probleme de logiciel malveillant win32malwareRésolu/Fermé

Question

Bonjour, 

j'ai un souci 
après avoir attrapé et mettre débarrassé du virus (malware) de la gendarmerie j'ai réinstallé la nouvelle version de Avast mais la problème
tout les 2 minute j'ai un message qui me dit que j'ai une infection win32malware gen
que dois-je faire 
merci a vous

Configuration: Windows Vista / Firefox 14.0.1

g3n-h@ckm@n · Answer

salut


Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

darkromain2604 · Answer

salut 
j'ai donc fait ce que tu m'a dit mais impossible de finir le test le pc plante a un moment 
une fenêtre s'affiche me disant que ma corbeille n'est pas vide( alors que oui) je clique sur OK ou sur annuler sa reaffiche la fenêtre puis un message d'erreur s'affiche

g3n-h@ckm@n · Answer

mmm....tu es sure d avoir tout bien desactivé ? prends la version .pif et lance-la en mode sans echec.

darkromain2604 · Answer

je ne peux pas désactiver mon parfeu un message s'affiche en me disant que un problème inconnue bloque l'accès aux paramètres

g3n-h@ckm@n · Answer

https://forums.commentcamarche.net/forum/affich-25762565-probleme-de-logiciel-malveillant-win32malware#3

darkromain2604 · Answer

je test sa des que possible et je vous tien au courant

g3n-h@ckm@n · Answer

ok

darkromain2604 · Answer

bonjour,
toujours le meme probleme en mode sans echec pareil le meme probleme 
meme avec la version pif 
impossible de desactiver mon parfeu ni de le mettre a jour

g3n-h@ckm@n · Answer

retelecharge-le

darkromain2604 · Answer

mon pare feu? ou le logiciel que tu m'a recommandé
????

g3n-h@ckm@n · Answer

ben le logiciel....

darkromain2604 · Answer

même problème 
je ne peux toujours rien faire

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

darkromain2604 · Answer

le programme se lance scan puis se ferme tout seul a la fin mais je ne trouve pas de fichier texte

g3n-h@ckm@n · Answer

tu l'as renommé comme indiqué ?

