Bonjour, Je voudrais savoir comment me débarasser de ce virus que j'ai chopé hier soir. L'ordinateur est bloqué. On m'a dit qu'il fallait aller porter plainte aussi. Mais c'est inutile, non? Cordialement <config>Windows Vista

Virus ukash ministère de l'intérieur [Résolu]

Réponse 1 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 janv. 2013 à 15:57

Il faut que tu transfères tes documents personnels sur le deuxième disque. Désinstaller les programmes que tu n'utilises pas ou alors très rarement, afin de faire de la place sur le disque système

En effet la lenteur peut venir d'un disque saturé mais aussi de pleins d'autres choses comme des adwares et /ou des processus inutiles lancés au démarrage du PC.

C'est la raison pour laquelle je t'ai dit que ce n'est pas terminé.
Le passage de MBAM va me permettre de contrôler sil y a des restes du virus ukash
Ensuite il faudra faire un diagnostic du PC afin de voir s'il y a d'autres infections , et si c'est la cas passer les outils adéquates pour les érdiquer et enfin faire une optimisation du PC et te donner des conseils de prévention

Smart

Réponse 2 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 14/01/2013 à 00:33

Bonjour,

Est-ce que tu as le virus si tu démarres le PC en mode sans échec ?

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
14 janv. 2013 à 00:43

Bonsoir Smart,

Oui! En mode sans échec, il y a une liste de fichiers windows qui s'affiche puis, le pc me demande mon mot de passe comme d'habitude. Ensuite, le virus se pointe au bout de quelques secondes (15 secondes max).

Dyed93

Réponse 3 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 17/01/2013 à 14:48

Toujours après avoir démarré le PC avec le CD OTLPE

- Double clique sur OTLPE
- Si tu obtiens la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK

OTL se lance
Copie ce texte en gras et colle le dans la partie Custom Scans/Files

--------------------------------------------------
:OTL
SRV - [2013/01/12 22:29:32 | 000,244,736 | ---- | M] () [Auto] -- C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe -- (Winmgmt)
NetSvcs: winmgmt - C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe ()
SafeBootMin: WinMgmt - C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe ()
SafeBootNet: WinMgmt - C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe ()
[2013/01/16 17:55:11 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2013/01/15 22:43:53 | 000,002,941 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2013/01/15 22:43:53 | 000,000,895 | ---- | M] () -- C:\Users\SAMSUNG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

:commands
[emtytemp]
-------------------------------------------------
- Clique sur Run Fix en haut de la fenêtre
- Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file ; cliquer sur YES
- Coller le contenu du rapport dans la réponseNote : La rapport se trouve dans C:\OTL

Ensuite redémarre le PC normalement et dis moi si tu as toujours le ransomware Gendarmerie

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
17 janv. 2013 à 16:14

Voici le rapport :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt deleted successfully.
C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe moved successfully.
winmgmt removed from NetSvcs value successfully!
File C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe not found.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\WinMgmt\ scheduled to be deleted on reboot.
File c:\users\samsung\wgsdgsdgdsgsd.exe not found.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\WinMgmt\ scheduled to be deleted on reboot.
File c:\users\samsung\wgsdgsdgdsgsd.exe not found.
C:\ProgramData\dsgsdgdsgdsgw.pad moved successfully.
C:\ProgramData\dsgsdgdsgdsgw.js moved successfully.
C:\Users\SAMSUNG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.
========== COMMANDS ==========
Error: Unable to interpret <[emtytemp]> in the current context!

OTLPE by OldTimer - Version 3.1.48.0 log created on 01172013_152821

J'ai redémarré normalement et le PC fonctionne apparemment.
Je te remercie Smart91.
Tu peux m'envoyer un message privé avec ton compte paypal si tu en as un?

Dyed93

Réponse 4 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
14 janv. 2013 à 00:54

Donc le virus est actif en mode sans échec. Est-ce que tu as un autre PC sain avec un graveur de CD ?

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
14 janv. 2013 à 00:59

Oui, j'ai celui de ma mère et je crois qu'il a un graveur.

Dyed93

Réponse 5 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
14 janv. 2013 à 09:30

Sur le PC sain, grave ce CD : https://forum.malekal.com/viewtopic.php?t=23453&start=
Choisis la version Network (OTLPENet)

Ensuite toujours sur le PC sain télécharge sur une clé USB ce programme RogueKiller (par tigzy)

Tu démarres le PC malade depuis le cd OTLPENet.

Pour cela, au démarrage de ton PC, tu dois accéder au bios (en appuyant sur une touche qui doit t'être indiquée, bien souvent F2 ou F6). Là, tu dois trouver un paramètre qui détermine l'ordre de boot. Il faut que tu fasses passer le lecteur de CD en premier

ATTENTION: Le clavier est QWERTY pour passer en AZERTY appuie sur ces touches ALT +Maj

Une fois que tu es sur le bureau (Reatogo) copie sur le bureau depuis la clé USB RogueKiller.

* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

Redémarre le PC normalement et dis moi si tu as toujours le virus.

