Virus Bloque mises à jour Windows et Norton [Résolu/Fermé]

Signaler
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015
-
juju666
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
-
Bonjour
Il semblerait que j'ai un virus persistent sur mon ordi qui bloque les mises à jour Windows et Norton et empeche de lancer ces applications. Après avoir lancé plusieurs fois: MAlwarebytes, ADCleanern CCCleaner et efefctué les différents nettoyages et mises en quarantaine... le problème persiste
Quelqu'un aurait 'il une solution?
Merci d'avance

28 réponses

Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Salut,

Poste les rapports que tu peux (malwarebytes, AdwC)

Et fait ceci :

▶ Télécharge ici : FRST (de Farbar)
!!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

▶ Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

!! Déconnecte-toi et ferme toutes applications en cours !!

▶ Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

▶ A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.

Les rapport se trouvent ici : C:\FRST\Logs

▶ Envoie-les sur http://pjjoint.malekal.com et poste les liens obtenus en échange.
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Ok c'est Necurs, entre autres.
Ton PC est bien infesté.

Commençons par TDSSKiller :

▶ Télécharge et lance TDSSKiller.

▶ Clique sur Change parameters
● Cocher la case Loaded modules. Le message Reboot is required s'affiche.
● Il faut le valider en cliquant sur Reboot now.
● Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
● L'outil TDSSKiller se relance.

▶ Cliquer de nouveau sur Change parameters.
● Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
● Valider par OK

▶ Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.

● Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
● Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
● Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
● Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
● Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
● Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut.

▶ Si l'outil te le demande, redémarre pour finir le nettoyage.

▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

▶ Héberge le rapport sur PJJOINT et donne le lien obtenu en retour.
juju666
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Ah ouais, au fait, tu penseras à changer tous tes mots de passe quand nous aurons fini la désinfection car ils ont été pompés.
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

https://pjjoint.malekal.com/files.php?id=20150110_b9e12o11r11q6
https://pjjoint.malekal.com/files.php?id=20150110_y10p6q10b13t13
https://pjjoint.malekal.com/files.php?id=20150110_t7y12h14m6j6

Pas de fichier TDSS mais le probleme semble résolu. Merci.
Concernant les mots de passe s'agit il de tous les mots de passe de connexion?
Merde...
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Necurs est effectivement viré mais c'est loin d'être fini, y'a encore d'autres comparses ;)

OUI, il s'agit bien de TOUS tes mots de passe : facebook, twitter, boite mail, sites divers, ...

Et donc la suite :

▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan puis Suppression
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

RogueKiller V10.1.2.0 [Jan 7 2015] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/download/roguekiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Démarré en : Mode normal
Utilisateur : Guy [Administrateur]
Mode : Suppression -- Date : 01/10/2015 13:06:55

¤¤¤ Processus : 2 ¤¤¤
[Suspicious.Path] wysiwygadvapiBckp.exe(3064) -- C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe[-] -> Tué(e) [TermProc]
[Suspicious.Path] (SVC) wysiwygadvapiBckp.exe -- C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe[-] -> ERROR [41c]

¤¤¤ Registre : 17 ¤¤¤
[PUP] HKEY_CLASSES_ROOT\CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC} -> Non sélectionné
[Hidden.From.SCM] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EraserUtilDrv11411 (\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11411.sys) -> Non sélectionné
[PUP] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\iSafeNetFilter (\??\C:\Program Files\iSafe\iSafeNetFilter.sys) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wysiwygadvapiBckp.exe (C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe) -> Non sélectionné
[PUP] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iSafeNetFilter (\??\C:\Program Files\iSafe\iSafeNetFilter.sys) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wysiwygadvapiBckp.exe (C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe) -> Non sélectionné
[PUP] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\iSafeNetFilter (\??\C:\Program Files\iSafe\iSafeNetFilter.sys) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\wysiwygadvapiBckp.exe (C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe) -> Non sélectionné
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> Non sélectionné
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> Non sélectionné
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:52337;https=127.0.0.1:52337 -> Non sélectionné
[PUM.Proxy] HKEY_USERS\S-1-5-21-1950100112-3814440941-2243816188-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:33345 -> Non sélectionné
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:52337;https=127.0.0.1:52337 -> Non sélectionné
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : www.google.com -> Non sélectionné
[PUM.SearchPage] HKEY_USERS\S-1-5-21-1950100112-3814440941-2243816188-1000\Software\Microsoft\Internet Explorer\Main | Search Page : www.google.com -> Non sélectionné
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Non sélectionné
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Non sélectionné

