Sujet Précédent Sujet Suivant

PC infécté récurrent

Fermé
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012 - 5 août 2012 à 02:07
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012 - 15 août 2012 à 23:47

Bonjour,

j'ai été infecté par le vrus live security.
j'ai exécuté rogue killet et MBAM
J'ai réussi à le supprimer mais je suis ouvent infecté.
Merci de m'aider à nettoyer mon pc définitivement SVP

RAPPORT ROGUEKILLER
RogueKiller V7.4.5 [18/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec
Utilisateur: Arame [Droits d'admin]
Mode: Suppression -- Date: 03/08/2012 04:57:21

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\RunOnce : 0C1D1734004734DE02607061F875F002 (C:\ProgramData\0C1D1734004734DE02607061F875F002\0C1D1734004734DE02607061F875F002.exe) -> DELETED
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5B159DBA-C247-46A2-A731-21B5A9298F13} : NameServer (213.154.64.13,213.154.95.126) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5B159DBA-C247-46A2-A731-21B5A9298F13} : NameServer (213.154.64.13,213.154.95.126) -> NOT REMOVED, USE DNSFIX

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST310005 28AS SCSI Disk Device +++++
--- User ---
[MBR] 938ffbf2a075893ffd5a1b6154002a6c
[BSP] 726aa11bd9ee5773bb82173856be82b9 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt


RAPPORT MBAM

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.27.10

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
Arame :: ARAMEPC [administrateur]

03/08/2012 05:18:01
mbam-log-2012-08-03 (05-18-01).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 467449
Temps écoulé: 54 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\Arame\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 2
C:\Users\Arame\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Arame\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

(fin)
A voir également:

47 réponses

Réponse 1 / 47
seb40140 Messages postés 102 Date d'inscription dimanche 21 août 2011 Statut Membre Dernière intervention 21 janvier 2018 3
5 août 2012 à 02:20
Salut ZEY15, si tu la effacer et qu'il y est toujours c'est qu'il a infecté d'autre fichier, dans ce cas il faut que reboot ton pc au jour ou tu l'a eu ce virus. Ci cela fait trop longtemps que tu l'a eu sauvegarde t'es données et reboot le mais avec le disque d'installation... donne moi des news... :) a plus.
0
Réponse 2 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
5 août 2012 à 10:46
Merci seb40140
En fait là il n' y est plus.Mais j'ai l'impression que mon ordinateur est infecté par d'autres virus.car j'en ai souvent.Je veux qu'on m'aide à le rendre propre
0
Réponse 3 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
6 août 2012 à 00:28
mon windowsupdate ne fonctionne pas.Après plusieurs recherches que j'ai appliquées j'ai pu voir que j'avais 43 mises à jour importantes à télécharger.Mais en essayant de télécharger j'ai l'erreur 80246008 et donc pour résoudre ce problème je me suis rendu compte que je ne trouve pas le Service de transfert intelligent en arrière-plan(BITS).
Et donc à ce niveau j'ai besoin d'aide.Merci
0
Réponse 4 / 47
Utilisateur anonyme
6 août 2012 à 01:03
salut dezippe ca lance le fichier reg accepte les modifications puis redemarre le pc

http://www.archive-host.com
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
6 août 2012 à 17:42
Merci beaucoup. Après l'exécution du fichier les téléchargement sont en cours avec windows update.Je vous reviens après mise à jour complète
0
Réponse 6 / 47
Utilisateur anonyme
6 août 2012 à 22:30
ok parfait
0
Réponse 7 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
6 août 2012 à 23:22
c'est bon j'ai pu télécharger toutes les 43 MAJ comme lettre à la poste. Seulement là ce soir pour installer le composant KB2680317 j'ai le message d'erreur code 646. Quand j'ai télécharger le composant pour une installation manuelle j'ai le message suivant" Le composant que vous essayez d'utiliser se trouve sur une ressource réseau non disponible"
0
Réponse 8 / 47
Utilisateur anonyme
6 août 2012 à 23:24
Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
0
Réponse 9 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
6 août 2012 à 23:41
ok en cours dans quelques minutes et je vous reviens
0
Réponse 10 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
7 août 2012 à 00:43
c'est fait
ci dessous le lien

merci

https://pjjoint.malekal.com/files.php?id=20120807_j14n14q8k7l9
0
Réponse 11 / 47
Utilisateur anonyme
7 août 2012 à 00:49
tu te trouves au sénégal ?
0
Réponse 12 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
7 août 2012 à 00:50
oui
0
Réponse 13 / 47
Utilisateur anonyme
7 août 2012 à 01:11
desinstalle spybot il sert à rien et heureusement que je t'ai dit de desactiver tes protections le teatimer de spybot tournait encore pendant le lancement
desinstalle adobe reader 9
desinstalle tout java