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
16 janv. 2013 à 04:19

Salut Smart,

Voici le rapport de roguekiller obtenu après suppression des fichiers :

RogueKiller V8.4.3 [Jan 10 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Remove -- Date : 01/16/2013 03:59:49

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 4 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKLM\[...]\command : (X:\I386\IEXPLORE.EXE) -> FOLDER NOT FOUND
[RUN][SUSP PATH] [ON_C:SAMSUNG]HKLM\Sam[...]\Run : cacaoweb ("C:\Users\SAMSUNG\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[STARTUP][Rans.Gendarm] runctf.lnk @SAMSUNG : X:\I386\SYSTEM32\RUNDLL32.EXE|C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe,H1N1 -> DELETED

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Extern Hives: ¤¤¤
-> C:\windows\system32\config\SOFTWARE
-> C:\windows\system32\config\SYSTEM
-> C:\Users\Default\NTUSER.DAT
-> C:\Users\Default User\NTUSER.DAT
-> C:\Users\Public\NTUSER.DAT
-> C:\Users\SAMSUNG\NTUSER.DAT
-> C:\Documents and Settings\Default\NTUSER.DAT
-> C:\Documents and Settings\Default User\NTUSER.DAT
-> C:\Documents and Settings\Public\NTUSER.DAT
-> C:\Documents and Settings\SAMSUNG\NTUSER.DAT

¤¤¤ Infection : Rogue.AntiSpy-AH|Rans.Gendarm ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> X:\i386\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 02107baecdb0a4fd56f0d8adc5936d91
[BSP] 51131d69f2c9262cd6b07dd6fabf7ad4 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 25600 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 73402368 | Size: 269403 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 99f9b253cceb871d42321d2dc52a89cb
[BSP] eb6e4860d5b17e2be173222ba82e0cf2 : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 987 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished : << RKreport[2]_D_01162013_02d0359.txt >>
RKreport[1]_S_01162013_02d0359.txt ; RKreport[2]_D_01162013_02d0359.txt

Dyed93

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
16 janv. 2013 à 04:23

Je viens de redémarrer le pc et le virus vient encore de se pointer :-(
Il est costaud lol

Réponse 6 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 16/01/2013 à 10:06

Essaie de redémarrer en mode sans echec avec prise en charge des connexion réseaux et dis moi si c'est OK ?

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
16 janv. 2013 à 15:20

Non, il se pointe encore.

Dyed93

Réponse 7 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
16 janv. 2013 à 16:25

OK redémarre le PC avec le CD OTLPE

- Double clique sur OTLPE
- Si tu obtiens la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK

OTL se lance
- Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Custom Scan"

--------------------------------------------------------------------------
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop

-------------------------------------------------------------------------
puis clique sur Run Scan et poste le rapport

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
17 janv. 2013 à 01:04

Salut Smart!

Voici le rapport :

OTL logfile created on: 1/17/2013 12:43:44 AM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium Service Pack 2 (Version = 6.0.6002) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 0000040c | Country: France | Language: FRA | Date Format: dd/MM/yyyy

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 25.00 Gb Total Space | 0.03 Gb Free Space | 0.11% Space Free | Partition Type: NTFS
Drive D: | 987.47 Mb Total Space | 986.72 Mb Free Space | 99.92% Space Free | Partition Type: FAT
Drive E: | 263.09 Gb Total Space | 151.55 Gb Free Space | 57.61% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001

[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - [2013/01/12 22:29:32 | 000,244,736 | ---- | M] () [Auto] -- C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe -- (Winmgmt)
SRV - [2012/07/13 07:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2011/09/06 16:45:28 | 000,044,768 | ---- | M] (AVAST Software) [Auto] -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe -- (avast! Antivirus)
SRV - [2010/07/04 13:07:40 | 000,238,952 | ---- | M] (Teruten) [Auto] -- C:\Windows\System32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2008/07/10 13:42:14 | 000,819,200 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Program Files\Intel\WiFi\bin\EvtEng.exe -- (EvtEng)
SRV - [2008/07/10 13:12:40 | 000,466,944 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc)
SRV - [2008/05/13 01:47:20 | 000,077,480 | ---- | M] () [Auto] -- C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe -- (Samsung Update Plus)
SRV - [2008/03/17 22:27:12 | 000,013,312 | ---- | M] (Agere Systems) [Auto] -- C:\Windows\System32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2008/01/20 21:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/01/20 21:23:24 | 000,365,568 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\WindowsMobile\wcescomm.dll -- (WcesComm)
SRV - [2008/01/20 21:23:24 | 000,167,936 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\WindowsMobile\rapimgr.dll -- (RapiMgr)