¤¤¤ Tâches : 1 ¤¤¤
[Suspicious.Path] \\Test TimeTrigger -- C:\Users\Guy\AppData\Local\Temp\Runner.exe (C:\Users\Guy\AppData\Local\Temp\DNS.exe) -> Supprimé(e)

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 3 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\Windows\System32\drivers\etc\hosts] ::1 localhost
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 d3oxij66pru1i3.cloudfront.net

¤¤¤ Antirootkit : 42 (Driver: Chargé) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtAlertResumeThread[13] : Unknown @ 0x8af54c98
[SSDT:Addr(Hook.SSDT)] NtAlertThread[14] : Unknown @ 0x8af54d30
[SSDT:Addr(Hook.SSDT)] NtAllocateVirtualMemory[18] : Unknown @ 0x8af5a5b0
[SSDT:Addr(Hook.SSDT)] NtAlpcConnectPort[21] : Unknown @ 0x8ad856c8
[SSDT:Addr(Hook.SSDT)] NtAssignProcessToJobObject[42] : Unknown @ 0x8af56f70
[SSDT:Addr(Hook.SSDT)] NtCreateMutant[67] : Unknown @ 0x8af54ac0
[SSDT:Addr(Hook.SSDT)] NtCreateSymbolicLinkObject[77] : Unknown @ 0x8af56d68
[SSDT:Addr(Hook.SSDT)] NtCreateThread[78] : Unknown @ 0x8af54238
[SSDT:Addr(Hook.SSDT)] NtDebugActiveProcess[116] : Unknown @ 0x8af56008
[SSDT:Addr(Hook.SSDT)] NtDuplicateObject[129] : Unknown @ 0x8af5a6f0
[SSDT:Addr(Hook.SSDT)] NtFreeVirtualMemory[147] : Unknown @ 0x8af5a440
[SSDT:Addr(Hook.SSDT)] NtImpersonateAnonymousToken[156] : Unknown @ 0x8af54b68
[SSDT:Addr(Hook.SSDT)] NtImpersonateThread[158] : Unknown @ 0x8af54c00
[SSDT:Addr(Hook.SSDT)] NtLoadDriver[165] : Unknown @ 0x8ad89c40
[SSDT:Addr(Hook.SSDT)] NtMapViewOfSection[177] : Unknown @ 0x8af5a388
[SSDT:Addr(Hook.SSDT)] NtOpenEvent[184] : Unknown @ 0x8af54a28
[SSDT:Addr(Hook.SSDT)] NtOpenProcess[194] : Unknown @ 0x8af5a820
[SSDT:Addr(Hook.SSDT)] NtOpenProcessToken[195] : Unknown @ 0x8af5a658
[SSDT:Addr(Hook.SSDT)] NtOpenSection[197] : Unknown @ 0x8af548f8
[SSDT:Addr(Hook.SSDT)] NtOpenThread[201] : Unknown @ 0x8af5a798
[SSDT:Addr(Hook.SSDT)] NtProtectVirtualMemory[210] : Unknown @ 0x8af56ec8
[SSDT:Addr(Hook.SSDT)] NtResumeThread[282] : Unknown @ 0x8af54dc8
[SSDT:Addr(Hook.SSDT)] NtSetContextThread[289] : Unknown @ 0x8af54f90
[SSDT:Addr(Hook.SSDT)] NtSetInformationProcess[305] : Unknown @ 0x8af5a248
[SSDT:Addr(Hook.SSDT)] NtSetSystemInformation[317] : Unknown @ 0x8af54840
[SSDT:Addr(Hook.SSDT)] NtSuspendProcess[330] : Unknown @ 0x8af54990
[SSDT:Addr(Hook.SSDT)] NtSuspendThread[331] : Unknown @ 0x8af54e60
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[334] : Unknown @ 0x8b782340
[SSDT:Addr(Hook.SSDT)] NtTerminateThread[335] : Unknown @ 0x8af54ef8
[SSDT:Addr(Hook.SSDT)] NtUnmapViewOfSection[348] : Unknown @ 0x8af5a2f0
[SSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[358] : Unknown @ 0x8af5a4e8
[SSDT:Addr(Hook.SSDT)] NtCreateThreadEx[382] : Unknown @ 0x8af56e10
[ShwSSDT:Addr(Hook.Shadow)] NtUserAttachThreadInput[317] : Unknown @ 0x8738f538
[ShwSSDT:Addr(Hook.Shadow)] NtUserGetAsyncKeyState[397] : Unknown @ 0x88127a88
[ShwSSDT:Addr(Hook.Shadow)] NtUserGetKeyboardState[428] : Unknown @ 0x8859bd98
[ShwSSDT:Addr(Hook.Shadow)] NtUserGetKeyState[430] : Unknown @ 0x873abda0
[ShwSSDT:Addr(Hook.Shadow)] NtUserGetRawInputData[442] : Unknown @ 0x881bf5f8
[ShwSSDT:Addr(Hook.Shadow)] NtUserMessageCall[479] : Unknown @ 0x87413ba8
[ShwSSDT:Addr(Hook.Shadow)] NtUserPostMessage[497] : Unknown @ 0x8845b920
[ShwSSDT:Addr(Hook.Shadow)] NtUserPostThreadMessage[498] : Unknown @ 0x8843bb28
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[573] : Unknown @ 0x8842fa60
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[576] : Unknown @ 0x88551808

