Virus qui bloque mon ordinateur dès le démarrage [Résolu/Fermé]

- - Dernière réponse : Malekal_morte-
Messages postés
169233
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
- 8 juin 2013 à 20:28
Bonjour,

Depuis cette après midi j'ai attrapé un virus très dérangeant... Je possède actuellement Avast 4.8.

Je surfais donc tranquillement sur le web quand une page internet, s'est ouverte en pleine écran (elle a même déclanché la webcam). J'ai du atteindre l'ordinateur avec le bouton "power"...

Et en ré-ouvrant l'ordinateur, l'ordinateur charge (normalement), puis d'un coup les icones disparraissent, et je reste bloqué sur mon arrière plan du bureau... Quand j'accède au gestionnaire de tache, rien ne s'affiche...

Et ça recommence quand j'étais de nouveau l'ordinateur...


J'arrive à contourner le virus en voulant éteindre correctement l'ordinateur. Dans ce cas là un message me demandant de forcer l'arrêt des programmes apparait, j'annule aussitot la manipulation, et les icones reviennent et il est de-nouveau possible de contrôler l'ordinateur...

Merci de m'aider...


Afficher la suite 

9 réponses

Meilleure réponse
Messages postés
169233
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16825
1
Merci
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Dire « Merci » 1

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 58677 internautes nous ont dit merci ce mois-ci

Messages postés
169233
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16825
0
Merci
Salut,


Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

!!! Démarre sur la session infectée !!!
!!! Démarre sur la session infectée !!!
!!! Démarre sur la session infectée !!!

[*] Télécharger sur le bureau http://forum.malekal.com/roguekiller-t29444.html
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Merci
J'ai fais la première étape. Voici le rapport:
# AdwCleaner v2.302 - Rapport créé le 08/06/2013 à 19:19:14
# Mis à jour le 06/06/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Antoine - ANTOINE-PC
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Users\Antoine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R2YBDHBG\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Nosibay
Dossier Supprimé : C:\Program Files\Software
Dossier Supprimé : C:\Program Files\SweetIM
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\eSafe
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\ProgramData\Trymedia
Dossier Supprimé : C:\Users\Antoine\AppData\Local\lollipop
Dossier Supprimé : C:\Users\Antoine\AppData\Local\PackageAware
Dossier Supprimé : C:\Users\Antoine\AppData\Local\Temp\Smartbar
Dossier Supprimé : C:\Users\Antoine\AppData\LocalLow\Delta
Dossier Supprimé : C:\Users\Antoine\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Antoine\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\Antoine\AppData\Roaming\eIntaller
Dossier Supprimé : C:\Users\Antoine\AppData\Roaming\FissaSearch
Dossier Supprimé : C:\Users\Antoine\AppData\Roaming\freeTVRadio
Dossier Supprimé : C:\Users\Antoine\AppData\Roaming\Nosibay
Dossier Supprimé : C:\Users\Antoine\AppData\Roaming\OpenCandy
Dossier Supprimé : C:\windows\Installer\{38470B46-9BF1-40AE-A588-F6AD6D1C2D42}
Fichier Désinfecté : C:\Users\Antoine\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Fichier Désinfecté : C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Fichier Supprimé : C:\Program Files\Common Files\plugin.crx

***** [Registre] *****

Clé Supprimée : HKCU\Software\1ClickDownload
Clé Supprimée : HKCU\Software\5d55d88cb43abf10
Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\freeTVRadio
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2318C2B1-4965-11D4-9B18-009027A5CD4F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2318C2B1-4965-11D4-9B18-009027A5CD4F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Nosibay
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\SOFTWARE\5d55d88cb43abf10
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\Boxore
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\Desksvc
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BundleSweetIMSetup_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BundleSweetIMSetup_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\10dc28e2039f12ae10829e9f846508fe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\c0097b6b462366251684739a52c248a9
Clé Supprimée : HKLM\Software\qvo6Software
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\Software\Tarma Installer
Clé Supprimée : HKLM\Software\V9
Donnée Supprimée : HKLM\...\StartMenuInternet\IEXPLORE.EXE [(Default)] = C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=HitachiXHTS545032B9A300_091017PBGC00QYJRU5WVX&ts=1370267432
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{2318C2B1-4965-11D4-9B18-009027A5CD4F}]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Bubble Dock]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{2318C2B1-4965-11D4-9B18-009027A5CD4F}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Tutorials]

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16576

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=HitachiXHTS545032B9A300_091017PBGC00QYJRU5WVX&ts=1370267432 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=HitachiXHTS545032B9A300_091017PBGC00QYJRU5WVX&ts=1370267432 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=HitachiXHTS545032B9A300_091017PBGC00QYJRU5WVX&ts=1370267432 --> hxxp://www.google.com

-\\ Google Chrome v27.0.1453.110

Fichier : C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [7000 octets] - [08/06/2013 19:19:14]

########## EOF - C:\AdwCleaner[S1].txt - [7060 octets] ##########

Que dois je faire ensuite ?
Ok. Pour l'instant OTL effectue l'analyse. Ca fait 5 bonnes minutes que l'analyse a été lancée
.
Je crains que le programme OTL ait bugé... Je le laisse depuis quelques minutes "réfléchir" mais il y a écrit "le programme ne répond pas" (alors que je ne l'ai pas touché...).