darkromain2604 · Answer

mea culpa voici le texte
ComboFix 12-08-07.03 - darkromain2604 07/08/2012  22:17:49.1.2 - x64 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3837.3054 [GMT 2:00]
Lancé depuis: c:\users\darkromain2604\Desktop\cequetuveux.exe
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata
qeyofoutubgydm
c:\programdata\qomowengjrikpqs
c:\users\darkromain2604\errorlog.tmp
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
.
c:\windows\system32\services.exe . . . est infecté!!
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-07-07 au 2012-08-07  ))))))))))))))))))))))))))))))))))))
.
.
2012-08-05 13:46 . 2012-08-07 19:44	--------	d-----w-	C:\Pre_Scan
2012-08-03 07:24 . 2012-07-03 16:21	958400	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-08-03 07:24 . 2012-07-03 16:21	285328	----a-w-	c:\windows\system32\aswBoot.exe
2012-08-03 07:15 . 2012-07-03 16:21	41224	----a-w-	c:\windows\avastSS.scr
2012-08-03 07:15 . 2012-08-03 07:15	--------	d-----w-	c:\program files\AVAST Software
2012-07-11 23:59 . 2012-07-11 23:59	--------	d-----w-	c:\programdata\moosoft
2012-07-11 21:17 . 2012-07-11 21:17	--------	d-----w-	c:\users\darkromain2604\AppData\Roaming	hecleaner
2012-07-11 21:16 . 2012-08-05 11:17	--------	d-----w-	c:\program files (x86)\The Cleaner
2012-07-11 19:34 . 2012-07-11 19:34	--------	d-----w-	c:\users\darkromain2604\AppData\Roaming\Malwarebytes
2012-07-11 19:34 . 2012-07-24 13:06	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-07-11 19:34 . 2012-07-11 19:34	--------	d-----w-	c:\programdata\Malwarebytes
2012-07-11 19:34 . 2012-07-03 11:46	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-11 18:03 . 2012-07-11 18:03	--------	d-----w-	C:\_OTL
2012-07-11 06:09 . 2012-07-11 06:09	--------	d-----w-	c:\programdata\kyidzeqpbhwfdge
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-08 07:35 . 2012-03-31 05:06	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-08 07:35 . 2012-03-30 05:49	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-03 16:21 . 2010-01-01 13:58	59728	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-07-03 16:21 . 2010-01-01 13:58	44272	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2012-07-03 16:21 . 2010-01-01 13:58	71064	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-07-03 16:21 . 2010-01-01 13:58	355856	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-07-03 16:21 . 2010-01-01 13:58	25232	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-07-03 16:21 . 2010-01-01 13:58	227648	----a-w-	c:\windows\SysWow64\aswBoot.exe
2012-06-14 05:56 . 2006-11-02 12:35	58957832	----a-w-	c:\windows\system32\mrt.exe
2012-06-02 22:19 . 2012-06-21 08:44	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-21 08:44	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-21 08:44	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-21 08:44	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-21 08:44	35864	----a-w-	c:\windows\SysWow64\wups.dll
2012-06-02 22:19 . 2012-06-21 08:44	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-21 08:44	577048	----a-w-	c:\windows\SysWow64\wuapi.dll
2012-06-02 22:15 . 2012-06-21 08:44	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-21 08:44	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 22:12 . 2012-06-21 08:44	88576	----a-w-	c:\windows\SysWow64\wudriver.dll
2012-06-02 13:19 . 2012-06-21 08:44	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:19 . 2012-06-21 08:44	171904	----a-w-	c:\windows\SysWow64\wuwebv.dll
2012-06-02 13:15 . 2012-06-21 08:44	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-02 13:12 . 2012-06-21 08:44	33792	----a-w-	c:\windows\SysWow64\wuapp.exe
2012-05-31 04:04 . 2012-07-07 07:53	9013136	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FA052342-E7D8-4744-8685-25A047B8EECE}\mpengine.dll
2012-05-31 04:04 . 2012-07-06 06:07	9013136	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-05-18 02:47 . 2012-06-14 05:58	17807360	----a-w-	c:\windows\system32\mshtml.dll
2012-05-18 02:16 . 2012-06-14 05:58	10924032	----a-w-	c:\windows\system32\ieframe.dll
2012-05-18 02:06 . 2012-06-14 05:58	2311680	----a-w-	c:\windows\system32\jscript9.dll
2012-05-18 01:59 . 2012-06-14 05:58	1346048	----a-w-	c:\windows\system32\urlmon.dll
2012-05-18 01:59 . 2012-06-14 05:58	1392128	----a-w-	c:\windows\system32\wininet.dll
2012-05-18 01:58 . 2012-06-14 05:58	1494528	----a-w-	c:\windows\system32\inetcpl.cpl
2012-05-18 01:58 . 2012-06-14 05:58	237056	----a-w-	c:\windows\system32\url.dll
2012-05-18 01:56 . 2012-06-14 05:58	85504	----a-w-	c:\windows\system32\jsproxy.dll
2012-05-18 01:55 . 2012-06-14 05:58	173056	----a-w-	c:\windows\system32\ieUnatt.exe
2012-05-18 01:55 . 2012-06-14 05:58	818688	----a-w-	c:\windows\system32\jscript.dll
2012-05-18 01:54 . 2012-06-14 05:58	2144768	----a-w-	c:\windows\system32\iertutil.dll
2012-05-18 01:51 . 2012-06-14 05:58	96768	----a-w-	c:\windows\system32\mshtmled.dll
2012-05-18 01:51 . 2012-06-14 05:58	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2012-05-18 01:47 . 2012-06-14 05:58	248320	----a-w-	c:\windows\system32\ieui.dll
2012-05-17 22:45 . 2012-06-14 05:58	1800192	----a-w-	c:\windows\SysWow64\jscript9.dll
2012-05-17 22:35 . 2012-06-14 05:58	1129472	----a-w-	c:\windows\SysWow64\wininet.dll
2012-05-17 22:35 . 2012-06-14 05:58	1427968	----a-w-	c:\windows\SysWow64\inetcpl.cpl
2012-05-17 22:29 . 2012-06-14 05:58	142848	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2012-05-17 22:24 . 2012-06-14 05:58	2382848	----a-w-	c:\windows\SysWow64\mshtml.tlb
2012-05-16 06:44 . 2012-05-16 06:44	476960	----a-w-	c:\windows\SysWow64
pdeployJava1.dll
2012-05-16 06:44 . 2010-07-06 14:46	472864	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-05-15 20:15 . 2012-06-13 05:15	2767360	----a-w-	c:\windows\system32\win32k.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-04-11 . BC81150939BD52DBC7A08C245F1FB229 . 384512 . . [6.0.6000.16386] .. c:\windows\system32\services.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-07-03 4273976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - ECACHE
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 12:24	451872	----a-w-	c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-28 c:\windows\Tasks\HPCeeScheduleFordarkromain2604.job
- c:\program files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe [2009-02-10 19:01]
.
2012-06-07 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2008-11-05 18:26]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-07-03 16:21	133400	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Pavilion&pf=cndt
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
LSP: mswsock.dll
Trusted Zone: chat-land.org
TCP: DhcpNameServer = 192.168.1.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\darkromain2604\AppData\Roaming\Mozilla\Firefox\Profiles\frnyv5ez.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - google.com
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-MsMpSvc
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{8AAF211B-043E02A9-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC_x64.pkms"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files (x86)\Hewlett-Packard\Media\DVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-4278539566-3104032325-1061396718-1000\Software\SecuROM\License information*]
"datasecu"=hex:5c,62,d8,9a,3e,87,4f,f2,c5,99,d4,ea,45,63,db,dc,b4,00,c9,09,79,
   57,42,33,24,23,fe,74,99,0e,cc,d0,23,4d,17,86,0b,45,f1,32,2f,30,1a,ae,84,1f,\
"rkeysecu"=hex:f0,30,c9,df,2d,08,d8,34,eb,d5,9a,b0,71,93,b0,c1
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\CDBurnerXP\NMSAccessU.exe
c:\program files (x86)\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
c:\program files (x86)\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe
c:\windows\SysWOW64\conime.exe
c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
c:\windows\SysWOW64\conime.exe
.
**************************************************************************
.
Heure de fin: 2012-08-07  22:33:04 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-08-07 20:33
.
Avant-CF: 490 294 517 760 octets libres
Après-CF: 490 167 992 320 octets libres
.
- - End Of File - - EEEA2DDBA88D56B9F4015AB66FE243A9

g3n-h@ckm@n · Answer

retente pre_scan

darkromain2604 · Answer

rien de neuf toujours cette histoire de cordeille :-/

g3n-h@ckm@n · Answer

elle est pleine ?

darkromain2604 · Answer

non elle est vide

g3n-h@ckm@n · Answer

poste le bout de rapport de pre_scan que tu as dans c:\ stp via l hebergeur comme indiqué

darkromain2604 · Answer

je n'ai aucun rapport car  une fois ces deux message affichés le pc plante

g3n-h@ckm@n · Answer

poste le bout de rapport de pre_scan que tu as dans c:\ stp via l hebergeur comme indiqué

darkromain2604 · Answer

c'est la seul chose que j'ai trouvé j'espère que c'est cela
¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.805 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤

~ Update on 05/08/2012 | 13.45 by g3n-h@ckm@n
~ Informations | Evolution : http://gen-hackman.forum-pro.fr/t64-historique-de-l-outil
~ Informations for the switches Pre_Script : http://gen-hackman.forum-pro.fr/t89-les-switchs
~ Feedback Pre_scan : http://gen-hackman.forum-pro.fr/t93-feedback-pre_scan#505
~ Thx to C_XX , Slyk & Saachaa for their help to the evolution of the tool