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
--- User ---
[MBR] 956c0ccd9f727039239b1082c2a39b36
[BSP] 53caaefc8ad63b5e733dc7ff2c2b1dfb : HP MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_SCN_01102015_130631.log
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Recommence en sélectionnant ceux-là STP :

[PUP] HKEY_CLASSES_ROOT\CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC} -> Non sélectionné
[Hidden.From.SCM] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EraserUtilDrv11411 (\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11411.sys) -> Non sélectionné
[PUP] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\iSafeNetFilter (\??\C:\Program Files\iSafe\iSafeNetFilter.sys) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wysiwygadvapiBckp.exe (C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe) -> Non sélectionné
[PUP] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iSafeNetFilter (\??\C:\Program Files\iSafe\iSafeNetFilter.sys) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wysiwygadvapiBckp.exe (C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe) -> Non sélectionné
[PUP] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\iSafeNetFilter (\??\C:\Program Files\iSafe\iSafeNetFilter.sys) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\wysiwygadvapiBckp.exe (C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe) -> Non sélectionné
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> Non sélectionné
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> Non sélectionné
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:52337;https=127.0.0.1:52337 -> Non sélectionné
[PUM.Proxy] HKEY_USERS\S-1-5-21-1950100112-3814440941-2243816188-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:33345 -> Non sélectionné
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:52337;https=127.0.0.1:52337 -> Non sélectionné
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : www.google.com -> Non sélectionné
[PUM.SearchPage] HKEY_USERS\S-1-5-21-1950100112-3814440941-2243816188-1000\Software\Microsoft\Internet Explorer\Main | Search Page : www.google.com -> Non sélectionné

Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

Je ne vois pas coment les selectionner dans rogue
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Y'a différents onglets (registre, fichiers, dossiers) et des cases à cocher devant les différents éléments.
Vois dans tous les onglets.

.::. Je suis Charlie .::.
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

RogueKiller V10.1.2.0 [Jan 7 2015] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/download/roguekiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Démarré en : Mode normal
Utilisateur : Guy [Administrateur]
Mode : Suppression -- Date : 01/10/2015 13:44:53

¤¤¤ Processus : 2 ¤¤¤
[Suspicious.Path] wysiwygadvapiBckp.exe(5928) -- C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe[-] -> Tué(e) [TermProc]
[Suspicious.Path] (SVC) wysiwygadvapiBckp.exe -- C:\Users\Guy\AppData\Local\wysiwygadvapiBckp\wysiwygadvapiBckp.exe[-] -> ERROR [41c]