=====================


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur


0
Réponse 14 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
7 août 2012 à 02:53
ci dessous le rapport demandé.(je vais au dodo jusqu'à demain.et merci pour le support)
ComboFix 12-08-05.02 - Arame 07/08/2012 0:32.1.2 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4095.2580 [GMT 0:00]
Lancé depuis: c:\users\Arame\Desktop\nettoyage.exe
AV: AntiVir Desktop *Enabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\data
c:\data\default\fr_sres.data
c:\program files (x86)\Common Files\Acer GameZone online.ico
c:\users\Arame\AppData\Roaming\.#
c:\users\Arame\Documents\~WRL0001.tmp
c:\users\Arame\Documents\~WRL0002.tmp
c:\users\Arame\Documents\~WRL0003.tmp
c:\users\Arame\Documents\~WRL0004.tmp
c:\users\Arame\Documents\~WRL0005.tmp
c:\users\Arame\Documents\~WRL0006.tmp
c:\users\Arame\Documents\~WRL0007.tmp
c:\users\Arame\Documents\~WRL0008.tmp
c:\users\Arame\Documents\~WRL0009.tmp
c:\users\Arame\Documents\~WRL0010.tmp
c:\users\Arame\Documents\~WRL0011.tmp
c:\users\Arame\Documents\~WRL0012.tmp
c:\users\Arame\Documents\~WRL0013.tmp
c:\users\Arame\Documents\~WRL0014.tmp
c:\users\Arame\Documents\~WRL0015.tmp
c:\users\Arame\Documents\~WRL0030.tmp
c:\users\Arame\Documents\~WRL0248.tmp
c:\users\Arame\Documents\~WRL1554.tmp
c:\users\Arame\Documents\~WRL1707.tmp
c:\users\Arame\Documents\~WRL3288.tmp
c:\users\Arame\Documents\~WRL3633.tmp
c:\users\Arame\Documents\LockerFunction.dll
c:\windows\iun6002.exe
D:\install.exe
.
Une copie infectée de c:\windows\System32\mtstocom.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-com-complus-setup_31bf3856ad364e35_6.1.7600.16385_none_459ccaf008ff34f6\mtstocom.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-07 au 2012-08-07 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-07 00:41 . 2012-08-07 00:41 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-07 00:41 . 2012-08-07 00:41 -------- d-----w- c:\users\Manel\AppData\Local\temp
2012-08-06 21:45 . 2012-08-06 22:27 -------- d-----w- C:\Pre_Scan
2012-08-06 21:09 . 2012-08-06 21:09 2231808 ----a-w- C:\Works9_KB2680317_fr-FR.msp
2012-08-06 16:00 . 2012-06-12 03:08 3148800 ----a-w- c:\windows\system32\win32k.sys
2012-08-06 15:31 . 2012-05-01 05:40 209920 ----a-w- c:\windows\system32\profsvc.dll
2012-08-06 15:29 . 2012-04-24 05:37 1462272 ----a-w- c:\windows\system32\crypt32.dll
2012-08-05 21:13 . 2012-06-02 22:19 2428952 ----a-w- c:\windows\system32\wuaueng.dll
2012-08-05 21:13 . 2012-06-02 22:19 57880 ----a-w- c:\windows\system32\wuauclt.exe
2012-08-05 21:13 . 2012-06-02 22:19 44056 ----a-w- c:\windows\system32\wups2.dll
2012-08-05 21:13 . 2012-06-02 22:15 2622464 ----a-w- c:\windows\system32\wucltux.dll
2012-08-05 21:13 . 2012-06-02 22:19 38424 ----a-w- c:\windows\system32\wups.dll
2012-08-05 21:13 . 2012-06-02 22:19 701976 ----a-w- c:\windows\system32\wuapi.dll
2012-08-05 21:13 . 2012-06-02 22:15 99840 ----a-w- c:\windows\system32\wudriver.dll
2012-08-05 21:13 . 2012-06-02 15:19 186752 ----a-w- c:\windows\system32\wuwebv.dll
2012-08-05 21:13 . 2012-06-02 15:15 36864 ----a-w- c:\windows\system32\wuapp.exe
2012-08-05 08:41 . 2012-08-05 08:41 -------- d-----w- c:\users\Arame\AppData\Local\Macromedia
2012-08-02 11:33 . 2012-08-06 12:31 -------- d-----w- c:\programdata\0C1D1734004734DE02607061F875F002
2012-07-13 14:48 . 2012-07-13 14:48 -------- d-----w- c:\programdata\e-express
2012-07-13 14:46 . 2012-07-13 14:49 -------- d-----w- c:\programdata\DatacardService
2012-07-11 08:46 . 2012-07-11 08:46 -------- d-s---w- c:\windows\SysWow64\%APPDATA%
2012-07-08 22:02 . 2012-07-08 22:02 770384 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr100.dll
2012-07-08 22:02 . 2012-07-08 22:02 421200 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp100.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-05 21:07 . 2012-06-02 14:10 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-08-05 21:07 . 2011-07-12 21:06 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-03 13:46 . 2010-02-07 15:38 24904 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-03 03:19 . 2010-02-07 13:36 59701280 ----a-w- c:\windows\system32\MRT.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}"= "c:\program files (x86)\Yahoo!\Companion\Installs\cpn2\yt.dll" [2012-06-11 1524056]
