Live_France	bMess.dll" [2010-04-15 2515552]
.
[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2008-02-04 1038136]
"Facebook Update"="c:\users\mathy\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-10-08 107864]
"Driver Manager"="c:\program files\Driver Manager\Driver Manager\DriverManager.exe" [2012-05-21 3513272]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControlUser"="c:\program files\ATK Hotkey\HcontrolUser.exe" [2008-07-03 98304]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 6266880]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-10 1348904]
"CarboniteSetupLite"="c:\program files\Packard Bell\Carbonite\CarboniteSetupLitePBPreInstaller.exe" [2008-04-07 306112]
"Skytel"="Skytel.exe" [2008-06-25 1826816]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-09-13 283160]
"MRT"="c:\windows\system32\MRT.exe" [2012-08-16 59884088]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^Users^mathy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Notification de cadeaux MSN.lnk]
path=c:\users\mathy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^mathy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk]
path=c:\users\mathy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16	39792	----a-w-	c:\program files\Adobe\Reader 8.0\Readereader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-01-14 12:12	1688872	----a-w-	c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2010-04-16 21:12	3872080	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\System32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43	248040	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg	oolbar_eula_launcher]
2007-02-20 16:20	28672	----a-w-	c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-16 c:\windows\Tasks\Extension de garantie-mathy.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2008-10-07 10:13]
.
2012-08-15 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3139586007-1081452640-4032422523-1000Core.job
- c:\users\mathy\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-17 21:34]
.
2012-08-16 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3139586007-1081452640-4032422523-1000UA.job
- c:\users\mathy\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-10-17 21:34]
.
2012-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 15:42]
.
2012-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 15:42]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.babylon.com/?affID=111020&tt=060612_5_&babsrc=HP_ss&mntrId=bc66a067000000000000002243335d3b
uInternet Settings,ProxyOverride = *.local;<local>
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {83A4D5A6-E2C1-4EDD-AD48-1A1C50BD06EF} - hxxp://www.photoweb.fr/telechargement/telechargement-photoweb-6.5.6.cab
FF - ProfilePath - c:\users\mathy\AppData\Roaming\Mozilla\Firefox\Profiles\p8n96j79.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=webhp
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=111020&tt=060612_5_&babsrc=KW_ss&mntrId=bc66a067000000000000002243335d3b&q=
FF - user.js: general.useragent.extra.ludi - LUDI2
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=111020&tt=060612_5_
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - bc66a067000000000000002243335d3b
FF - user.js: extensions.BabylonToolbar_i.hardId - bc66a067000000000000002243335d3b
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15506
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1722:34
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
HKLM-Run-NPSStartup - (no file)
MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-[webwiz] - c:\progra~1\_WEBWI~1\WEBWIZ~1.EXE
.
.
.
**************************************************************************
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\ATK Hotkey\ASLDRSrv.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\FsUsbExService.Exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\ATK Hotkey\Hcontrol.exe
c:\program files\ATK Hotkey\MsgTranAgt.exe
c:\program files\Packardbell\EcoBtn\EcoBtn.exe
c:\program files\ATK Hotkey\LOSD.exe
c:\program files\ATK Hotkey\ATKOSD.exe
c:\program files\ATK Hotkey\WDC.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\conime.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\RtHDVCpl.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2012-08-17  12:45:37 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-08-17 10:45
.
Avant-CF: 62 848 741 376 octets libres
Après-CF: 60 723 154 944 octets libres
.
- - End Of File - - 506C764242FC9DD9795BE60EBC69944F

Utilisateur anonyme · Answer

Re Télécharge Dr Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - Double clique drweb-cureit.exe et ensuite clique sur Analyse; - Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui. Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok. - De retour à la fenêtre principale : clique pour activer Analyse complète - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique Oui< /gras> pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter. - Lorsque le scan sera complété, regarde si tu peux cliquer sur l'icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable. - Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse. @+

mathy-03 · Answer

impossible de poster le rapport memeavec ci joint sa mefait planter l'ordi

Utilisateur anonyme · Answer

Re

Met moi ici dans ta prochaine réponse un copier -coller que des fichiers supprimés
Merci

@+

Utilisateur anonyme · Answer

Re 

Désinstalle Avast 4et installe Avast 7 et lance ensuite une analyse après mise à jour de cette dernière version 

https://www.avast.com/fr-fr/free-antivirus-download

@+  
  
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Problème avec live sécurity platinum

37 réponses

Discussions similaires

Newsletters