¤¤¤ Registre : 17 ¤¤¤
[PUP] HKEY_CLASSES_ROOT\CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC} -> Supprimé(e)
[Hidden.From.SCM] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EraserUtilDrv11411 -> Supprimé(e)
[PUP] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\iSafeNetFilter -> Supprimé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wysiwygadvapiBckp.exe -> Supprimé(e)
[PUP] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iSafeNetFilter -> Supprimé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wysiwygadvapiBckp.exe -> Supprimé(e)
[PUP] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\iSafeNetFilter -> Supprimé(e)
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\wysiwygadvapiBckp.exe -> Supprimé(e)
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> Remplacé(e) (0)
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> Remplacé(e) (0)
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:52337;https=127.0.0.1:52337 -> Supprimé(e)
[PUM.Proxy] HKEY_USERS\S-1-5-21-1950100112-3814440941-2243816188-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:33345 -> Supprimé(e)
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:52337;https=127.0.0.1:52337 -> ERROR [2]
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : www.google.com -> Remplacé(e) (https://www.msn.com/fr-fr/?ocid=iehp
[PUM.SearchPage] HKEY_USERS\S-1-5-21-1950100112-3814440941-2243816188-1000\Software\Microsoft\Internet Explorer\Main | Search Page : www.google.com -> Remplacé(e) (https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Remplacé(e) (0)
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Remplacé(e) (0)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 42 (Driver: Chargé) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtAlertResumeThread[13] : Unknown @ 0x8af54c98
[SSDT:Addr(Hook.SSDT)] NtAlertThread[14] : Unknown @ 0x8af54d30
[SSDT:Addr(Hook.SSDT)] NtAllocateVirtualMemory[18] : Unknown @ 0x8af5a5b0
[SSDT:Addr(Hook.SSDT)] NtAlpcConnectPort[21] : Unknown @ 0x8ad856c8
[SSDT:Addr(Hook.SSDT)] NtAssignProcessToJobObject[42] : Unknown @ 0x8af56f70
[SSDT:Addr(Hook.SSDT)] NtCreateMutant[67] : Unknown @ 0x8af54ac0
[SSDT:Addr(Hook.SSDT)] NtCreateSymbolicLinkObject[77] : Unknown @ 0x8af56d68
[SSDT:Addr(Hook.SSDT)] NtCreateThread[78] : Unknown @ 0x8af54238
[SSDT:Addr(Hook.SSDT)] NtDebugActiveProcess[116] : Unknown @ 0x8af56008
[SSDT:Addr(Hook.SSDT)] NtDuplicateObject[129] : Unknown @ 0x8af5a6f0
[SSDT:Addr(Hook.SSDT)] NtFreeVirtualMemory[147] : Unknown @ 0x8af5a440
[SSDT:Addr(Hook.SSDT)] NtImpersonateAnonymousToken[156] : Unknown @ 0x8af54b68
[SSDT:Addr(Hook.SSDT)] NtImpersonateThread[158] : Unknown @ 0x8af54c00
[SSDT:Addr(Hook.SSDT)] NtLoadDriver[165] : Unknown @ 0x8ad89c40
[SSDT:Addr(Hook.SSDT)] NtMapViewOfSection[177] : Unknown @ 0x8af5a388
[SSDT:Addr(Hook.SSDT)] NtOpenEvent[184] : Unknown @ 0x8af54a28
[SSDT:Addr(Hook.SSDT)] NtOpenProcess[194] : Unknown @ 0x8af5a820
[SSDT:Addr(Hook.SSDT)] NtOpenProcessToken[195] : Unknown @ 0x8af5a658
[SSDT:Addr(Hook.SSDT)] NtOpenSection[197] : Unknown @ 0x8af548f8
[SSDT:Addr(Hook.SSDT)] NtOpenThread[201] : Unknown @ 0x8af5a798
[SSDT:Addr(Hook.SSDT)] NtProtectVirtualMemory[210] : Unknown @ 0x8af56ec8
[SSDT:Addr(Hook.SSDT)] NtResumeThread[282] : Unknown @ 0x8af54dc8
[SSDT:Addr(Hook.SSDT)] NtSetContextThread[289] : Unknown @ 0x8af54f90
[SSDT:Addr(Hook.SSDT)] NtSetInformationProcess[305] : Unknown @ 0x8af5a248
[SSDT:Addr(Hook.SSDT)] NtSetSystemInformation[317] : Unknown @ 0x8af54840
[SSDT:Addr(Hook.SSDT)] NtSuspendProcess[330] : Unknown @ 0x8af54990
[SSDT:Addr(Hook.SSDT)] NtSuspendThread[331] : Unknown @ 0x8af54e60
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[334] : Unknown @ 0x8b782340
[SSDT:Addr(Hook.SSDT)] NtTerminateThread[335] : Unknown @ 0x8af54ef8
[SSDT:Addr(Hook.SSDT)] NtUnmapViewOfSection[348] : Unknown @ 0x8af5a2f0
[SSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[358] : Unknown @ 0x8af5a4e8
[SSDT:Addr(Hook.SSDT)] NtCreateThreadEx[382] : Unknown @ 0x8af56e10
[ShwSSDT:Addr(Hook.Shadow)] NtUserAttachThreadInput[317] : Unknown @ 0x8738f538
[ShwSSDT:Addr(Hook.Shadow)] NtUserGetAsyncKeyState[397] : Unknown @ 0x88127a88
[ShwSSDT:Addr(Hook.Shadow)] NtUserGetKeyboardState[428] : Unknown @ 0x8859bd98
[ShwSSDT:Addr(Hook.Shadow)] NtUserGetKeyState[430] : Unknown @ 0x873abda0
[ShwSSDT:Addr(Hook.Shadow)] NtUserGetRawInputData[442] : Unknown @ 0x881bf5f8
[ShwSSDT:Addr(Hook.Shadow)] NtUserMessageCall[479] : Unknown @ 0x87413ba8
[ShwSSDT:Addr(Hook.Shadow)] NtUserPostMessage[497] : Unknown @ 0x8845b920
[ShwSSDT:Addr(Hook.Shadow)] NtUserPostThreadMessage[498] : Unknown @ 0x8843bb28
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[573] : Unknown @ 0x8842fa60
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[576] : Unknown @ 0x88551808