.
[HKEY_CLASSES_ROOT\clsid\{81017ea9-9aa8-4a6a-9734-7af40e7d593f}]
[HKEY_CLASSES_ROOT\yt.YTNavAssistPlugin.1]
[HKEY_CLASSES_ROOT\TypeLib\{003028C2-EA1C-4676-A316-B5CB50917002}]
[HKEY_CLASSES_ROOT\yt.YTNavAssistPlugin]
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2009-08-06 17:18 120104 ----a-w- c:\program files (x86)\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-14 39408]
"Search Protection"="c:\program files (x86)\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-07-23 5661056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-08-12 261888]
"Hotkey Utility"="c:\program files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe" [2009-08-18 629280]
"EgisTecLiveUpdate"="c:\program files (x86)\EgisTec Egis Software Update\EgisUpdate.exe" [2009-08-04 199464]
"NortonOnlineBackupReminder"="c:\program files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-07-24 588648]
"YSearchProtection"="c:\program files (x86)\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"ANIWZCS2Service"="c:\program files (x86)\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless 108G DWA-120"="c:\program files (x86)\D-Link\D-Link Wireless 108G DWA-120\AirPlusCFG.exe" [2007-09-27 1671168]
"MSN Toolbar"="c:\program files (x86)\MSN Toolbar\Platform\4.0.0357.1\mswinext.exe" [2009-11-16 240992]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-07-17 288080]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-08-19 421736]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnablELUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer4"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 e-express. RunOuc;e-express. OUC;c:\program files (x86)\e-express\UpdateDog\ouc.exe [2012-07-13 655712]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-02 135664]
R2 HP LaserJet Service;HP LaserJet Service;c:\program files (x86)\HP\HPLaserJetService\HPLaserJetService.exe [2010-04-12 142336]
R3 A5AGU;D-Link Wireless LAN 802.11 USB device driver;c:\windows\system32\DRIVERS\AGUx64.sys [2007-10-08 1063936]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-05 250056]
R3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\DRIVERS\ew_hwusbdev.sys [2012-07-13 117248]
R3 ewusbmbb;HUAWEI USB-WWAN miniport;c:\windows\system32\DRIVERS\ewusbwwan.sys [2012-07-13 439808]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-02 135664]
R3 jswpsapi;Jumpstart Wifi Protected Setup;c:\program files (x86)\D-Link\D-Link Wireless 108G DWA-120\JSWUtilVst\jswpsapi.exe [2007-09-21 942080]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-26 113120]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-05-10 51712]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-18 1255736]
S1 JSWPSLWF;JumpStart Wireless Filter Driver;c:\windows\system32\DRIVERS\jswpslwfx.sys [2007-08-31 26624]
S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [2009-06-02 22576]
S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [2009-06-02 20016]
S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [2009-06-02 60464]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV64.SYS [2011-07-22 14928]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL64.SYS [2011-07-12 12368]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE64.EXE [2011-08-11 140672]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 Greg_Service;GRegService;c:\program files (x86)\Acer\Registration\GregHSRW.exe [2009-06-04 1150496]
S2 HWDeviceService64.exe;HWDeviceService64.exe;c:\programdata\DatacardService\HWDeviceService64.exe [2011-03-14 346976]
S2 MWLService;MyWinLocker Service;c:\program files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe [2009-08-06 311592]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-08-12 62208]
S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2009-07-04 240160]
S3 HPFXBULKLEDM;HPFXBULKLEDM;c:\windows\system32\drivers\hppdbulkio.sys [2010-05-12 22328]