[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - File not found [Kernel | On_Demand] -- -- (USBAAPL)
DRV - File not found [Kernel | On_Demand] -- -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] -- -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] -- -- (IpInIp)
DRV - File not found [Kernel | On_Demand] -- -- (ADDMEM)
DRV - [2011/09/06 16:38:05 | 000,442,200 | ---- | M] (AVAST Software) [File_System | System] -- C:\Windows\System32\drivers\aswSnx.sys -- (aswSnx)
DRV - [2011/09/06 16:37:53 | 000,320,856 | ---- | M] (AVAST Software) [Kernel | System] -- C:\Windows\System32\drivers\aswSP.sys -- (aswSP)
DRV - [2011/09/06 16:36:38 | 000,034,392 | ---- | M] (AVAST Software) [Kernel | System] -- C:\Windows\System32\drivers\aswRdr.sys -- (aswRdr)
DRV - [2011/09/06 16:36:36 | 000,052,568 | ---- | M] (AVAST Software) [Kernel | System] -- C:\Windows\System32\drivers\aswTdi.sys -- (aswTdi)
DRV - [2011/09/06 16:36:26 | 000,054,616 | ---- | M] (AVAST Software) [File_System | Auto] -- C:\Windows\System32\drivers\aswMonFlt.sys -- (aswMonFlt)
DRV - [2011/09/06 16:36:12 | 000,020,568 | ---- | M] (AVAST Software) [File_System | Auto] -- C:\Windows\System32\drivers\aswFsBlk.sys -- (aswFsBlk)
DRV - [2010/06/14 03:32:54 | 000,036,608 | ---- | M] () [Kernel | On_Demand] -- C:\Windows\System32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2009/04/10 23:42:52 | 000,031,616 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\winusb.sys -- (winusb)
DRV - [2008/08/05 13:29:26 | 000,044,576 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA)
DRV - [2008/07/08 03:11:00 | 000,103,936 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - [2008/07/08 03:11:00 | 000,103,936 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - [2008/07/08 03:11:00 | 000,103,936 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - [2008/06/25 23:30:50 | 003,662,848 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\NETw5v32.sys -- (NETw5v32) Intel(R)
DRV - [2008/06/09 05:53:00 | 007,522,624 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2008/06/05 02:30:28 | 000,242,048 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\vmc302.sys -- (VMC302)
DRV - [2008/04/26 21:07:00 | 000,909,824 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2008/03/20 22:13:00 | 001,203,776 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2006/11/14 03:11:54 | 000,013,312 | ---- | M] (SAMSUNG ELECTRONICS CO., LTD.) [Kernel | Auto] -- C:\Windows\System32\drivers\KMDFMEMIO.sys -- (KMDFMEMIO)

[color=#E56717]========== Standard Registry (SafeList) ==========[/color]

[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

IE - HKU\SAMSUNG_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f
IE - HKU\SAMSUNG_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/
IE - HKU\SAMSUNG_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = https://www.msn.com/fr-fr?ocid=iehp
IE - HKU\SAMSUNG_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = fr
IE - HKU\SAMSUNG_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E0 E5 EE 1B F1 8F CA 01 [binary data]
IE - HKU\SAMSUNG_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\SAMSUNG_ON_C\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - Reg Error: Key error. File not found
IE - HKU\SAMSUNG_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\Windows\System32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: File not found

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\Alwil Software\Avast5\WebRep\FF [2011/11/18 19:21:22 | 000,000,000 | ---D | M]

O1 HOSTS File: ([2006/09/18 16:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Objet d'aide à la navigation SFR) - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll (SFR)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O3 - HKU\SAMSUNG_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\SAMSUNG_ON_C\..\Toolbar\WebBrowser: (no name) - {EBD898F8-FCF6-4694-BC3B-EABC7271EEB1} - No CLSID value found.
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] File not found
O4 - HKLM..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [QuickTime Task] File not found
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Windows Mobile-based device management] C:\Windows\WindowsMobile\wmdSync.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\SAMSUNG_ON_C..\Run: [AutoStartNPSAgent] File not found
O4 - HKU\SAMSUNG_ON_C..\Run: [TomTomHOME.exe] File not found
O4 - Startup: Error locating startup folders.
O13 - gopher Prefix: missing
O16 - DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} http://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20110414100535 (PhotoboxPhotowaysUploader5 Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 10.5.1)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 10.5.1)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 16:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: FastUserSwitchingCompatibility - File not found
NetSvcs: Ias - File not found
NetSvcs: Nla - File not found
NetSvcs: Ntmssvc - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: SRService - File not found
NetSvcs: WmdmPmSp - File not found
NetSvcs: LogonHours - File not found
NetSvcs: PCAudit - File not found
NetSvcs: helpsvc - File not found
NetSvcs: uploadmgr - File not found
NetSvcs: winmgmt - C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe ()

SafeBootMin: AppMgmt - Service
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: mcmscsvc - Service
SafeBootMin: MCODS - Service
SafeBootMin: NTDS - File not found
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: WinDefend - C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootMin: WinMgmt - C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe ()
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