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
--- User ---
[MBR] 956c0ccd9f727039239b1082c2a39b36
[BSP] 53caaefc8ad63b5e733dc7ff2c2b1dfb : HP MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_DEL_01102015_130655.log - RKreport_SCN_01102015_130631.log - RKreport_SCN_01102015_134134.log
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Super !

Refais FRST pour voir si tout est bien parti et si nécessaire, supprimer les restes :)
On touche au but :)
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

frst est bloqué par norton...
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

rapport ZHP c'est bon?
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Non, FRST stp.

Désactive Norton le temps du téléchargement et de l'analyse.
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Bien, avant dernière manipulation :)

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images/!\

▶ Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
▶ Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes


start
() C:\Windows\System32\privacymscmsapi\privacymscmsapi.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1950100112-3814440941-2243816188-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: No Name - C:\Program Files\MediaViewV1\MediaViewV1alpha4685\ff [Not Found]
FF Extension: No Name - C:\Program Files\AmiExt\flashEnhancer\ff [Not Found]
FF Extension: No Name - C:\Program Files\AmiExt\flashEnhancer\ff [Not Found]
R2 privacymscmsapi; C:\Windows\system32\privacymscmsapi\privacymscmsapi.exe [68608 2014-12-11] () [File not signed]
S1 awszjaxj; \??\C:\Windows\system32\drivers\awszjaxj.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S1 ghsgodel; \??\C:\Windows\system32\drivers\ghsgodel.sys [X]
S1 hlqvmlmn; \??\C:\Windows\system32\drivers\hlqvmlmn.sys [X]
S3 igfx; system32\DRIVERS\igdkmd32.sys [X]
S3 IntcHdmiAddService; system32\drivers\IntcHdmi.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S1 netfilter2; system32\drivers\netfilter2.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
2015-01-08 14:42 - 2014-12-02 16:46 - 00000000 ____D () C:\Program Files\0892CCEA-3029-46F2-BD98-F3177431F5F8
2015-01-08 14:21 - 2014-12-06 09:55 - 00000000 ____D () C:\ProgramData\fJbRfIQ(198)
2015-01-08 14:21 - 2014-08-31 20:42 - 00000000 ____D () C:\Users\Guy\AppData\Roaming\trustedshopper
2015-01-08 14:21 - 2014-08-31 20:42 - 00000000 ____D () C:\Users\Guy\AppData\Local\UpdateChecker
2015-01-08 14:21 - 2014-01-06 20:14 - 00000000 ____D () C:\Program Files\SearchProtect3238580
2015-01-08 14:21 - 2013-11-07 09:26 - 00000000 ____D () C:\Users\Guy\AppData\Local\Plus-HD-1.3
2015-01-08 14:21 - 2013-11-07 09:23 - 00000000 ____D () C:\Program Files\Plus-HD-1.3
2015-01-07 19:06 - 2014-07-18 09:56 - 00000000 ____D () C:\Program Files\005
2014-12-14 10:02 - 2014-12-06 09:57 - 00000000 ____D () C:\Users\Guy\Documents\ProPCCleaner
2014-12-11 14:38 - 2014-12-10 11:15 - 00000000 ____D () C:\Users\Guy\AppData\Local\593
end