~ User : darkromain2604 (Administrateurs) | SID = S-1-5-21-4278539566-3104032325-1061396718-1000
~ Computer : PC-DE-ROMAIN

~ System : Windows (TM) Vista Home Premium (64 bits)  Service Pack 2
~ Registered under : Microsoft
~ Registered under : Microsoft
~ Processor : Intel(R) Pentium(R) Dual  CPU  E2220  @ 2.40GHz
~ Identification : Intel64 Family 6 Model 15 Stepping 13

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.805 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤

~ Update on 05/08/2012 | 13.45 by g3n-h@ckm@n
~ Informations | Evolution : http://gen-hackman.forum-pro.fr/t64-historique-de-l-outil
~ Informations for the switches Pre_Script : http://gen-hackman.forum-pro.fr/t89-les-switchs
~ Feedback Pre_scan : http://gen-hackman.forum-pro.fr/t93-feedback-pre_scan#505
~ Thx to C_XX , Slyk & Saachaa for their help to the evolution of the tool

~ User : darkromain2604 (Administrateurs) | SID = S-1-5-21-4278539566-3104032325-1061396718-1000
~ Computer : PC-DE-ROMAIN

~ System : Windows (TM) Vista Home Premium (64 bits)  Service Pack 2
~ Registered under : Microsoft
~ Registered under : Microsoft
~ Processor : Intel(R) Pentium(R) Dual  CPU  E2220  @ 2.40GHz
~ Identification : Intel64 Family 6 Model 15 Stepping 13

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.805 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤

~ Update on 05/08/2012 | 13.45 by g3n-h@ckm@n
~ Informations | Evolution : http://gen-hackman.forum-pro.fr/t64-historique-de-l-outil
~ Informations for the switches Pre_Script : http://gen-hackman.forum-pro.fr/t89-les-switchs
~ Feedback Pre_scan : http://gen-hackman.forum-pro.fr/t93-feedback-pre_scan#505
~ Thx to C_XX , Slyk & Saachaa for their help to the evolution of the tool

~ User : darkromain2604 (Administrateurs) | SID = S-1-5-21-4278539566-3104032325-1061396718-1000
~ Computer : PC-DE-ROMAIN

~ System : Windows (TM) Vista Home Premium (64 bits)  Service Pack 2
~ Registered under : Microsoft
~ Registered under : Microsoft
~ Processor : Intel(R) Pentium(R) Dual  CPU  E2220  @ 2.40GHz
~ Identification : Intel64 Family 6 Model 15 Stepping 13

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.805 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤

~ Update on 05/08/2012 | 13.45 by g3n-h@ckm@n
~ Informations | Evolution : http://gen-hackman.forum-pro.fr/t64-historique-de-l-outil
~ Informations for the switches Pre_Script : http://gen-hackman.forum-pro.fr/t89-les-switchs
~ Feedback Pre_scan : http://gen-hackman.forum-pro.fr/t93-feedback-pre_scan#505
~ Thx to C_XX , Slyk & Saachaa for their help to the evolution of the tool

~ User : darkromain2604 (Administrateurs) | SID = S-1-5-21-4278539566-3104032325-1061396718-1000
~ Computer : PC-DE-ROMAIN

~ System : Windows (TM) Vista Home Premium (64 bits)  Service Pack 2
~ Registered under : Microsoft
~ Registered under : Microsoft
~ Processor : Intel(R) Pentium(R) Dual  CPU  E2220  @ 2.40GHz
~ Identification : Intel64 Family 6 Model 15 Stepping 13

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.805 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤

~ Update on 05/08/2012 | 13.45 by g3n-h@ckm@n
~ Informations | Evolution : http://gen-hackman.forum-pro.fr/t64-historique-de-l-outil
~ Informations for the switches Pre_Script : http://gen-hackman.forum-pro.fr/t89-les-switchs
~ Feedback Pre_scan : http://gen-hackman.forum-pro.fr/t93-feedback-pre_scan#505
~ Thx to C_XX , Slyk & Saachaa for their help to the evolution of the tool

~ User : darkromain2604 (Administrateurs) | SID = S-1-5-21-4278539566-3104032325-1061396718-1000
~ Computer : PC-DE-ROMAIN

~ System : Windows (TM) Vista Home Premium (64 bits)  Service Pack 2
~ Registered under : Microsoft
~ Registered under : Microsoft
~ Processor : Intel(R) Pentium(R) Dual  CPU  E2220  @ 2.40GHz
~ Identification : Intel64 Family 6 Model 15 Stepping 13

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.805 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤

~ Update on 05/08/2012 | 13.45 by g3n-h@ckm@n
~ Informations | Evolution : http://gen-hackman.forum-pro.fr/t64-historique-de-l-outil
~ Informations for the switches Pre_Script : http://gen-hackman.forum-pro.fr/t89-les-switchs
~ Feedback Pre_scan : http://gen-hackman.forum-pro.fr/t93-feedback-pre_scan#505
~ Thx to C_XX , Slyk & Saachaa for their help to the evolution of the tool

~ User : darkromain2604 (Administrateurs) | SID = S-1-5-21-4278539566-3104032325-1061396718-1000
~ Computer : PC-DE-ROMAIN

~ System : Windows (TM) Vista Home Premium (64 bits)  Service Pack 2
~ Registered under : Microsoft
~ Registered under : Microsoft
~ Processor : Intel(R) Pentium(R) Dual  CPU  E2220  @ 2.40GHz
~ Identification : Intel64 Family 6 Model 15 Stepping 13

g3n-h@ckm@n · Answer

suis ce tuto :

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

darkromain2604 · Answer

j'ai suivit le tuto
seul petit problème j'ai oublier d'enregistré le rapport d'analyse dois-je refaire une analyse pour te donner les résultats?