SafeBootNet: AppMgmt - Service
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: mcmscsvc - Service
SafeBootNet: MCODS - Service
SafeBootNet: Messenger - Service
SafeBootNet: MpfService - Service
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: NTDS - File not found
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: WinDefend - C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootNet: WinMgmt - C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe ()
SafeBootNet: WudfPf - Driver
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} -
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} -
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2013/01/13 19:23:26 | 000,000,000 | ---D | C] -- C:\Windows\System32\_swf_imagine digital freedom_work
[2013/01/09 21:00:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2013/01/09 21:00:46 | 000,000,000 | R--D | C] -- C:\Program Files\Skype
[2013/01/09 17:53:35 | 002,048,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013/01/09 17:53:07 | 000,204,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ncrypt.dll
[2012/12/20 21:00:53 | 000,293,376 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\atmfd.dll
[2012/12/20 21:00:53 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\Windows\System32\atmlib.dll
[2006/11/24 00:14:44 | 000,139,264 | ---- | C] ( ) -- C:\Windows\System32\MACSSDK_wiz.dll
[2006/11/24 00:14:44 | 000,126,976 | ---- | C] ( ) -- C:\Windows\System32\MACSSDK.dll
[5 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2013/01/16 17:55:51 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013/01/16 17:55:11 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2013/01/16 17:55:04 | 000,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013/01/16 17:55:04 | 000,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013/01/16 17:55:00 | 000,028,029 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2013/01/16 17:55:00 | 000,028,029 | ---- | M] () -- C:\ProgramData\nvModes.001
[2013/01/16 08:55:23 | 000,000,680 | ---- | M] () -- C:\Users\SAMSUNG\AppData\Local\d3d9caps.dat
[2013/01/15 22:43:53 | 000,002,941 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2013/01/15 22:43:53 | 000,000,895 | ---- | M] () -- C:\Users\SAMSUNG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/10 16:57:52 | 000,252,952 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013/01/09 21:00:47 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012/12/29 07:46:35 | 000,669,566 | ---- | M] () -- C:\Windows\System32\perfh00C.dat
[2012/12/29 07:46:35 | 000,587,178 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/12/29 07:46:35 | 000,123,556 | ---- | M] () -- C:\Windows\System32\perfc00C.dat
[2012/12/29 07:46:35 | 000,101,250 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[5 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2013/01/15 22:43:53 | 000,000,895 | ---- | C] () -- C:\Users\SAMSUNG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/12 22:30:26 | 000,002,941 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2013/01/12 22:30:20 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2011/03/02 15:52:06 | 000,110,592 | ---- | C] () -- C:\Windows\System32\FsUsbExDevice.Dll
[2011/03/02 15:52:06 | 000,036,608 | ---- | C] () -- C:\Windows\System32\FsUsbExDisk.Sys
[2010/12/01 23:06:13 | 000,008,704 | ---- | C] () -- C:\Windows\System32\vidccleaner.exe
[2010/08/05 14:33:08 | 000,000,343 | ---- | C] () -- C:\Windows\System32\dmlg.dat
[2010/03/17 21:47:17 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2009/10/20 16:22:19 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009/10/20 16:22:19 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009/10/20 16:21:55 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2009/07/24 11:54:50 | 000,196,608 | ---- | C] () -- C:\Users\SAMSUNG\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/03/20 16:14:30 | 000,028,029 | ---- | C] () -- C:\ProgramData\nvModes.001
[2009/03/20 16:14:11 | 000,028,029 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2009/03/20 15:35:23 | 000,000,135 | R--- | C] () -- C:\Windows\System32\lngEng.ini
[2009/03/20 15:35:23 | 000,000,117 | ---- | C] () -- C:\Windows\System32\lngKor.ini
[2009/03/20 15:32:29 | 000,040,960 | ---- | C] () -- C:\Windows\System32\IhDEV.exe
[2009/03/20 15:32:29 | 000,024,576 | ---- | C] () -- C:\Windows\System32\IhINF.exe
[2009/03/20 15:32:11 | 000,003,178 | ---- | C] () -- C:\Windows\HotFixList.ini
[2009/03/20 15:25:40 | 000,000,680 | ---- | C] () -- C:\Users\SAMSUNG\AppData\Local\d3d9caps.dat
[2009/03/11 04:41:34 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2008/01/21 03:40:50 | 000,669,566 | ---- | C] () -- C:\Windows\System32\perfh00C.dat
[2008/01/21 03:40:50 | 000,340,236 | ---- | C] () -- C:\Windows\System32\perfi00C.dat
[2008/01/21 03:40:50 | 000,123,556 | ---- | C] () -- C:\Windows\System32\perfc00C.dat
[2008/01/21 03:40:50 | 000,037,390 | ---- | C] () -- C:\Windows\System32\perfd00C.dat
[2007/10/25 11:26:10 | 000,005,632 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys
[2007/02/26 09:49:12 | 006,139,774 | ---- | C] () -- C:\Windows\System32\imagine digital freedom.dat
[2007/02/15 02:51:02 | 000,274,432 | ---- | C] () -- C:\Windows\System32\NDADLL.dll
[2006/11/29 03:00:30 | 000,045,056 | ---- | C] () -- C:\Windows\System32\MAWebControl.exe
[2006/11/29 03:00:28 | 000,307,200 | ---- | C] () -- C:\Windows\System32\LDBGenWizView.dll
[2006/11/02 07:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 07:47:37 | 000,252,952 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 07:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 05:33:01 | 000,587,178 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 05:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 05:33:01 | 000,101,250 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 05:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 05:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 03:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 03:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 02:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 02:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006/10/08 20:01:28 | 000,061,440 | ---- | C] () -- C:\Windows\System32\AVSAudioWideStereoDMO.dll

[color=#E56717]========== LOP Check ==========[/color]