▶ Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
▶ Ferme toutes les applications, y compris ton navigateur
▶ Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
▶ Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
▶ L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 10-01-2015
Ran by Guy at 2015-01-10 17:39:29 Run:1
Running from C:\Users\Guy\Desktop\AntiVirus Telecharges
Loaded Profile: Guy (Available profiles: Guy)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
start() C:\Windows\System32\privacymscmsapi\privacymscmsapi.exe GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-1950100112-3814440941-2243816188-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION FF Extension: No Name - C:\Program Files\MediaViewV1\MediaViewV1alpha4685\ff [Not Found] FF Extension: No Name - C:\Program Files\AmiExt\flashEnhancer\ff [Not Found] FF Extension: No Name - C:\Program Files\AmiExt\flashEnhancer\ff [Not Found] R2 privacymscmsapi; C:\Windows\system32\privacymscmsapi\privacymscmsapi.exe [68608 2014-12-11] () [File not signed] S1 awszjaxj; \??\C:\Windows\system32\drivers\awszjaxj.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 ghsgodel; \??\C:\Windows\system32\drivers\ghsgodel.sys [X] S1 hlqvmlmn; \??\C:\Windows\system32\drivers\hlqvmlmn.sys [X] S3 igfx; system32\DRIVERS\igdkmd32.sys [X] S3 IntcHdmiAddService; system32\drivers\IntcHdmi.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S1 netfilter2; system32\drivers\netfilter2.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] 2015-01-08 14:42 - 2014-12-02 16:46 - 00000000 ____D () C:\Program Files\0892CCEA-3029-46F2-BD98-F3177431F5F8 2015-01-08 14:21 - 2014-12-06 09:55 - 00000000 ____D () C:\ProgramData\fJbRfIQ(198) 2015-01-08 14:21 - 2014-08-31 20:42 - 00000000 ____D () C:\Users\Guy\AppData\Roaming\trustedshopper 2015-01-08 14:21 - 2014-08-31 20:42 - 00000000 ____D () C:\Users\Guy\AppData\Local\UpdateChecker 2015-01-08 14:21 - 2014-01-06 20:14 - 00000000 ____D () C:\Program Files\SearchProtect3238580 2015-01-08 14:21 - 2013-11-07 09:26 - 00000000 ____D () C:\Users\Guy\AppData\Local\Plus-HD-1.3 2015-01-08 14:21 - 2013-11-07 09:23 - 00000000 ____D () C:\Program Files\Plus-HD-1.3 2015-01-07 19:06 - 2014-07-18 09:56 - 00000000 ____D () C:\Program Files\0052014-12-14 10:02 - 2014-12-06 09:57 - 00000000 ____D () C:\Users\Guy\Documents\ProPCCleaner 2014-12-11 14:38 - 2014-12-10 11:15 - 00000000 ____D () C:\Users\Guy\AppData\Local\593 end
*****************

C:\Windows\system32\privacymscmsapi\privacymscmsapi.exe [68608 2014-12-11] () [File not signed] S1 awszjaxj; \??\C:\Windows\system32\drivers\awszjaxj.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 ghsgodel; \??\C:\Windows\system32\drivers\ghsgodel.sys [X] S1 hlqvmlmn; \??\C:\Windows\system32\drivers\hlqvmlmn.sys [X] S3 igfx; system32\DRIVERS\igdkmd32.sys [X] S3 IntcHdmiAddService; system32\drivers\IntcHdmi.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S1 netfilter2; system32\drivers\netfilter2.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys => not found.

