Aide désinfection pour possible trojan Suspicious.Cloud.7.EP ?Résolu/Fermé

Question

Bonjour,

depuis quelques jours je ne peux plus télécharger adwcleaner, norton m'affiche "Suspicious.Cloud.7.EP" et me l'efface, je le fais pourtant sur le site officiel. J'ai effectué en mode sans échec une analyse avec adwcleaner et roguekiller mais le problème persiste. J4ai également depuis peu une instabilité matérielle. Mon ordinateur redémarrant de temps en temps sans raisons. Pouvez vous m'aidez à vérifier que celui-ci est sain svp ?

petite précision en suivant un tuto je pense de plus avoir fait une bêtise en utilisant jrt, je viens de voir cette ligne :

Successfully deleted: [File] "C:\Windows\wininit.ini"

merci à vous

Natacha



Configuration: Windows 7 / Firefox 36.0

Buenos74 · Answer

Bsr Natasha,

faîtes une restauration système à une date antérieure à votre bêtise.

Cdt.

marsamandes80 · Answer

Bonjour

merci pour votre réponse je viens de le faire restauration antérieure d'il y a trois jours, je n'ai toujours pas mon fichier wininit.ini et quand cela a redémarré norton m'indiquait que sa base de signature de virus datait d'il y a 4 mois

que peut on faire svp pour le possible virus également je suis inquiète.

merci à vous

marsamandes80 · Answer

personne ne peut m'aider svp ?

Utilisateur anonyme · Answer

bonjour,

 *  Télécharge et enregistre ZHPDiag sur ton bureau : 

https://nicolascoolman.eu

ou :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

 Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

 Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

=> L'icône est sous forme de parchemin. 

 Clique sur « complet » 
 Laisse travailler l'outil, même s'il semble bloqué ! 

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 

 Héberge le rapport ZHPDiag.txt sur :
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  


tuto zhpdiag : 

https://nicolascoolman.eu

marsamandes80 · Answer

Bonjour

merci beaucoup pour ta réponse

voici le fichier : https://www.cjoint.com/?3CCtHKDyJAm

Utilisateur anonyme · Answer

/!\ Avertissement /!\, 
 ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! 
 Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. 

/!\Utilisateur de Vista, Seven et W8 : 

 Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » 

Clique sur « importer » 

Tu vas voir apparaitre un message d'avertissement, clique sur Ok. 

 * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : 
--------------------------------------------------------- 

Script Zhpfix
O2 - BHO: Bitdefender Wallet [64Bits] - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} ClÃ© orpheline
O2 - BHO: Bitdefender Wallet  [64Bits] - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} ClÃ© orpheline
[HKLM\Software\Classes\TypeLib\{3277CD27-4001-4EF8-9D96-C6CA745AC2F9}]
[HKLM\Software\Classes\Interface\{38493F7F-2922-4C6C-9A9A-8DA2C940D0EE}]
[HKLM\Software\Wow6432Node\Classes\Interface\{38493F7F-2922-4C6C-9A9A-8DA2C940D0EE}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{669695BC-A811-4A9D-8CDF-BA8C795F261C}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{669695BC-A811-4A9D-8CDF-BA8C795F261C}]    
[MD5.4B3E12BA429F4E9421B883A647015301] [SPRF][29/03/2014] (...) -- C:\ProgramData\1396090535.bdinstall.bin   [500197]   
O43 - CFD: 28/03/2015 - 06:04:29 - [] ----D C:\Program Files (x86)\Spybot - Search & Destroy 2    
O43 - CFD: 28/03/2015 - 06:04:26 - [] ----D C:\ProgramData\Spybot - Search & Destroy    
C:\Users\windoudou\AppData\Roaming\Mozilla\Firefox\Profiles\x2dzddnr.default-1427492686770\prefs.js (.not file.)
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKUS\S-1-5-18\..\Run: [Bitdefender Wallet Agent] C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe (.not file.)   
O4 - HKUS\S-1-5-18\..\Run: [Bitdefender Wallet] C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe (.not file.) 
O4 - HKUS\.DEFAULT\..\Run: [Bitdefender Wallet Agent] C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe (.not file.)    
O4 - HKUS\.DEFAULT\..\Run: [Bitdefender Wallet] C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe (.not file.)   
O4 - HKUS\.DEFAULT\..\Run: [Bitdefender Agent de l'application Wallet] C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe (.not file.)    
O4 - HKUS\S-1-5-18\..\Run: [Bitdefender Agent de l'application Wallet] C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe (.not file.)    
EmptyPrefetch
ShortcutFix 
Emptytemp 
EmptyClsid 