[2011/05/26 08:16:03 | 000,000,000 | ---D | M] -- C:\Users\SAMSUNG\AppData\Roaming\cacaoweb
[2011/01/30 15:54:58 | 000,000,000 | ---D | M] -- C:\Users\SAMSUNG\AppData\Roaming\LibreOffice
[2010/06/12 17:14:41 | 000,000,000 | ---D | M] -- C:\Users\SAMSUNG\AppData\Roaming\Microgaming
[2010/09/20 12:30:22 | 000,000,000 | ---D | M] -- C:\Users\SAMSUNG\AppData\Roaming\OpenOffice.org
[2012/11/12 13:13:28 | 000,000,000 | ---D | M] -- C:\Users\SAMSUNG\AppData\Roaming\PMU
[2011/03/02 15:51:33 | 000,000,000 | ---D | M] -- C:\Users\SAMSUNG\AppData\Roaming\Samsung
[2010/06/30 11:40:37 | 000,000,000 | ---D | M] -- C:\Users\SAMSUNG\AppData\Roaming\TomTom
[2011/01/05 21:21:23 | 000,000,000 | ---D | M] -- C:\ProgramData\Alwil Software
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2012/08/05 16:24:42 | 000,000,000 | ---D | M] -- C:\ProgramData\Ask
[2009/03/20 15:23:53 | 000,000,000 | -HSD | M] -- C:\ProgramData\Bureau
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2009/03/20 15:23:53 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoris
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2009/03/20 15:23:53 | 000,000,000 | -HSD | M] -- C:\ProgramData\Menu Démarrer
[2009/03/20 15:23:53 | 000,000,000 | -HSD | M] -- C:\ProgramData\Modèles
[2009/06/24 09:10:46 | 000,000,000 | ---D | M] -- C:\ProgramData\Roaming
[2011/03/02 15:53:05 | 000,000,000 | ---D | M] -- C:\ProgramData\Samsung
[2006/11/02 08:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2006/11/02 08:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2010/06/30 11:40:52 | 000,000,000 | ---D | M] -- C:\ProgramData\TomTom
[2010/06/02 12:13:02 | 000,000,000 | ---D | M] -- C:\ProgramData\WindowsSearch
[2010/04/19 09:09:40 | 000,000,000 | ---D | M] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009/10/18 02:08:06 | 000,000,000 | ---D | M] -- C:\ProgramData\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009/08/03 15:22:23 | 000,000,000 | ---D | M] -- C:\ProgramData\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2013/01/16 17:55:31 | 000,032,612 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

[color=#E56717]========== Purity Check ==========[/color]

[color=#E56717]========== Custom Scans ==========[/color]

Invalid Environment Variable: %ALLUSERSPROFILE%\Application Data\*.exe

Invalid Environment Variable: %APPDATA%\*.exe

[color=#A23BEC]< %SYSTEMDRIVE%\*.exe >[/color]

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]

[color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color]
[2009/04/11 01:28:19 | 000,142,336 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\Windows\system32\fontext.dll
[2012/11/13 21:14:59 | 009,738,240 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\Windows\system32\ieframe.dll
[2012/06/08 12:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\Windows\system32\shell32.dll
[5 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]

[color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\system32\drivers\*.sys /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\System32\config\*.sav >[/color]
[2008/01/20 22:14:18 | 016,846,848 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2008/01/20 22:14:08 | 000,106,496 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2008/01/20 22:14:18 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006/11/02 05:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006/11/02 05:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV

[color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color]
[2008/10/29 01:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[2008/10/29 01:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[2008/10/29 22:59:17 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[2009/04/11 01:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\explorer.exe
[2009/04/11 01:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe
[2008/10/27 21:15:02 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[2008/01/20 21:24:24 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe

[color=#A23BEC]< MD5 for: WININIT.EXE >[/color]
[2008/01/20 21:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\System32\wininit.exe
[2008/01/20 21:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color]
[2009/04/11 01:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\System32\winlogon.exe
[2009/04/11 01:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2008/01/20 21:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
< End of report >

Merci pour l'aide!

Dyed93

Réponse 8 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
17 janv. 2013 à 16:33

Super.

"Tu peux m'envoyer un message privé avec ton compte paypal si tu en as un? "
C'est sympa. Tes remerciements me suffisent.
Si tu veux vraiment faire un don, fais le pour les développeurs des outils comme RogueKiller. Ils font un travail extraordinaire.
Quand tu lances RogueKiller tu as un bouton Paypal à droite.

Mais ce n'est pas terminé.
Tout d'abord, ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Démarre le PC normalement et tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
19 janv. 2013 à 04:09

OK!
Je leur ferai un don. :-)

Par contre, je n'ai pas encore fait ce que tu m'as dit de faire mais, je vais le faire biensûr.
En fait, mon disque dur principal C: (25Go) est plein et j'ai le deuxième disque dur D: (263Go) qui a 151Go de libre.

Comme il n'y a plus de place sur le principal, les pages internet ne s'affichent pas et le PC rame j'ai l'impression.
Je voulais savoir si tu avais une solution stp.

Dyed93

Réponse 9 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
20 janv. 2013 à 14:52

Tu vois il y avait un restes du Ransomware et on voit bien que le virus a profité d'une faille de sécurité de Java qui n'est pas à jour.