==== End of Fixlog 17:39:29 ====
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 708
Tu as mal copié/collé.

Je parie que tu as copié/collé depuis ta boite mail et pas depuis le forum ...
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

non non je l'ai bien pris du forum. Je le refais: **Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 10-01-2015
Ran by Guy at 2015-01-10 17:44:56 Run:2
Running from C:\Users\Guy\Desktop\AntiVirus Telecharges
Loaded Profile: Guy (Available profiles: Guy)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
start() C:\Windows\System32\privacymscmsapi\privacymscmsapi.exe GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-1950100112-3814440941-2243816188-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION FF Extension: No Name - C:\Program Files\MediaViewV1\MediaViewV1alpha4685\ff [Not Found] FF Extension: No Name - C:\Program Files\AmiExt\flashEnhancer\ff [Not Found] FF Extension: No Name - C:\Program Files\AmiExt\flashEnhancer\ff [Not Found] R2 privacymscmsapi; C:\Windows\system32\privacymscmsapi\privacymscmsapi.exe [68608 2014-12-11] () [File not signed] S1 awszjaxj; \??\C:\Windows\system32\drivers\awszjaxj.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 ghsgodel; \??\C:\Windows\system32\drivers\ghsgodel.sys [X] S1 hlqvmlmn; \??\C:\Windows\system32\drivers\hlqvmlmn.sys [X] S3 igfx; system32\DRIVERS\igdkmd32.sys [X] S3 IntcHdmiAddService; system32\drivers\IntcHdmi.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S1 netfilter2; system32\drivers\netfilter2.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] 2015-01-08 14:42 - 2014-12-02 16:46 - 00000000 ____D () C:\Program Files\0892CCEA-3029-46F2-BD98-F3177431F5F8 2015-01-08 14:21 - 2014-12-06 09:55 - 00000000 ____D () C:\ProgramData\fJbRfIQ(198) 2015-01-08 14:21 - 2014-08-31 20:42 - 00000000 ____D () C:\Users\Guy\AppData\Roaming\trustedshopper 2015-01-08 14:21 - 2014-08-31 20:42 - 00000000 ____D () C:\Users\Guy\AppData\Local\UpdateChecker 2015-01-08 14:21 - 2014-01-06 20:14 - 00000000 ____D () C:\Program Files\SearchProtect3238580 2015-01-08 14:21 - 2013-11-07 09:26 - 00000000 ____D () C:\Users\Guy\AppData\Local\Plus-HD-1.3 2015-01-08 14:21 - 2013-11-07 09:23 - 00000000 ____D () C:\Program Files\Plus-HD-1.3 2015-01-07 19:06 - 2014-07-18 09:56 - 00000000 ____D () C:\Program Files\0052014-12-14 10:02 - 2014-12-06 09:57 - 00000000 ____D () C:\Users\Guy\Documents\ProPCCleaner 2014-12-11 14:38 - 2014-12-10 11:15 - 00000000 ____D () C:\Users\Guy\AppData\Local\593 end
*****************

C:\Windows\system32\privacymscmsapi\privacymscmsapi.exe [68608 2014-12-11] () [File not signed] S1 awszjaxj; \??\C:\Windows\system32\drivers\awszjaxj.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 ghsgodel; \??\C:\Windows\system32\drivers\ghsgodel.sys [X] S1 hlqvmlmn; \??\C:\Windows\system32\drivers\hlqvmlmn.sys [X] S3 igfx; system32\DRIVERS\igdkmd32.sys [X] S3 IntcHdmiAddService; system32\drivers\IntcHdmi.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S1 netfilter2; system32\drivers\netfilter2.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys => not found.

==== End of Fixlog 17:44:56 ====
Messages postés
16
Date d'inscription
samedi 10 janvier 2015
Statut
Membre
Dernière intervention
10 janvier 2015

ca correspond et sert à quoi a quoi au juste ce patch pour ma curiosité? Tu ne me mets pas un petit espoion au passage quand même?
1 2