g3n-h@ckm@n · Answer

re

le rapport :

c:\users (ou utilisateurs)	a session\drWeb\CureIt.log

clic droit dessus => envoyer vers => dossiers compressés  => héberge l'archive

darkromain2604 · Answer

voici le lien de l'archive 
http://pjjoint.malekal.com/files.php?id=20120812_j13o15j10b10f11

g3n-h@ckm@n · Answer

ok desactive touttes tes protections , supprime pre_scan retelecharge-le et relance-le il devrait tourner

darkromain2604 · Answer

salut
il ne m'est toujours pas possible de désactiver mon pare feu ni de réaliser pre scan en plein

g3n-h@ckm@n · Answer

j'ai besoin de plus de precisions que ca

darkromain2604 · Answer

il y a une fenetre qui s'affiche indiquant ceci
 line 17396 file C:/users/darkromain2604/download/prescan.pif
 error : variable must be of type object

g3n-h@ckm@n · Answer

t'aurais pas oublié de desactiver une protection ? on dirait un problemed'accès

darkromain2604 · Answer

je n'ai que avast et mon pare feu en protection  et je ne peu pas désactiver mon par feu même en mode sans échec

g3n-h@ckm@n · Answer

desinstalle avast

darkromain2604 · Answer

c'est fait

darkromain2604 · Answer

le problème est toujours présent
es-que un formatage complet de l'ordinateur pourrait remédier au virus malware et cheval de Troie?

anthony5151 · Answer

Bonsoir darkromain2604,

g3n-h@ckm@n est indisponible pour le moment, nous allons continuer ensemble. Combofix a détecté un fichier système qui a été infecté par "ZeroAccess", nous allons nous en occuper :

¶ Télécharge RogueKiller (de Tigzy) sur le Bureau
¶ Quitte tous tes programmes en cours
¶ Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
¶ Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
¶ A la fin, vérifie que tous les éléments sont cochés puis clique sur "Suppression"
¶ Un rapport (RKreport.txt) doit être créé sur le Bureau, poste le dans ta prochaine réponse.


Ensuite, utilise ce logiciel de désinfection généraliste :

¶ Télécharge et installe Malwarebytes' Anti-Malware
¶ A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
¶ Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
¶ Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
¶ A la fin de l'analyse, clique sur Afficher les résultats
¶ Coche tous les éléments détectés puis clique sur Supprimer la sélection
¶ S'il t'est demandé de redémarrer l'ordinateur, accepte.
¶ Poste dans ta prochaine réponse le rapport apparaissant après la suppression.

darkromain2604 · Answer

Bonjour voici mon premier rapport RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version Demarrage : Mode normal Utilisateur: darkromain2604 [Droits d'admin] Mode: Suppression -- Date: 19/08/2012 11:49:29 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] @ : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\@ --> REMOVED [Del.Parent][FILE] 00000004.@ : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\U\00000004.@ --> REMOVED [Del.Parent][FILE] 000000cb.@ : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\U\000000cb.@ --> REMOVED [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\U\80000000.@ --> REMOVED [Del.Parent][FILE] 80000032.@ : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\U\80000032.@ --> REMOVED [Del.Parent][FILE] 80000064.@ : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\U\80000064.@ --> REMOVED [ZeroAccess][FOLDER] U : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\U --> REMOVED [Del.Parent][FILE] 00000004.@ : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\L\00000004.@ --> REMOVED [Del.Parent][FILE] 1afb2d56 : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\L\1afb2d56 --> REMOVED [Del.Parent][FILE] 201d3dde : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\L\201d3dde --> REMOVED [ZeroAccess][FOLDER] L : c:\windows\installer\{4454ee6f-17e7-d629-6039-1e591a4678a2}\L --> REMOVED [ZeroAccess][FILE] @ : c:\users\darkromain2604\appdata\local\{4454ee6f-17e7-d629-6039-1e591a4678a2}\@ --> REMOVED [ZeroAccess][FOLDER] U : c:\users\darkromain2604\appdata\local\{4454ee6f-17e7-d629-6039-1e591a4678a2}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\users\darkromain2604\appdata\local\{4454ee6f-17e7-d629-6039-1e591a4678a2}\L --> REMOVED [Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> REPLACED AT REBOOT (c:\windows\SysWOW64\services.exe) ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD64 00AAKS-65A7B SCSI Disk Device +++++ --- User --- [MBR] fbbc5c99a276a2fbc842371e8bfd5218 [BSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 596671 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1221984225 | Size: 13805 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

darkromain2604 · Answer

voici le second rapport
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.19.03

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
darkromain2604 :: PC-DE-ROMAIN [administrateur]

19/08/2012 12:05:18
mbam-log-2012-08-19 (13-48-44).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 387344
Temps écoulé: 50 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\darkromain2604\Desktop\RK_Quarantine\000000cb.@.vir (Rootkit.0Access) -> Aucune action effectuée.
C:\Users\darkromain2604\Desktop\RK_Quarantine\80000032.@.vir (Rootkit.0Access) -> Aucune action effectuée.

(fin)

anthony5151 · Answer

RogueKiller a bien travaillé :) 
Fais redémarrer ton ordinateur, puis retélécharge Combofix ici (supprime l'ancienne version). Lance le de la même façon que la première fois. Poste le rapport dans ta prochaine réponse.