Mets java à jour ==>
Mise à jour Java 7 update 11 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 et Java 7 dont l'update est inférieur à 11

Ensuite on va faire un diagnostic du PC afin de voir s'il y a d'autre infections

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur le tournevis en haut à droite de la fenêtre et "coche toutes les cases
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
21 janv. 2013 à 00:53

Voici le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130121_n9n5d14v6e13

Dyed93

Réponse 10 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
21 janv. 2013 à 11:04

Tu as des adwares et barres d'outils inutiles
Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

Tu vas faire ceci:

- Télécharge sur ton bureau AdwCleaner de Xplode
- Lance AdwCleaner
- Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
21 janv. 2013 à 20:18

Voici le rapport :

# AdwCleaner v2.107 - Rapport créé le 21/01/2013 à 20:06:23
# Mis à jour le 21/01/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : SAMSUNG - PC-DE-SAMSUNG
# Mode de démarrage : Normal
# Exécuté depuis : D:\Program Files\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\WiseConvert_1.5
Dossier Supprimé : C:\ProgramData\Ask
Dossier Supprimé : C:\Users\SAMSUNG\AppData\Local\Conduit
Dossier Supprimé : C:\Users\SAMSUNG\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\SAMSUNG\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\SAMSUNG\AppData\LocalLow\WiseConvert_1.5
Dossier Supprimé : C:\Users\SAMSUNG\AppData\Roaming\cacaoweb

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\AppDataLow\Software\WiseConvert_1.5
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WiseConvert_1.5 Toolbar
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{19803860-B306-423C-BBB5-F60A7D82CDE5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{19803860-B306-423C-BBB5-F60A7D82CDE5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{493CCB71-DCAD-4257-9F08-8750F63BD792}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{19803860-B306-423C-BBB5-F60A7D82CDE5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{493CCB71-DCAD-4257-9F08-8750F63BD792}
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3196716
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3242339
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F337BF74-D82F-4B01-9952-F90ED4CA5BF0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F97C2C07-DEB6-4456-82DD-F8E0205DA257}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19803860-B306-423C-BBB5-F60A7D82CDE5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{493CCB71-DCAD-4257-9F08-8750F63BD792}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WiseConvert_1.5 Toolbar
Clé Supprimée : HKLM\Software\WiseConvert_1.5
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{19803860-B306-423C-BBB5-F60A7D82CDE5}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{19803860-B306-423C-BBB5-F60A7D82CDE5}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{19803860-B306-423C-BBB5-F60A7D82CDE5}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{19803860-B306-423C-BBB5-F60A7D82CDE5}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&CUI=UN32591822017503234&ctid=CT3242339 --> hxxp://www.google.com

-\\ Mozilla Firefox v [Impossible d'obtenir la version]

Fichier : C:\Users\SAMSUNG\AppData\Roaming\Mozilla\Firefox\Profiles\9p8ue7x8.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [5695 octets] - [21/01/2013 20:04:22]
AdwCleaner[S1].txt - [5714 octets] - [21/01/2013 20:06:23]

########## EOF - C:\AdwCleaner[S1].txt - [5774 octets] ##########

Dyed93

Réponse 11 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
22 janv. 2013 à 09:22

OK. Refais un sacna ZHPDiag et poste le rapport via pjjoint afin de voir s'il y a encore des traces

<gras>N'oublie pas de faire de la place sur le disque système</sgra>

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
22 janv. 2013 à 23:38

Voici le lien :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130122_c8r814p10q13

Dyed93

Réponse 12 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
23 janv. 2013 à 19:55

Il y a encore des restes

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O87 - FAEL: "TCP Query User{EAB483D3-E89F-4867-A7A3-ADC2F587217B}C:\users\samsung\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\samsung\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
O87 - FAEL: "UDP Query User{7F5FA789-D14A-4F49-ADC7-3BE6A242B8BD}C:\users\samsung\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\samsung\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
[MD5.3911B972B55FEA0478476B2E777B29FA] - (.Microsoft Corporation - Ancillary Function Driver for WinSock.) (.21/04/2011 - 14:58:27.) -- C:\Windows\system32\Drivers\AFD.sys [273408]
R3 - URLSearchHook: (no name) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
O4 - HKLM\..\Run: [NPSStartup] Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{E480B2BC-BB1E-4688-88FF-76D271316DD8}] (...) -- D:\PMUPoker\Uninstall.exe (.not file.)
[HKCU\Software\PMU]
O43 - CFD: 12/11/2012 - 19:13:28 - [0,000] ----D C:\Users\SAMSUNG\AppData\Roaming\PMU
O43 - CFD: 22/06/2012 - 15:07:15 - [0] ----D C:\Users\SAMSUNG\AppData\Local\{08DD4A0D-8836-4F6D-A6F6-095F7998F1A9}
[HKCU\Software\YahooPartnerToolbar]
[HKLM\Software\ASKInstaller]
O69 - SBI: SearchScopes [HKCU] {1F649C83-9163-489F-9988-3F521E7551C3} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
O69 - SBI: SearchScopes [HKCU] {46B72188-0526-4D00-9283-CD43E07615BD} - (WiseConvert 1.5 Customized Web Search) - http://search.conduit.com
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
[HKLM\Software\Classes\CLSID\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
[HKLM\Software\ASKInstaller]
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/01/2013 - 20:12:20 ---A- . (...) -- C:\Windows\System32\RENF2F5.tmp [0]
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/01/2013 - 20:12:20 ---A- . (...) -- C:\Windows\System32\RENF2F6.tmp [0]
O83 - Search Svchost Services: winmgmt (winmgmt) . (...) -- C:\Users\SAMSUNG\wgsdgsdgdsgsd.exe [0]
EmptyTemp
EmptyFlash
FirewallRAZ

----------------------------------------------------------
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
23 janv. 2013 à 23:52

Voici le rapport :