---------------------------------------------------------- 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- confirme le nettoyage 
- Héberge le rapport ZHPFIX.txt sur 
https://www.cjoint.com/	

puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 




Tuto en bas de cette page : 
https://nicolascoolman.eu

marsamandes80 · Answer

voici le lien que tu m'as demandé : https://www.cjoint.com/?3CCt51ldyGy

Utilisateur anonyme · Answer

il reste quelques étapes avant que je te dise si ou non, le pc est encore infecté !

de plus, ce n'est pas moi qui vais t'annoncer, c'est ton pc qui le dira  :P


à lire avant de lancer l'installation de MBAM :

Attention, à l'installation décoche la case « activer l'essai gratuit de Malawarybyte anti malware »
 
ceci correspond à une version d'essai qui ne dure que 15 jours en fonctionnant comme un antivirus, donc risque de conflit avec ton antivirus existant sur le pc !



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

ou :

https://fr.malwarebytes.com/mwb-download/
ou :

https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger !
	


/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet paramètres, choisis la langue souhaitée
 
. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour 

. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminée

Dans l'onglet "examen", coche la case "Examen personnalisé" et sélectionne ton disque sur le quel est installé Windows,  puis examiner maintenant, 

Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)

puis sur "lancer l'examen"

. Le scan démarre.

il va durer un certain temps, donc laisse le faire.
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.

Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.

Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,

Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.

Utilisateur anonyme · Answer

c'est normal : le scan de MBAM est assez long !

redémarre le pc et donne moi des nouvelles de son fonctionnement avant de continuer

marsamandes80 · Answer

alors il redémarre sans soucis mais je ne peux toujours pas télécharger adwcleaner sans avoir le message ""Suspicious.Cloud.7.EP"" et le fichier wininit.ini qui manque.. sinon il semble stable

Utilisateur anonyme · Answer

pour le message, c'est Norton qui détecte ADWC comme infection ? 

si c'est le cas, je le remonte à Xplode pour voir avec eux, c'est un faux positif !

tu peux toujours le télécharger en désactivant Norton !


pour wininit.ini manquant, c'est étrange comme message, est ce que tu as ce message suite à un nettoyage avec un outil ?

si oui, le quel ?

marsamandes80 · Answer

désolé je rentre juste du travail, oui en effet j'ai bêtement passé JRT en suivant un tuto et il m'a indiqué Successfully deleted: [File] "C:\Windows\wininit.ini" .

pour adwcleaner il me fait cela depuis 1 semaine a peine puisque je l'avais telechargé avant.

vu l'heure bonne nuit ;)

Utilisateur anonyme · Answer

ok, ce que je te propose, c'est de restaurer le pc à la date avant le passage de JRT pour en plus avoir le message de wininit.ini et on regarde tout ça tranquille  :-)

je file bosser, @ +

marsamandes80 · Answer

le soucis c'est que je l'avais déjà fait avant de venir ici mais wininit.ini n'est pas revenu...Il doit pas être capital pour seven car je n'ai aucune instabilité depuis hier..