darkromain2604 · Answer

voici le rapport

ComboFix 12-08-18.03 - darkromain2604 19/08/2012  19:57:41.2.2 - x64 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3837.3091 [GMT 2:00]
Lancé depuis: c:\users\darkromain2604\Desktop\cequetuveux.exe
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\Services.exe . . . est infecté!!
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-07-19 au 2012-08-19  ))))))))))))))))))))))))))))))))))))
.
.
2012-08-19 18:04 . 2012-08-19 18:04	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-08-19 18:04 . 2012-08-19 18:04	--------	d-----w-	c:\users\darkromain2604\AppData\Local	emp
2012-08-10 17:58 . 2012-08-10 17:58	384512	----a-w-	c:\windows\system32\services.exe
2012-08-08 18:24 . 2012-08-08 18:24	--------	d-----w-	c:\windows\Sun
2012-08-08 06:18 . 2012-08-08 06:18	--------	d-----w-	c:\users\darkromain2604\AppData\Roaming\EurekaLog
2012-08-07 20:16 . 2012-08-07 20:33	--------	d-----w-	C:\cequetuveux
2012-08-05 13:46 . 2012-08-15 06:00	--------	d-----w-	C:\Pre_Scan
2012-08-03 07:24 . 2012-07-03 16:21	285328	----a-w-	c:\windows\system32\aswBoot.exe
2012-08-03 07:15 . 2012-08-03 07:15	--------	d-----w-	c:\program files\AVAST Software
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-08 07:35 . 2012-03-31 05:06	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-08 07:35 . 2012-03-30 05:49	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-03 11:46 . 2012-07-11 19:34	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-14 05:56 . 2006-11-02 12:35	58957832	----a-w-	c:\windows\system32\mrt.exe
2012-06-02 22:19 . 2012-06-21 08:44	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-21 08:44	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-21 08:44	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-21 08:44	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-21 08:44	35864	----a-w-	c:\windows\SysWow64\wups.dll
2012-06-02 22:19 . 2012-06-21 08:44	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-21 08:44	577048	----a-w-	c:\windows\SysWow64\wuapi.dll
2012-06-02 22:15 . 2012-06-21 08:44	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-21 08:44	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 22:12 . 2012-06-21 08:44	88576	----a-w-	c:\windows\SysWow64\wudriver.dll
2012-06-02 13:19 . 2012-06-21 08:44	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:19 . 2012-06-21 08:44	171904	----a-w-	c:\windows\SysWow64\wuwebv.dll
2012-06-02 13:15 . 2012-06-21 08:44	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-02 13:12 . 2012-06-21 08:44	33792	----a-w-	c:\windows\SysWow64\wuapp.exe
2012-05-31 04:04 . 2012-07-07 07:53	9013136	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FA052342-E7D8-4744-8685-25A047B8EECE}\mpengine.dll
2012-05-31 04:04 . 2012-07-06 06:07	9013136	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2009-04-11 . 934E0B7D77FF78C18D9F8891221B6DE3 . 384512 . . [6.0.6002.18005] .. c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe
[7] 2008-01-21 . DFAC660F0F139276CC9299812DE42719 . 384512 . . [6.0.6001.18000] .. c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_2b7e5beb85a67240\services.exe
[-] 2012-08-10 . 15E0C83F6C4E25D45513C2BADC2A9345 . 384512 . . [6.0.6000.16386] .. c:\windows\system32\services.exe
.
(((((((((((((((((((((((((((((   SnapShot@2012-08-07_20.26.35   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-08-10 17:51 . 2012-08-10 17:51	49152              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2012-07-08 07:47 . 2012-08-10 17:51	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Internet Explorer\DOMStore\index.dat
- 2012-07-08 07:47 . 2012-08-07 20:05	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Internet Explorer\DOMStore\index.dat
+ 2008-01-21 02:23 . 2012-08-10 06:10	60724              c:\windows\system32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 15:45 . 2012-08-10 06:10	91460              c:\windows\system32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-07-26 12:06 . 2012-08-10 06:10	19296              c:\windows\system32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4278539566-3104032325-1061396718-1000_UserData.bin
- 2012-08-07 20:25 . 2012-08-07 20:25	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-08-19 11:50 . 2012-08-19 11:50	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-08-19 11:50 . 2012-08-19 11:50	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-08-07 20:25 . 2012-08-07 20:25	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-07-08 07:41 . 2012-08-10 17:51	262144              c:\windows\SysWOW64\%APPDATA%\Microsoft\Windows\IETldCache\index.dat
- 2012-07-08 07:41 . 2012-08-07 20:05	262144              c:\windows\SysWOW64\%APPDATA%\Microsoft\Windows\IETldCache\index.dat
+ 2009-02-11 04:55 . 2012-08-19 11:54	678556              c:\windows\system32\perfh00C.dat
+ 2006-11-02 12:46 . 2012-08-19 11:54	596126              c:\windows\system32\perfh009.dat
+ 2009-02-11 04:55 . 2012-08-19 11:54	127308              c:\windows\system32\perfc00C.dat
+ 2006-11-02 12:46 . 2012-08-19 11:54	104840              c:\windows\system32\perfc009.dat
+ 2006-11-02 15:21 . 2012-08-11 06:10	412952              c:\windows\system32\FNTCACHE.DAT
- 2006-11-02 15:21 . 2012-07-04 05:58	412952              c:\windows\system32\FNTCACHE.DAT
+ 2010-10-23 17:09 . 2012-08-10 17:44	415004              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2010-10-23 17:09 . 2012-08-07 18:28	415004              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2012-07-11 18:16 . 2012-08-07 20:27	1589248              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2012-07-11 18:16 . 2012-08-10 17:51	1589248              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-21 03:20 . 2012-08-10 17:51	1753088              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2012-03-30 06:24 . 2012-08-10 17:44	1443348              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-4278539566-3104032325-1061396718-1000-12288.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 12:24	451872	----a-w-	c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-28 c:\windows\Tasks\HPCeeScheduleFordarkromain2604.job
- c:\program files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe [2009-02-10 19:01]
.
2012-06-07 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2008-11-05 18:26]
.
.
--------- X64 Entries -----------
.
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Pavilion&pf=cndt
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: chat-land.org
TCP: DhcpNameServer = 192.168.1.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\darkromain2604\AppData\Roaming\Mozilla\Firefox\Profiles\frnyv5ez.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - google.com
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - user.js: yahoo.homepage.dontask - true
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{8AAF211B-043E02A9-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC_x64.pkms"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files (x86)\Hewlett-Packard\Media\DVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-4278539566-3104032325-1061396718-1000\Software\SecuROM\License information*]
"datasecu"=hex:5c,62,d8,9a,3e,87,4f,f2,c5,99,d4,ea,45,63,db,dc,b4,00,c9,09,79,
   57,42,33,24,23,fe,74,99,0e,cc,d0,23,4d,17,86,0b,45,f1,32,2f,30,1a,ae,84,1f,\
"rkeysecu"=hex:f0,30,c9,df,2d,08,d8,34,eb,d5,9a,b0,71,93,b0,c1
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
Heure de fin: 2012-08-19  20:06:21
ComboFix-quarantined-files.txt  2012-08-19 18:06
ComboFix2.txt  2012-08-07 20:33
.
Avant-CF: 561 784 057 856 octets libres
Après-CF: 561 811 476 480 octets libres
.
- - End Of File - - 3027CEA669E70000983BAC9DD62B88E0

anthony5151 · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour darkromain2604, il n'est pas transposable sur un autre ordinateur ! 