S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys [2012-07-13 90112]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2009-06-26 83488]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-02 21:07]
.
2012-08-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-02 14:04]
.
2012-08-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-02 14:04]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2009-08-06 17:19 137512 ----a-w- c:\program files (x86)\EgisTec\MyWinLocker 3\x64\PSDProtect.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-20 7981088]
"mwlDaemon"="c:\program files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2009-08-06 349480]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 16333856]
"HP CP1020 System Tray"="c:\program files\HP\HP LaserJet Professional CP1020 Series\HPCP1020STRAY.EXE" [2010-05-12 3348792]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uLocal Page = c:\windows\System32\blank.htm
mLocal Page = c:\windows\System32\blank.htm
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvLsp.dll
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{452A6B1A-6EEE-43B8-9FA0-0463684A8EE9}: NameServer = 213.154.64.13 213.154.95.126
TCP: Interfaces\{5B159DBA-C247-46A2-A731-21B5A9298F13}: NameServer = 213.154.64.13,213.154.95.126
FF - ProfilePath - c:\users\Arame\AppData\Roaming\Mozilla\Firefox\Profiles\zdcdzbvf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.sn
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-mcmscsvc
SafeBoot-MCODS
SafeBoot-SRService
Toolbar-Locked - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-676141594-2078631836-238709469-1000\RemoteAccess\Profile\ £o*]
"AutoConnect"=dword:00000000
.
[HKEY_USERS\S-1-5-21-676141594-2078631836-238709469-1000\RemoteAccess\Profile\*(©o*]
"AutoConnect"=dword:00000000
.
[HKEY_USERS\S-1-5-21-676141594-2078631836-238709469-1000\RemoteAccess\Profile\¸(Öo*]
"AutoConnect"=dword:00000000
.
[HKEY_USERS\S-1-5-21-676141594-2078631836-238709469-1000\RemoteAccess\Profile\0So*]
"AutoConnect"=dword:00000000
.
[HKEY_USERS\S-1-5-21-676141594-2078631836-238709469-1000\RemoteAccess\Profile\hX+o*]
"AutoConnect"=dword:00000000
.
[HKEY_USERS\S-1-5-21-676141594-2078631836-238709469-1000\RemoteAccess\Profile\ Yço*]
"AutoConnect"=dword:00000000
.
[HKEY_USERS\S-1-5-21-676141594-2078631836-238709469-1000\RemoteAccess\Profile\XZ o*]
"AutoConnect"=dword:00000000
.
[HKEY_USERS\S-1-5-21-676141594-2078631836-238709469-1000\RemoteAccess\Profile\pi+o*]
"AutoConnect"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_270_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_270_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\programdata\e-express\OnlineUpdate\ouc.exe
c:\program files (x86)\EgisTec\MyWinLocker 3\x86\MWLService.exe
c:\program files (x86)\Yahoo!\SoftwareUpdate\YahooAUService.exe
.
**************************************************************************
.
Heure de fin: 2012-08-07 00:49:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-08-07 00:49
.
Avant-CF: 403 740 336 128 octets libres
Après-CF: 403 284 570 112 octets libres
.
- - End Of File - - AFC80079381105BCAA9E283A9E4E70AF
0
Réponse 15 / 47
Utilisateur anonyme
7 août 2012 à 20:50
re

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\drivers\hppdbulkio.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

====================

bon quand tu m'ecouteras on pourra travailler serieusement....
0
Réponse 16 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
7 août 2012 à 23:01
ok en cours. Je te reviens
0
Réponse 17 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
7 août 2012 à 23:13
ce fichier n'est pas visible lorsque je passe par virustotal (donc je ne peux pas l'analyser) mais quand j'explore mon ordinateur je le vois.
0
Réponse 18 / 47
Utilisateur anonyme
7 août 2012 à 23:16
copie-le sur ton bureau et analyse -le à partir de là
0
Réponse 19 / 47
zey15 Messages postés 28 Date d'inscription dimanche 5 août 2012 Statut Membre Dernière intervention 15 août 2012
7 août 2012 à 23:19
ci dessous le lien


https://www.virustotal.com/gui/file/e085833e901ffbab7ab593dd4990246f0fd188a596ce86530126797081c7059a
0
Réponse 20 / 47
Utilisateur anonyme
7 août 2012 à 23:25
desinstalle antivir et repasse combofix
0