Bon courage

Utilisateur anonyme · Answer

re,

as tu toujours le message de wininit.ini au démarrage ?

j'ai fouillé sur mon pc (W7 64 bit) je ne trouve aucune trace de wininit.ini !

on av le faire autrement :

&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista, W7 et W8 : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

marsamandes80 · Answer

Bonsoir

je me suis mal exprimée c'est jrt qui m'a dit avoir supprimé le fichier wininit.ini je n'ai pas de message au démarrage s'il n'est pas utile tant mieux voici le rapport, il m'a supprimé un fichier de pokerstar j'espère que ca va continuer à fonctionner lol, merci à toi :

ComboFix 15-03-29.01 - windoudou 30/03/2015  19:14:50.1.4 - x64Microsoft Windows 7 Édition Intégrale   6.1.7601.1.1252.33.1036.18.3952.2524 [GMT 2:00]Lancé depuis: c:\users\windoudou\Desktop\ComboFix.exeAV: Norton 360 Premier Edition *Disabled/Updated* {53C7D717-52E2-B95E-FA61-6F32ECC805DB}FW: Norton 360 Premier Edition *Disabled* {6BFC5632-188D-B806-D13E-C607121B42A0}SP: Norton 360 Premier Edition *Enabled/Updated* {E8A636F3-74D8-B6D0-C0D1-5440974F4F66}SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}..((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))..c:\programdata\ma-config.com\Logs\activex.txtc:\programdata\ma-config.com\Logs\mcstubuser.txtc:\programdata\ma-config.com\mcbase.dbc:\programdata\ma-config.com\server.pemc:\programdata\Roamingc:\users\windoudou\AppData\Local\datos.txtc:\users\windoudou\AppData\Local\lateral1.bmpc:\users\windoudou\AppData\Local\lateral2.bmpc:\users\windoudou\AppData\Local\lateral3.bmpc:\users\windoudou\AppData\Local\save_en.bmpc:\users\windoudou\AppData\Local\save_es.bmpc:\users\windoudou\AppData\Roaming\FoxitReaderUpdateInfo.txtc:\users\windoudou\AppData\Roaming\Roamingc:\users\windoudou\AppData\Roaming\Roaming\HoldemManager\config\PokerstarsZoomTables.xml..(((((((((((((((((((((((((((((   Fichiers créés du 2015-02-28 au 2015-03-30  ))))))))))))))))))))))))))))))))))))..2015-03-30 17:23 . 2015-03-30 17:23	--------	d-----w-	c:\users\postgres\AppData\Local	emp2015-03-30 17:23 . 2015-03-30 17:23	--------	d-----w-	c:\users\Default\AppData\Local	emp2015-03-28 18:16 . 2015-03-28 18:16	512	----a-w-	C:\PhysicalDisk0_MBR.bin2015-03-28 18:10 . 2015-03-28 18:10	--------	d-----w-	c:\program files (x86)\ZHPDiag2015-03-27 22:07 . 2015-03-27 22:07	--------	d-----w-	C:\sh4ldr2015-03-27 22:07 . 2015-03-27 22:07	--------	d-----w-	c:\program files\Enigma Software Group2015-03-27 18:26 . 2015-03-27 18:27	--------	d-----w-	C:\NPE2015-03-27 18:11 . 2015-03-28 05:04	--------	d-----w-	c:\programdata\RogueKiller2015-03-20 20:53 . 2015-03-28 05:30	--------	d-----w-	c:\windows\system32\drivers\N360x64\1507000.00B2015-03-16 22:28 . 2015-03-16 22:28	--------	d-----w-	c:\users\windoudou\AppData\Roaming\Verimatrix2015-03-16 22:27 . 