* Télécharge ce dossier darkromain2604.zip 
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination 
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau. 

* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici --> C:\ComboFix.txt 


Ensuite, relance RogueKiller avec l'option suppression et poste également le rapport.

darkromain2604 · Answer

voici pour combofix
ComboFix 12-08-20.01 - darkromain2604 20/08/2012  18:49:51.3.2 - x64
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3837.2217 [GMT 2:00]
Lancé depuis: c:\users\darkromain2604\Desktop\cequetuveux.exe
Commutateurs utilisés :: c:\users\darkromain2604\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
--------------- FCopy ---------------
.
c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe --> c:\windows\system32\services.exe
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-07-20 au 2012-08-20  ))))))))))))))))))))))))))))))))))))
.
.
2012-08-20 16:55 . 2012-08-20 16:57	--------	d-----w-	c:\users\darkromain2604\AppData\Local	emp
2012-08-20 16:55 . 2012-08-20 16:55	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-08-20 16:49 . 2009-04-11 07:10	384512	----a-w-	c:\windows\system32\services.exe
2012-08-08 18:24 . 2012-08-08 18:24	--------	d-----w-	c:\windows\Sun
2012-08-08 06:18 . 2012-08-08 06:18	--------	d-----w-	c:\users\darkromain2604\AppData\Roaming\EurekaLog
2012-08-07 20:16 . 2012-08-07 20:33	--------	d-----w-	C:\cequetuveux
2012-08-05 13:46 . 2012-08-15 06:00	--------	d-----w-	C:\Pre_Scan
2012-08-03 07:24 . 2012-07-03 16:21	285328	----a-w-	c:\windows\system32\aswBoot.exe
2012-08-03 07:15 . 2012-08-03 07:15	--------	d-----w-	c:\program files\AVAST Software
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-08 07:35 . 2012-03-31 05:06	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-08 07:35 . 2012-03-30 05:49	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-03 11:46 . 2012-07-11 19:34	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-14 05:56 . 2006-11-02 12:35	58957832	----a-w-	c:\windows\system32\mrt.exe
2012-06-02 22:19 . 2012-06-21 08:44	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-21 08:44	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-21 08:44	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-21 08:44	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-21 08:44	35864	----a-w-	c:\windows\SysWow64\wups.dll
2012-06-02 22:19 . 2012-06-21 08:44	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-21 08:44	577048	----a-w-	c:\windows\SysWow64\wuapi.dll
2012-06-02 22:15 . 2012-06-21 08:44	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-21 08:44	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 22:12 . 2012-06-21 08:44	88576	----a-w-	c:\windows\SysWow64\wudriver.dll
2012-06-02 13:19 . 2012-06-21 08:44	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:19 . 2012-06-21 08:44	171904	----a-w-	c:\windows\SysWow64\wuwebv.dll
2012-06-02 13:15 . 2012-06-21 08:44	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-02 13:12 . 2012-06-21 08:44	33792	----a-w-	c:\windows\SysWow64\wuapp.exe
2012-05-31 04:04 . 2012-07-07 07:53	9013136	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FA052342-E7D8-4744-8685-25A047B8EECE}\mpengine.dll
2012-05-31 04:04 . 2012-07-06 06:07	9013136	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-08-07_20.26.35   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-08-10 17:51 . 2012-08-20 06:11	49152              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2012-07-08 07:47 . 2012-08-10 17:51	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Internet Explorer\DOMStore\index.dat
- 2012-07-08 07:47 . 2012-08-07 20:05	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Internet Explorer\DOMStore\index.dat
+ 2008-01-21 02:23 . 2012-08-20 06:13	60724              c:\windows\system32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 15:45 . 2012-08-20 06:13	91484              c:\windows\system32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-07-26 12:06 . 2012-08-20 06:13	19328              c:\windows\system32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4278539566-3104032325-1061396718-1000_UserData.bin
+ 2012-08-20 16:56 . 2012-08-20 16:56	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-08-07 20:25 . 2012-08-07 20:25	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-08-20 16:56 . 2012-08-20 16:56	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-08-07 20:25 . 2012-08-07 20:25	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-07-08 07:41 . 2012-08-10 17:51	262144              c:\windows\SysWOW64\%APPDATA%\Microsoft\Windows\IETldCache\index.dat
- 2012-07-08 07:41 . 2012-08-07 20:05	262144              c:\windows\SysWOW64\%APPDATA%\Microsoft\Windows\IETldCache\index.dat
+ 2009-02-11 04:55 . 2012-08-20 06:17	678556              c:\windows\system32\perfh00C.dat
+ 2006-11-02 12:46 . 2012-08-20 06:17	596126              c:\windows\system32\perfh009.dat
+ 2009-02-11 04:55 . 2012-08-20 06:17	127308              c:\windows\system32\perfc00C.dat
+ 2006-11-02 12:46 . 2012-08-20 06:17	104840              c:\windows\system32\perfc009.dat
- 2006-11-02 15:21 . 2012-07-04 05:58	412952              c:\windows\system32\FNTCACHE.DAT
+ 2006-11-02 15:21 . 2012-08-11 06:10	412952              c:\windows\system32\FNTCACHE.DAT
+ 2010-10-23 17:09 . 2012-08-20 16:55	415004              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2010-10-23 17:09 . 2012-08-07 18:28	415004              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2012-07-11 18:16 . 2012-08-07 20:27	1589248              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2012-07-11 18:16 . 2012-08-20 06:11	1589248              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-21 03:20 . 2012-08-20 06:11	1753088              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-10-23 17:09 . 2012-08-05 16:01	1918188              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-4278539566-3104032325-1061396718-1000-8192.dat
+ 2010-10-23 17:09 . 2012-08-20 16:55	1918188              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-4278539566-3104032325-1061396718-1000-8192.dat
+ 2012-03-30 06:24 . 2012-08-10 17:44	1443348              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-4278539566-3104032325-1061396718-1000-12288.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 12:24	451872	----a-w-	c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-28 c:\windows\Tasks\HPCeeScheduleFordarkromain2604.job
- c:\program files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe [2009-02-10 19:01]
.
2012-06-07 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2008-11-05 18:26]
.
.
--------- X64 Entries -----------
.
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uDefault_Search_URL = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Pavilion&pf=cndt
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: chat-land.org
TCP: DhcpNameServer = 192.168.1.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\darkromain2604\AppData\Roaming\Mozilla\Firefox\Profiles\frnyv5ez.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - google.com
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - user.js: yahoo.homepage.dontask - true
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{8AAF211B-043E02A9-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC_x64.pkms"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files (x86)\Hewlett-Packard\Media\DVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-4278539566-3104032325-1061396718-1000\Software\SecuROM\License information*]
"datasecu"=hex:5c,62,d8,9a,3e,87,4f,f2,c5,99,d4,ea,45,63,db,dc,b4,00,c9,09,79,
   57,42,33,24,23,fe,74,99,0e,cc,d0,23,4d,17,86,0b,45,f1,32,2f,30,1a,ae,84,1f,\
"rkeysecu"=hex:f0,30,c9,df,2d,08,d8,34,eb,d5,9a,b0,71,93,b0,c1
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\CDBurnerXP\NMSAccessU.exe
c:\program files (x86)\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
c:\program files (x86)\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe
c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
.
**************************************************************************
.
Heure de fin: 2012-08-20  19:01:25 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-08-20 17:01
ComboFix2.txt  2012-08-19 18:06
ComboFix3.txt  2012-08-07 20:33
.
Avant-CF: 558 740 066 304 octets libres
Après-CF: 561 809 809 408 octets libres
.
- - End Of File - - CA37FFCF76477797DFC0112885990675