Je recommence la manipulation ?
Malekal_morte-
Messages postés
169233
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16825 -
Si ça passe pas, commence par ça :

- Télécharge http://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.
J'ai réussis avec OTL. Je vous envoies les rapports
Par contre j'ai pas compris une chose. Sur le site ppjoint.malekal.com, dans "Chemin du fichier à soumettre" je mets quoi ?
0
Merci
http://pjjoint.malekal.com/files.php?id=20130608_g8e13u14b15z12

Est-ce que c'est ça ?
0
Merci
J'ai aussi ce lien:

http://pjjoint.malekal.com/files.php?id=20130608_s15r12b6c8h14
Messages postés
169233
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16825
0
Merci
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
CHR - plugin: Game Face Plugin (Enabled) = C:\Users\Antoine\AppData\Roaming\Electronic Arts\Game Face\npGameFacePlugin.dll
CHR - Extension: cacaoweb = C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\leahdjjpjmnamomgpojikeapflgbmjab\1.13_0\
O4 - HKU\S-1-5-21-1016556084-3091970497-507946437-1001..\Run: [DDLManager] C:\Kreapixel\DDLManager\DDlManager.exe /Mini File not found
2013/06/08 17:30:05 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\rundll32.exe
[2013/06/08 19:06:00 | 095,023,320 | ---- | M] () -- C:\ProgramData\inimjot.pad
[2013/06/08 17:30:05 | 000,161,792 | ---- | M] () -- C:\ProgramData\tojmini.dat
[2013/05/01 19:46:34 | 000,000,000 | ---D | M] -- C:\Users\Antoine\AppData\Roaming\Ezofi
[2013/05/01 00:10:13 | 000,000,000 | ---D | M] -- C:\Users\Antoine\AppData\Roaming\Ukipor


* redemarre le pc sous windows et poste le rapport ici

0
Merci
Voici le rapport après la correction:

========== OTL ==========
C:\Users\Antoine\AppData\Roaming\Electronic Arts\Game Face\npGameFacePlugin.dll moved successfully.
C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\leahdjjpjmnamomgpojikeapflgbmjab\1.13_0 folder moved successfully.
Registry value HKEY_USERS\S-1-5-21-1016556084-3091970497-507946437-1001\Software\Microsoft\Windows\CurrentVersion\Run\\DDLManager deleted successfully.
C:\ProgramData\inimjot.pad moved successfully.
C:\ProgramData\tojmini.dat moved successfully.
C:\Users\Antoine\AppData\Roaming\Ezofi folder moved successfully.
C:\Users\Antoine\AppData\Roaming\Ukipor folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 06082013_201143

Je redémarre l'ordinateur là ?
Messages postés
169233
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16825
0
Merci
Change tous tes mots de passe, ils ont été volés.

~~

Installe Malwarebyte's Anti-Malware : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Désactive Java de tes navigateurs WEB : http://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Déjà, merci beaucoup de votre patiente et de votre aide ! Mais j'ai encore trois questions:

Quand je vais rallumer l'ordinateur, le virus sera t'il toujours la ?
Quand vous dites les mots de passes, ça concerne Facebook twitter ect ?
Avast sert-il a quelque chose si j'installe http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php ?
Malekal_morte-
Messages postés
169233
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16825 -
Tous les mots de passe, donc Facebook, Twitter etc.

Malwarebyte est complémentaire d'Avast!.
Faut garder Avast!.
J'ai redémarré l'ordinateur... Et AUCUN SOUCIS !!! Merci beaucoup !!!
Malekal_morte-
Messages postés
169233
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16825 -
:))
-1
Merci
J'ai fais comme vous m'avez indiqué. J'éspère que j'ai ce qu'il vous faut...

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Antoine [Droits d'admin]
Mode : Suppression -- Date : 08/06/2013 19:12:07
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Puhiataq (C:\Users\Antoine\AppData\Roaming\Ezofi\zeaq.exe) [x] -> SUPPRIMÉ
[RUN][BLPATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Antoine\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) [-] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ctfmon.exe (C:\PROGRA~2\rundll32.exe C:\PROGRA~2\tojmini.dat,FG00) [7] -> SUPPRIMÉ
[STARTUP][BLACKLISTDLL] msconfig.lnk @Antoine : C:\Windows\System32\rundll32.exe|C:\PROGRA~2\tojmini.dat,FG00 -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.ProgFiles ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++
--- User ---
[MBR] 05b7de040268ec155052bfc9f826bdcd
[BSP] a94ff53c7a6a88babc15853891e21885 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 144890 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 328398848 | Size: 144893 Mo
User = LL1 ... OK!