2007-03-12 15:42	3495784	----a-w-	c:\windows\SysWow64\d3dx9_33.dll2015-03-16 22:26 . 2015-03-16 22:26	--------	d-----w-	c:\program files (x86)\Verimatrix2015-03-16 22:26 . 2015-03-16 22:26	--------	d-----w-	c:\programdata\Verimatrix2015-03-12 17:04 . 2015-03-24 05:46	--------	d-----w-	c:\program files (x86)\PokerStars.FR2015-03-10 19:33 . 2015-02-03 03:34	94656	----a-w-	c:\windows\system32\drivers\mountmgr.sys2015-03-10 19:32 . 2015-02-03 03:31	215552	----a-w-	c:\windows\system32\ubpm.dll2015-03-10 19:31 . 2015-03-06 05:39	60416	----a-w-	c:\windows\system32\msobjs.dll2015-03-04 04:54 . 2015-03-04 04:54	--------	d-----w-	c:\users\windoudou\AppData\Roaming\Unity2015-03-04 04:47 . 2015-03-04 04:47	--------	d-----w-	c:\users\windoudou\AppData\Local\Unity2015-03-03 20:58 . 2015-01-09 03:14	91136	----a-w-	c:\windows\system32\wdi.dll2015-03-03 20:58 . 2015-01-09 03:14	950272	----a-w-	c:\windows\system32\perftrack.dll2015-03-03 20:58 . 2015-01-09 03:14	29696	----a-w-	c:\windows\system32\powertracker.dll2015-03-03 20:58 . 2015-01-09 02:48	76800	----a-w-	c:\windows\SysWow64\wdi.dll...((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   )))))))))))))))))))))))))))))))))))))))))))))))).2015-03-29 07:42 . 2014-10-21 18:07	129752	----a-w-	c:\windows\system32\drivers\MBAMSwissArmy.sys2015-03-16 18:20 . 2014-03-29 12:06	778928	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe2015-03-16 18:20 . 2014-03-29 12:06	142512	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl2015-03-11 02:03 . 2014-03-29 16:06	122905848	----a-w-	c:\windows\system32\MRT.exe2015-02-04 03:16 . 2015-02-11 04:09	609280	----a-w-	c:\windows\system32\generaltel.dll2015-02-04 03:16 . 2015-02-11 04:09	762368	----a-w-	c:\windows\system32\invagent.dll2015-02-04 03:16 . 2015-02-11 04:09	414720	----a-w-	c:\windows\system32\devinv.dll2015-02-04 03:16 . 2015-02-11 04:09	894976	----a-w-	c:\windows\system32\appraiser.dll2015-02-04 03:16 . 2015-02-11 04:09	227328	----a-w-	c:\windows\system32\aepdu.dll2015-02-04 03:16 . 2015-02-11 04:09	192000	----a-w-	c:\windows\system32\aepic.dll2015-02-04 03:13 . 2015-02-11 04:09	1098752	----a-w-	c:\windows\system32\aeinv.dll2015-01-27 23:36 . 2015-02-11 04:09	1239720	----a-w-	c:\windows\system32\aitstatic.exe2015-01-02 05:58 . 2014-08-05 17:55	320936	----a-w-	c:\windows\system32\javaws.exe2015-01-02 05:58 . 2014-08-05 17:55	191400	----a-w-	c:\windows\system32\javaw.exe2015-01-02 05:58 . 2014-08-05 17:55	190888	----a-w-	c:\windows\system32\java.exe2015-01-02 05:58 . 2014-08-05 17:55	111016	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll2015-01-02 05:56 . 2014-04-15 21:45	98216	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll..(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))..

Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4.[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dashlane"="c:\users\windoudou\AppData\Roaming\Dashlane\Dashlane.exe" [2015-02-17 227000]"Simple Sticky Notes"="c:\program files (x86)\Simnet\Simple Sticky Notes\ssn.exe" [2014-10-25 662384].[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"ConsentPromptBehaviorAdmin"= 5 (0x5)"ConsentPromptBehaviorUser"= 3 (0x3)"EnableUIADesktopToggle"= 0 (0x0).R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]R3 bdfwfpf_pc;bdfwfpf_pc;c:\program files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf_pc.sys;c:\program files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf_pc.sys [x]R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys;c:\windows\SYSNATIVE\DRIVERS\ssudbus.sys [x]R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys;c:\windows\SYSNATIVE\drivers\dmvsc.sys [x]R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]R3 ma-config_amd64;ma-config_amd64;c:\program files\ma-config.com\Drivers\ma-config_amd64.sys;c:\program files\ma-config.com\Drivers\ma-config_amd64.sys [x]R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\MBAMSwissArmy.sys;c:\windows\SYSNATIVE\drivers\MBAMSwissArmy.sys [x]R3 MyWiFiDHCPDNS;Wireless PAN DHCP Server;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe [x]R3 NETw5s64;Pilote de carte Intel(R) Wireless WiFi Link pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys;c:\windows\SYSNATIVE\DRIVERS\NETw5s64.sys [x]R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [x]R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\driversdpvideominiport.sys;c:\windows\SYSNATIVE\driversdpvideominiport.sys [x]R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys;c:\windows\SYSNATIVE\DRIVERS\ssudmdm.sys [x]R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys;c:\windows\SYSNATIVE\drivers\synth3dvsc.sys [x]R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers	erminpt.sys;c:\windows\SYSNATIVE\drivers	erminpt.sys [x]R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys;c:\windows\SYSNATIVE\drivers	susbflt.sys [x]R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]R3 tsusbhub;tsusbhub;c:\windows\system32\drivers	susbhub.sys;c:\windows\SYSNATIVE\drivers	susbhub.sys [x]R3 VGPU;VGPU;c:\windows\system32\driversdvgkmd.sys;c:\windows\SYSNATIVE\driversdvgkmd.sys [x]R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\N360x64\1507000.00B\SYMDS64.SYS;c:\windows\SYSNATIVE\drivers\N360x64\1507000.00B\SYMDS64.SYS [x]S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\N360x64\1507000.00B\SYMEFA64.SYS;c:\windows\SYSNATIVE\drivers\N360x64\1507000.00B\SYMEFA64.SYS [x]S1 BHDrvx64;BHDrvx64;c:\program files (x86)\Norton 360\NortonData\21.6.0.32\Definitions\BASHDefs\20150321.001_4a1\BHDrvx64.sys;c:\program files (x86)\Norton 360\NortonData\21.6.0.32\Definitions\BASHDefs\20150321.001_4a1\BHDrvx64.sys [x]S1 ccSet_N360;N360 Settings Manager;c:\windows\system32\drivers\N360x64\1507000.00B\ccSetx64.sys;c:\windows\SYSNATIVE\drivers\N360x64\1507000.00B\ccSetx64.sys [x]S1 IDSVia64;IDSVia64;c:\program files (x86)\Norton 360\NortonData\21.6.0.32\Definitions\IPSDefs\20150327.001\IDSvia64.sys;c:\program files (x86)\Norton 360\NortonData\21.6.0.32\Definitions\IPSDefs\20150327.001\IDSvia64.sys [x]S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\N360x64\1507000.00B\Ironx64.SYS;c:\windows\SYSNATIVE\drivers\N360x64\1507000.00B\Ironx64.SYS [x]S1 SymNetS;Symantec Network Security WFP Driver;c:\windows\System32\Drivers\N360x64\1507000.00B\SYMNETS.SYS;c:\windows\SYSNATIVE\Drivers\N360x64\1507000.00B\SYMNETS.SYS [x]S2 FoxitCloudUpdateService;Foxit Cloud Safe Update Service;c:\program files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe;c:\program files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe [x]S2 GfExperienceService;NVIDIA GeForce Experience Service;c:\program files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe;c:\program files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [x]S2 Intel(R) PROSet Monitoring Service;Intel(R) PROSet Monitoring Service;c:\windows\system32\IProsetMonitor.exe;c:\windows\SYSNATIVE\IProsetMonitor.exe [x]S2 MaConfigAgent;Ma-Config Agent;c:\program files\ma-config.com\MaConfigAgent.exe;c:\program files\ma-config.com\MaConfigAgent.exe [x]S2 N360;Norton 360;c:\program files (x86)\Norton 360\Engine\21.7.0.11\N360.exe;c:\program files (x86)\Norton 360\Engine\21.7.0.11\N360.exe [x]S2 NvNetworkService;NVIDIA Network Service;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [x]S2 NvStreamSvc;NVIDIA Streamer Service;c:\program files\NVIDIA Corporation\NvStreamSrv
vstreamsvc.exe;c:\program files\NVIDIA Corporation\NvStreamSrv
vstreamsvc.exe [x]S2 postgresql-8.4;postgresql-8.4 - PostgreSQL Server 8.4;c:\postgresql\bin\pg_ctl.exe runservice -N postgresql-8.4 -D c:/postgreSQL/data -w;c:\postgresql\bin\pg_ctl.exe runservice -N postgresql-8.4 -D c:/postgreSQL/data -w [x]S2 rimspci;rimspci;c:\windows\system32\DRIVERSimspe64.sys;c:\windows\SYSNATIVE\DRIVERSimspe64.sys [x]S2 rixdpcie;rixdpcie;c:\windows\system32\DRIVERSixdpe64.sys;c:\windows\SYSNATIVE\DRIVERSixdpe64.sys [x]S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]S2 ZeroConfigService;Intel(R) PROSet/Wireless Zero Configuration Service;c:\program files\Intel\WiFi\bin\ZeroConfigService.exe;c:\program files\Intel\WiFi\bin\ZeroConfigService.exe [x]S3 e1kexpress;Intel(R) Network Connections Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys;c:\windows\SYSNATIVE\DRIVERS\e1k62x64.sys [x]S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [x]S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys;c:\windows\SYSNATIVE\DRIVERS\HECIx64.sys [x]S3 NvStreamKms;NvStreamKms;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [x]S3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);c:\windows\system32\drivers
vvad64v.sys;c:\windows\SYSNATIVE\drivers
vvad64v.sys [x]..Contenu du dossier 'Tâches planifiées'.2015-03-30 c:\windows\Tasks\Adobe Flash Player Updater.job- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-03-29 18:20].2015-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-03-25 14:25].2015-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-03-25 14:25]..--------- X64 Entries -----------..[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"nwiz"="c:\program files\NVIDIA Corporation
view
wiz.exe" [2014-03-04 2728736]"NvBackend"="c:\program files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe" [2014-12-13 2531472]"ShadowPlay"="c:\windows\system32
vspcap64.dll" [2014-12-13 2824504]"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512].------- Examen supplémentaire -------.uLocal Page = c:\windows\system32\blank.htmuStart Page = hxxp://www.google.com/mStart Page = about:blankmLocal Page = c:\windows\SysWOW64\blank.htmIE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000TCP: DhcpNameServer = 192.168.1.110FF - ProfilePath - c:\users\windoudou\AppData\Roaming\Mozilla\Firefox\Profiles
i2hnh6t.default\FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr..------- Associations de fichier -------.inifile="%SystemRoot%\system32\NOTEPAD.EXE" %1txtfile="%SystemRoot%\system32\NOTEPAD.EXE" %1.- - - - ORPHELINS SUPPRIMES - - - -.HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start...[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N360]"ImagePath"="\"c:\program files (x86)\Norton 360\Engine\21.7.0.11\N360.exe\" /s \"N360\" /m \"c:\program files (x86)\Norton 360\Engine\21.7.0.11\diMaster.dll\" /prefetch:1"--.