anthony5151 · Answer

Parfait :)  As-tu encore des alertes de ton antivirus ? Si c'est le cas, précise moi le nom du fichier et son emplacement s'il te plait.

Sinon, si tu n'as plus de problèmes, j'ai besoin d'un dernier rapport pour te donner les derniers conseils (notamment les conseils pour sécuriser ton ordinateur et éviter de nouveaux problèmes) :

¶ Télécharge ZHPDiag (de Nicolas Coolman)
¶ Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
¶ Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
¶ Vérifie si tu trouves une icône "UAC" en haut à droite de ZHPDiag : si c'est le cas clique dessus, sinon passe à l'étape suivante.
¶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
¶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
¶ Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

darkromain2604 · Answer

RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version Demarrage : Mode normal Utilisateur: darkromain2604 [Droits d'admin] Mode: Recherche -- Date: 21/08/2012 19:03:21 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD64 00AAKS-65A7B SCSI Disk Device +++++ --- User --- [MBR] fbbc5c99a276a2fbc842371e8bfd5218 [BSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 596671 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1221984225 | Size: 13805 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt

darkromain2604 · Answer

voici le lien

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120821_q12x14h10s12c8

anthony5151 · Answer

Le rapport montre d'autres infections (moins graves), mais il est incomplet. 
Désactive l'UAC comme ça puis redémarre l'ordinateur (tu la réactiveras quand le désinfection sera terminée).

Ensuite, édite un nouveau rapport ZHPDiag et envoie le de la même façon s'il te plait.

darkromain2604 · Answer

voici le dernier rapport

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120822_c12g5r8f10w11

anthony5151 · Answer

Bon, le rapport est encore incomplet, je ne comprends pas pourquoi. On va passer par un autre programme (désolé)

* Télécharge OTL sur ton Bureau.
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Coche la case "tous les utilisateurs" puis clique sur le bouton "Analyse"
* Patiente pendant l'analyse jusqu'à l'apparition des deux rapports OTL.txt et Extras.txt
* Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de OTL et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

darkromain2604 · Answer

voici le rapport

 http://pjjoint.malekal.com/files.php?id=20120823_l15q14u8o8f11

anthony5151 · Answer

Tu n'as pas eu le rapport Extras.txt ?

darkromain2604 · Answer

non je ne l'ai pas eu 
a moins qu'il se soit placé ailleurs que sur le bureau

anthony5151 · Answer

Normalement, tu dois avoir ce rapport au premier lancement de OTL, tu l'as peut-être déjà utilisé avant ?
Pour obtenir à nouveau ce rapport, il faut modifier un réglage de OTL avant de lancer l'analyse : sélectionne "Avec liste blanche" dans le cadre "Registre : approfondi".

darkromain2604 · Answer

je n'avais jamais utilisé OTL avant je vais donc réessayer et reposté les deux rapport

darkromain2604 · Answer

salut
voici les rapports
http://pjjoint.malekal.com/files.php?id=20120826_z12p12g14i8r14

http://pjjoint.malekal.com/files.php?id=20120826_k15c8k10v10n7

anthony5151 · Answer

Ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème : 
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme 01net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.


Pour t'en débarrasser, utilise cet outil de désinfection spécifique aux logiciels publicitaires : 

¶ Télécharge AdwCleaner (de Xplode) sur ton Bureau.
¶ Lance le, clique sur Suppression puis patiente le temps du scan.
¶ Une fois la suppression terminée, un message de prévention va s'afficher, je te conseille de le lire attentivement (n'hésite pas à me poser des questions si tu n'as pas compris certaines choses dans ce message).
¶ Ensuite, le rapport s'ouvrira : poste le dans ta prochaine réponse.