Rapport de ZHPFix 1.3.12 par Nicolas Coolman, Update du 18/01/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-23-01-2013-23-48-42.txt
Run by SAMSUNG at 23/01/2013 23:48:42
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

========== Processus mémoire ==========
SUPPRIME Reboot Memory Process: C:\Windows\system32\Drivers\AFD.sys

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\PMU
SUPPRIME Key: HKCU\Software\YahooPartnerToolbar
SUPPRIME Key: HKLM\Software\ASKInstaller
SUPPRIME Key: SearchScopes :{1F649C83-9163-489F-9988-3F521E7551C3}
SUPPRIME Key: SearchScopes :{46B72188-0526-4D00-9283-CD43E07615BD}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
SUPPRIME Key: Services Svchost: winmgmt

========== Valeur(s) du Registre ==========
ABSENT TCP Query User{EAB483D3-E89F-4867-A7A3-ADC2F587217B}C:/users/samsung/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT UDP Query User{7F5FA789-D14A-4F49-ADC7-3BE6A242B8BD}C:/users/samsung/appdata/roaming/cacaoweb/cacaoweb.exe
SUPPRIME URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1}
SUPPRIME RunValue: NPSStartup
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Public) : {960868ED-3D27-41C5-94BE-A4E5B5DCB83D}
SUPPRIME FirewallRaz (Public) : {444CDD34-5FCC-433F-A46A-7A7C59E05385}
SUPPRIME FirewallRaz (Public) : {5AD414AC-6527-43A2-9E28-BFA1A9F537B0}
SUPPRIME FirewallRaz (Private) : TCP Query User{E56F0394-B3CD-4BFB-97F0-1DF02775EED8}D:\skype\phone\skype.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{EFA4A0A9-5782-4D1F-BEB3-E7F1F012B6D6}D:\skype\phone\skype.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{BF892A0C-F8E5-4BE5-9C55-898C5D6C205D}D:\skype\phone\skype.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{722FDD0E-8455-40E5-8BEE-FF7504F3E02E}D:\skype\phone\skype.exe
SUPPRIME FirewallRaz (None) : {77652245-F872-433A-B8CC-66DD62C871DD}
SUPPRIME FirewallRaz (Private) : TCP Query User{EAB483D3-E89F-4867-A7A3-ADC2F587217B}C:\users\samsung\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{7F5FA789-D14A-4F49-ADC7-3BE6A242B8BD}C:\users\samsung\appdata\roaming\cacaoweb\cacaoweb.exe

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\SAMSUNG\AppData\Roaming\PMU
SUPPRIME Folder: C:\Users\SAMSUNG\AppData\Local\{08DD4A0D-8836-4F6D-A6F6-095F7998F1A9}
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME File: c:\windows\system32\renf2f5.tmp
SUPPRIME File: c:\windows\system32\renf2f6.tmp
ABSENT File: c:\users\samsung\wgsdgsdgdsgsd.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: {E480B2BC-BB1E-4688-88FF-76D271316DD8}

========== Récapitulatif ==========
1 : Processus mémoire
10 : Clé(s) du Registre
16 : Valeur(s) du Registre
4 : Dossier(s)
5 : Fichier(s)
1 : Tache planifiée

End of clean in 00mn 08s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 23/01/2013 23:48:42 [3405]

Dyed93

Réponse 13 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
24 janv. 2013 à 09:56

OK Refais un scan ZHPDiag et poste le rapport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
26 janv. 2013 à 02:13

Voici le lien :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130126_d8w1010x5u7

Dyed93

Réponse 14 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
28 janv. 2013 à 15:47

Fais la mise à jour suivante :

Mise à jour Adobe Reader 11.0.01
ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.01/fr_FR/AdbeRdr11000_fr_FR.exe
Décoche la case "Inclure dans votre téléchargement la barre Google"

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- D:\Program Files\QTTask.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
[HKLM\Software\BrowserChoice]

----------------------------------------------------------
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Vérifis que la case "Supprimer les outils de désinfection" soit cochée
- Clique sur Exécuter
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. ==> https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

Installe l'extension de sécurité Adblock plus pour bloquer les publicités
FirefFox ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
Chrome ==> https://www.commentcamarche.net/telecharger/web-internet/25023-adblock-plus/

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur Google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme quiva bloquer tous les sites qui proposent des adwares HOSTS Anti-PUPs/Adware
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller plus tard HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu peux aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
30 janv. 2013 à 01:11

Je n'ai pas réussi à faire les mises à jour suivantes :

"Fais la mise à jour suivante :

Mise à jour Adobe Reader 11.0.01
ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.01/fr_FR/AdbeRdr11000_fr_FR.exe
Décoche la case "Inclure dans votre téléchargement la barre Google"

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour"

Voici le rapport :

Rapport de ZHPFix 1.3.12 par Nicolas Coolman, Update du 18/01/2013
Fichier d'export Registre :
Run by SAMSUNG at 30/01/2013 00:55:04
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\BrowserChoice

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: WindowsWelcomeCenter

========== Récapitulatif ==========
1 : Clé(s) du Registre
3 : Valeur(s) du Registre

End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 23/01/2013 23:48:42 [3457]
C:\ZHP\ZHPFix[R2].txt - 30/01/2013 00:55:04 [696]

Je n'ai pas encore fait la suite car il est nécessaire de faire les mises à jour et je vais peut-être avoir à réutiliser ZHPFix je suppose.
Y a-t-il d'autres liens pour faire les mises à jour ou pas?