[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\postgresql-8.4]"ImagePath"="\"c:\postgresql\bin\pg_ctl.exe\" runservice -N \"postgresql-8.4\" -D \"c:/postgreSQL/data\" -w""ImagePath"="\SystemRoot\System32\Drivers\N360x64\1507000.00B\SYMNETS.SYS""TrustedImagePaths"="c:\program files (x86)\Norton 360\Engine\21.7.0.11;c:\program files (x86)\Norton 360\Engine64\21.7.0.11".--------------------- CLES DE REGISTRE BLOQUEES ---------------------.[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]@Denied: (A 2) (Everyone)@="FlashBroker""LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil64_16_0_0_305_ActiveX.exe,-101".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]"Enabled"=dword:00000001.[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]@="c:\Windows\system32\Macromed\Flash\FlashUtil64_16_0_0_305_ActiveX.exe".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]@Denied: (A 2) (Everyone)@="IFlashBroker6".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]@="{00020424-0000-0000-C000-000000000046}".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}""Version"="1.0".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]@Denied: (A 2) (Everyone)@="FlashBroker""LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_16_0_0_305_ActiveX.exe,-101".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]"Enabled"=dword:00000001.[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_16_0_0_305_ActiveX.exe".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]@Denied: (A 2) (Everyone)@="Shockwave Flash Object".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_16_0_0_305.ocx""ThreadingModel"="Apartment".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]@="0".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]@="ShockwaveFlash.ShockwaveFlash.16".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_16_0_0_305.ocx, 1".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]@="{D27CDB6B-AE6D-11cf-96B8-444553540000}".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]@="1.0".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]@="ShockwaveFlash.ShockwaveFlash".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]@Denied: (A 2) (Everyone)@="Macromedia Flash Factory Object".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_16_0_0_305.ocx""ThreadingModel"="Apartment".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]@="FlashFactory.FlashFactory.1".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_16_0_0_305.ocx, 1".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]@="{D27CDB6B-AE6D-11cf-96B8-444553540000}".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]@="1.0".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]@="FlashFactory.FlashFactory".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]@Denied: (A 2) (Everyone)@="IFlashBroker6".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]@="{00020424-0000-0000-C000-000000000046}".[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}""Version"="1.0".[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]@Denied: (A) (Users)@Denied: (A) (Everyone)@Allowed: (B 1 2 3 4 5) (S-1-5-20)"BlindDial"=dword:00000000"MSCurrentCountry"=dword:000000b5.[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]@Denied: (A) (Users)@Denied: (A) (Everyone)@Allowed: (B 1 2 3 4 5) (S-1-5-20)"BlindDial"=dword:00000000.[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]@Denied: (A) (Users)@Denied: (A) (Everyone)@Allowed: (B 1 2 3 4 5) (S-1-5-20)"BlindDial"=dword:00000000.[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]@Denied: (Full) (Everyone).Heure de fin: 2015-03-30  19:25:56ComboFix-quarantined-files.txt  2015-03-30 17:25.Avant-CF: 402 031 788 032 octets libresAprès-CF: 401 850 003 456 octets libres.- - End Of File - - A3DE4A73E3A6E6F099B85A7E68742ED4A36C5E4F47E84449FF07ED3517B43A31