Puis fais redémarrer ton ordinateur et poste un nouveau rapport OTL (pense à l'héberger sur pjjoint, comme le précédent).

g3n-h@ckm@n · Answer

re

je reprends mon topic , je reprends du service .

====

une fois adwcleaner suppression faite , relance combofix renommé

darkromain2604 · Answer

voici le rapport 
http://pjjoint.malekal.com/files.php?id=20120827_w14z14o6v9z9

je lance maintenant combofix

darkromain2604 · Answer

voici le rapport combofix

http://pjjoint.malekal.com/files.php?id=20120827_b11u15k13u7e11

au passage 
bonjour g3n_h@ckm@n

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: Folder:: c:\windows\SysWOW64\%APPDATA% Netsvc:: ezSharedSvc RegLock:: [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}] [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0] [HKEY_LOCAL_MACHINE\software\Wow6432Node\Classes] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

anthony5151 · Answer

g3n_h@ckm@n : "ton" topic ?  Je ne savais pas qu'il t'appartenait... Ça ne m'aurait pas dérangé de te laisser continuer, mais : 
- Tu aurais pu le demander de façon plus diplomate au lieu de débarquer comme ça dans une désinfection en cours. 
- M'étant impliqué pour aider darkromain2604, ça m'ennuie de te regarder supprimer n'importe quoi sans rien dire (exemple : le service ezSharedSvc qui est légitime). 

Je vais donc terminer proprement cette désinfection. 


darkromain2604 : Désolé de t'impliquer là dedans, mais je vais te demander de ne pas faire ce que G-H indique dans son dernier message, cette manipulation supprimera des éléments légitimes sur ton ordinateur. 

Nous avons supprimé ensemble l'infection ZeroAccess qui était à l'origine des alertes affichées par Avast, nous étions en train de nous occuper des restes de logiciels publicitaires avant d'être interrompus. Nous allons donc terminer ça, puis nous pourrons passer à la finition (notamment la sécurisation de ton ordinateur pour éviter ce genre de problème). Peux-tu poster un nouveau rapport OTL pour voir ce qu'il reste à faire s'il te plait ? 


  
L'habit ne fait pas le moine. 
Le savoir n'est utile que s'il est transmis

g3n-h@ckm@n · Answer

plus diplomate au lieu de débarquer comme ça dans une désinfection en cours.    

n'est-ce pas ce que tu as fait ici ? :   

https://forums.commentcamarche.net/forum/affich-25762565-probleme-de-logiciel-malveillant-win32malware?full#38   

je ne t'avais pas demandé de t'occuper de mes desinfections quelqu'un d'autre etait deja sur le coup , et bien meilleur que toi d'ailleurs.  

https://forums.commentcamarche.net/forum/affich-25762565-probleme-de-logiciel-malveillant-win32malware?full#1   

exemple : le service ezSharedSvc qui est légitime)  

qui parle de supprimer le service ?  

apprends donc à lire un script !  

Nous avons supprimé ZeroAccess ensemble : 

mouhahahhahahahha t'as remplacé services.exe point barre !!! 
   
======   

  bonne soirée , bonne continuation  
    
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

darkromain2604 · Answer

Messieurs un peu de calme s'il vous plaie 
ne pourriez vous pas plutôt coopérer afin de m'aider à résoudre mes problème  plutôt que de vous querellé car chacun de vous m'a très bien aidé jusqu'à maintenant et je vous en remercie

juju666 · Answer

à mon avis c'est toi le fichier temporaire mais bon.... 

xd xd 

bon sinon concernant le Pre_Scan qui supprime des fichiers temporaires, suffit de passer MBAM après et toute la 40aine de Pre_Scan saute nottamment avec des files de max++ mais bon ...

bref arrêtez un peu :p

darkromain2604 · Answer

bon sinon je fait quoi moi maintenant ?????

darkromain2604 · Answer

voici le rapport OTL

http://pjjoint.malekal.com/files.php?id=20120830_h6h14s9i6z6

anthony5151 · Answer

Voici les conseils de finition :


1) Sécurise ton ordinateur 

* Logiciels de protection : 
Garde un seul antivirus et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Mozilla Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Plusieurs logiciels ne sont pas à jour sur ton ordinateur, cela rend ton ordinateur vulnérable :
- Adobe Reader : Désinstalle le puis télécharge et installe la nouvelle version ici (tu peux décocher le programme qui est proposé en option lors du téléchargement).
- Flash Player : Ferme ton navigateur, puis désinstalle toutes les versions de Adobe Flash Player. Ensuite, télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option avant de cliquer pour lancer le téléchargement).
- Java : Désinstalle le puis télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)
- VLC : télécharge la dernière version ici. 

* Pour éviter d'autres failles de sécurité à l'avenir, je me permets de te signaler l'existence d'une lettre d'information proposée en bas à gauche de ce site (pour information, je suis l'une des personnes qui rédigent ces newsletters). En t'inscrivant, tu recevras un e-mail dès que des mises à jour importantes pour la sécurité de ton ordinateur sont disponibles. Ces messages contiendront des explications pour savoir comment procéder, au cas où tu ne te sentes pas à l'aise pour le faire seul. 



2) Optimisation : 

* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

darkromain2604 · Answer

merci a vous deux pour votre aide je vais donc maintenant faire un peu plus attention même si j'étais déjà très prudent (mais pas assez)
je vous remercie donc 
par contre quel anti virus gratuit utiliser autre que Avast? 
merci

anthony5151 · Answer

De rien ;)   Voici plusieurs antivirus gratuits :
Avast
AVG
AntiVir
Microsoft Security Essentials

Le choix de l'antivirus ne change pas grand chose, même si Avast me semblait plutôt correct.

Probleme de logiciel malveillant win32malware

70 réponses

Newsletters