Dyed93

Réponse 15 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
30 janv. 2013 à 21:10

Peux-tu être plus explicite concernant les mises à jour ? Que s'est-il passé ?

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
1 févr. 2013 à 07:07

Le lien pour la mise à jour d'Adobe ne fonctionne pas et ceux fournis par FileHippo non plus.
Ou je n'y arrive pas peut-être!

Dyed93

Réponse 16 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 1/02/2013 à 22:15

Essaie avec cet outil https://security-x.fr/tools/SXCU.exe
et mets les logiciels à jour dont les versions sont OUT .
Pour cela clique sur les boutons correspondants

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
7 févr. 2013 à 03:13

Salut Smart!
J'ai fait de la place sur mon disque dur et j'ai fait les mises à jour.

Voici le rapport ZHPFix que j'ai refait :

Rapport de ZHPFix 1.3.12 par Nicolas Coolman, Update du 18/01/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-07-02-2013-03-07-54.txt
Run by SAMSUNG at 07/02/2013 03:07:54
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\BrowserChoice

========== Valeur(s) du Registre ==========
ABSENT RunValue: QuickTime Task
SUPPRIME RunValue: Adobe Reader Speed Launcher
ABSENT RunValue: WindowsWelcomeCenter

========== Récapitulatif ==========
1 : Clé(s) du Registre
3 : Valeur(s) du Registre

End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 23/01/2013 23:48:42 [3457]
C:\ZHP\ZHPFix[R2].txt - 30/01/2013 00:55:04 [747]
C:\ZHP\ZHPFix[R3].txt - 07/02/2013 03:07:54 [741]

Dyed

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
7 févr. 2013 à 03:22

Je viens d'utiliser DelFix mais, il n'y a pas de rapport C:\DelFixSuppr.txt ou je ne le trouve pas :-(

Dyed93

Réponse 17 / 22

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
7 févr. 2013 à 11:07

Ce n'est pas grave fais la suite

Smart

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
11 févr. 2013 à 04:21

Salut Smart!
CCleaner a tourné longtemps et libéré 75 Go de mon disque dur D:, c'est énorme.

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
11 févr. 2013 à 04:48

J'ai tout relu et je crois que c'est terminé pour mon cas.
J'ai fait mon don la semaine dernière au fait.
Je te remercie grandement, c'est très gentil de m'avoir aidé.
Bonne continuation à toi Smart.

Dyed

Réponse 18 / 22

luca4516 Messages postés 79 Date d'inscription dimanche 13 janvier 2013 Statut Membre Dernière intervention 16 février 2013 226
14 janv. 2013 à 00:35

Bonsoir

Pour ton soucis regarde ici ..

https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/352925-virus-ukash-ministere-de-l-interieur

pour la plainte pas la peine de perdre ton temps..à part une main courante et perdre deux heures..

Cordialement

--
"Si ton labeur est dur, et si tes résultats sont minces, rappelle-toi
qu'un jour le grand chêne a été un gland comme toi..."

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
14 janv. 2013 à 00:46

Bonsoir luca4516,

J'y jette un oeil.
Merci!

Cordialement,

Dyed93

Réponse 19 / 22

dyed93 Messages postés 38 Date d'inscription lundi 14 janvier 2013 Statut Membre Dernière intervention 13 août 2016
20 janv. 2013 à 06:10

Voici le rapport :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.19.11

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
SAMSUNG :: PC-DE-SAMSUNG [administrateur]

Protection: Activé

19/01/2013 23:51:35
mbam-log-2013-01-19 (23-51-35).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 641153
Temps écoulé: 5 heure(s), 8 minute(s), 16 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\SAMSUNG\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\4465cabc-49507acc (Trojan.Ransom) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\01172013_152821\C_Users\SAMSUNG\wgsdgsdgdsgsd.exe (Trojan.Ransom) -> Mis en quarantaine et supprimé avec succès.

(fin)

Dyed93

Réponse 20 / 22

subremi Messages postés 5 Date d'inscription vendredi 8 février 2013 Statut Membre Dernière intervention 9 février 2013
Modifié par subremi le 8/02/2013 à 21:41

bonsoir a tous

je suis hélas moi aussi victime de ce virus si qq peut m'aider je me permet de poster car j'ai déjà pas mal avancer en lisant vos réponse mais la je suis bloqué

j'ai telecharger OTLPENet.exe et graver sur un cd

j'ai booter dessus et je suis arriver a un bureau (REATOGO) je double clique sur l'icône jaune je sélectionne le dossier window et puis je colles les commandes et lance le scan

je dois faire quoi maintenant ?

poster le rapport ici ?

j'ai déjà tout essayé le virus ce lance même en mode sans échec avec prise en charge réseau , donc impossible d'avoir accès au gestionnaire des taches

sous REATOGO j'essaie d'utilisé roguekiller mais chaque fois que je relance le pc sous seven il revien

par avance merci

Rémi

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
8 févr. 2013 à 21:43

Ceci est un sujet qui est quasi résolu.

Je te conseille de créer une nouvelle discussion afin de ne pas gêner celle-ci

Smart

Virus ukash ministère de l'intérieur

22 réponses

Discussions similaires

Newsletters