Utilisateur anonyme · Answer

ok,

cherche et supprime ce répertoire :

c:\program files\Enigma Software Group

pour ADWC, je vais le remonter à Xplode pour contacter Norton !

redémarre le pc pour voir s'il fonctionne correctement, on poursuit après !

marsamandes80 · Answer

alors le pc va bien mais combo m 'a supprimé ma config de holdem manager logiciel de stat poker tu sais pourquoi il a fait ca ? le logiciel ne redémarre pas sniff ce sont des stats depuis plus de 4 ans que j'ai dessus

Utilisateur anonyme · Answer

Combofix est assez bizarre !

il supprime parfois des trucs légitimes et on ne sait pas pour quoi !

tes données ne sont pas perdu,

pour tes données de poker, tu peux les récupérer dans le répertoire Qoobox se trouvant à la racine du disque dur !

pour maconfig, tu peux la désinstaller et réinstaller tout simplement !

Utilisateur anonyme · Answer

normalement, si tu restaures le pc, ça va fonctionner, même avec le backup !

Utilisateur anonyme · Answer

ok, mais remets moi un nouveau rapport de Zhpdiag pour voir ce qu'il en reste après la restauration, aide toi de ce poste  :

https://forums.commentcamarche.net/forum/affich-31760795-aide-desinfection-pour-possible-trojan-suspicious-cloud-7-ep#5

marsamandes80 · Answer

Bonjour,

désolée je n'ai pas pu venir hier voici le rapport

https://www.cjoint.com/?3DcgWJ8lYUH

c'est super sympa de passer autant de temps à nous aider au fait ;)

Utilisateur anonyme · Answer

bonjour,

redémarre le pc et regarde s'il fonctionne bien, on va désinstaller les outils et voir ce qu'il dit ton antivirus après  :-)

marsamandes80 · Answer

le pc fonctionne très bien j 'attends tes instructions donc 

merci

Utilisateur anonyme · Answer

Télécharge Delfix sur ton bureau : 

https://toolslib.net/downloads/viewdownload/2-delfix/

ou 

 


Coche les cases suivantes : 
=> Supprimer les outils de désinfection (coché par défaut) 
=> Purger la restauration système
 

 Clique ensuite sur Exécuter puis patiente pendant le processus de suppression. 
 Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau 
 Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport 
 le rapport est stocké à cet emplacement : C:\DelFix.txt 
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.

Note :
Delfix ne désinstalle pas MBAM, à toi de voir si tu souhaites le conserver ou désinstaller.




fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

marsamandes80 · Answer

Norton me dit aucune menaces et voici le résultat du désinstallateur. Un grand merci pour tout c est super sympa.

# DelFix v10.9 - Rapport créé le 02/04/2015 à 20:40:41# Mis à jour le 27/02/2015 par Xplode# Nom d'utilisateur : windoudou - WINDOUDOU-PC# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)~ Suppression des outils de désinfection ...Supprimé : C:\QooboxSupprimé : C:\CombofixSupprimé : C:\AdwCleanerSupprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHPSupprimé : C:\Program Files (x86)\ZHPDiagSupprimé : C:\ComboFix.txtSupprimé : C:\PhysicalDisk0_MBR.binSupprimé : C:\Users\windoudou\Desktop\ComboFix.exeSupprimé : C:\Users\windoudou\Desktop\ZHPDiag.lnkSupprimé : C:\Users\windoudou\Desktop\ZHPDiag.txtSupprimé : C:\Users\windoudou\Desktop\ZHPDiag2.exeSupprimé : C:\Users\windoudou\Desktop\ZHPFix.lnkSupprimé : C:\Users\windoudou\Desktop\ZHPFixReport.txtSupprimé : C:\Windows\grep.exeSupprimé : C:\Windows\PEV.exeSupprimé : C:\Windows\NIRCMD.exeSupprimé : C:\Windows\MBR.exeSupprimé : C:\Windows\SED.exeSupprimé : C:\Windows\SWREG.exeSupprimé : C:\Windows\SWSC.exeSupprimé : C:\Windows\SWXCACLS.exeSupprimé : C:\Windows\Zip.exeSupprimée : HKCU\console_combofixbackupSupprimée : HKLM\SOFTWARE\AdwCleanerSupprimée : HKLM\SOFTWARE\SwearwareSupprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exeSupprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStartSupprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.SysSupprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStartSupprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys~ Purge de la restauration système ...Supprimé : RP #97 [Point de contrôle planifié | 03/24/2015 16:26:23]Supprimé : RP #98 [Windows Update | 03/26/2015 04:54:35]Supprimé : RP #99 [Revo Uninstaller's restore point - Spybot - Search & Destroy | 03/27/2015 20:21:20]Supprimé : RP #100 [Installed SpyHunter | 03/27/2015 22:06:43]Supprimé : RP #101 [Opération de restauration | 03/28/2015 04:59:02]Supprimé : RP #102 [ComboFix created restore point | 03/30/2015 17:12:05]Supprimé : RP #103 [Opération de restauration | 03/30/2015 19:53:08]Nouveau point de restauration créé !########## - EOF - ##########

Utilisateur anonyme · Answer

super, sur ce, bon surf  :-)

afideg · Answer

Re,
Juste faire remonter le topic dans "Mes discussions suivies".
Merci.
Albert

Aide désinfection pour possible trojan Suspicious.Cloud.7.EP ?

28 réponses

Discussions similaires

Newsletters