Sujet Précédent Sujet Suivant

Cheval de Troie et ralentissement

67nico -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,

depuis quelques temps, antivir me trouve plein de cheval de troie (du genre rootkit et kryptic) et lors du scan il les trouve mais ne les supprime pas et restreint juste l'accès ...

Est ce que quelqu'un saurait comment bien nettoyer mon ordi ? Parce que j'pense qu'il doit y avoir encore pleins de petits problèmes.

Et bizarrement, j'ai l'impression d'avoir plus de ralentissements sous mozilla que sous google chrome, mais c'est peut-être juste une impression.

Bonne journée à tous
A voir également:

31 réponses

  • 1
  • 2
Réponse 1 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

on va regardé cela ...

fait ce qui suit pour avoir un diagnostique précis du PC :

1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

> Clique droit / "execuetr en tant qu'admin..." sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

Laisses travailler l'outil ...

> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...

> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

======================

2- Lance de nouveau ZHPDiag ( "en tant qu'admin..." ),

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.

Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .

* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

1
Réponse 2 / 31
totobetourne Messages postés 5677 Statut Membre 65
 
bonjour

1)pour vista si infection.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection: IMPORTANT A NE SURTOUT PAS OUBLIER):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

http://www.laboratoire-microsoft.org/tips-23933-desactiver-uac-vista.html

2)on va analyser ton pc.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...

-> laisse faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
0
Réponse 3 / 31
67nico
 
J'ai fait les démarches préconisées par ske69, j'espère que totobetourne ne m'en voudra pas : honneur à l'ancienneté en fonction des messages postées :p.

voici les 2 scans :

1)

http://www.cijoint.fr/cjlink.php?file=cj201002/cijlpGnUrT.txt

2)

http://www.cijoint.fr/cjlink.php?file=cj201002/cijMBo0Czg.odt
0
Réponse 4 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

J'ai fait les démarches préconisées par ske69, j'espère que totobetourne ne m'en voudra pas : honneur à l'ancienneté en fonction des messages postées :p.

en faite, lorsque tu tombes sur deux helpesr que se croisent sur le premier poste , la "coutume" est de suivre celui qui a répondu en 1er ... ;)

infection probable via supports amovibles ....

/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

commence par ceci dans l'ordre :

1- protocole à suivre pour Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517

* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...

une fois ceci fait et pris en compte , enchaine ...

=====================

2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 31
67nico
 
Re,

voilà le rapport d'usbfix :

############################## | UsbFix V6.084 |

User : FLORISOL (Administrateurs) # PC-DE-FLORISOL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:30:36 | 02/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,3 Go (93,73 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,03 Go (143,94 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 14,9 Go (14,9 Go free) [USB DISK] # FAT32
K:\ -> Disque amovible # 30,11 Go (29,81 Go free) # FAT32
L:\ -> Disque amovible # 1,92 Go (1,45 Go free) [UDISK 2.0] # FAT
M:\ -> Disque amovible # 1,95 Go (1,95 Go free) # FAT
N:\ -> Disque amovible # 977,47 Mo (13,72 Mo free) [KINGSTON] # FAT
O:\ -> Disque amovible # 7,67 Go (7,67 Go free) [STORE N GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Program Files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\msiexec.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe

################## | Elements infectieux |

K:\autorun.inf
K:\autorun.inf -> fichier appelé : "K:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
K:\desktop.dll
L:\autorun.inf
L:\autorun.inf -> fichier appelé : "L:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
L:\desktop.dll
M:\autorun.inf
M:\autorun.inf -> fichier appelé : "M:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
M:\desktop.dll
N:\autorun.inf
N:\autorun.inf -> fichier appelé : "N:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
N:\desktop.dll
O:\autorun.inf
O:\autorun.inf -> fichier appelé : "O:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
O:\desktop.dll

################## | Registre |

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{041a4c59-37ac-11de-b4b0-001c25029789}
shell\AutoRun\command =L:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{1a09b296-6b30-11dd-a5af-001c25029789}
shell\AutoRun\command =K:\InstallTomTomHOME.exe

HKCU\..\..\Explorer\MountPoints2\{225a5a32-fe9f-11dd-acd4-001c25029789}
shell\AutoRun\command =J:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{257b8317-e07b-11de-9251-001c25029789}
shell\AutoRun\command =K:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{75cfd808-9826-11de-b8bb-001c25029789}
shell\AutoRun\command =J:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{7a937597-1cd1-11dd-8d3c-001c25029789}
shell\AutoRun\command =M:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{8cade3e9-0fdc-11df-bc92-001c25029789}
shell\AutoRun\command =N:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{d4f110d2-04c2-11de-8d89-001c25029789}
shell\AutoRun\command =J:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{d9294bca-026d-11df-a1b4-001c25029789}
shell\AutoRun\command =O:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{dd2fffed-8ac4-11dd-a839-001c25029789}
shell\AutoRun\command =J:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

HKCU\..\..\Explorer\MountPoints2\{f14ffe11-18e2-11dd-84b4-001c25029789}
shell\AutoRun\command =L:\
shell\open\Command =rundll32.exe .\desktop.dll,InstallM

################## | ! Fin du rapport # UsbFix V6.084 ! |
0
Réponse 6 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
oki ....

la suite :

1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Réponse 7 / 31
67nico
 
Re,

rapport d'usbfix : ( au redémarrage, antivir à capter un fichier suspect dans les supports amovibles : Bye.agent à chaque fois dans desktop.dll, j'ai mis "refuser l'accès" à chaque fois ... )

############################## | UsbFix V6.084 |

User : FLORISOL (Administrateurs) # PC-DE-FLORISOL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:19:32 | 02/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,3 Go (92,78 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,03 Go (143,94 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 14,9 Go (14,9 Go free) [USB DISK] # FAT32
K:\ -> Disque amovible # 30,11 Go (29,81 Go free) # FAT32
L:\ -> Disque amovible # 1,92 Go (1,45 Go free) [UDISK 2.0] # FAT
M:\ -> Disque amovible # 1,95 Go (1,95 Go free) # FAT
N:\ -> Disque amovible # 977,47 Mo (13,72 Mo free) [KINGSTON] # FAT
O:\ -> Disque amovible # 7,67 Go (7,67 Go free) [STORE N GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Program Files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-18
Supprimé ! C:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-500
Supprimé ! D:\$Recycle.Bin\S-1-5-18
Supprimé ! D:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-500
Supprimé ! D:\$Recycle.Bin\S-1-5-21-879632790-2830527255-250939691-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-879632790-2830527255-250939691-500
K:\autorun.inf -> fichier appelé : "K:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
Supprimé ! K:\desktop.dll
Supprimé ! K:\autorun.inf
L:\autorun.inf -> fichier appelé : "L:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
Supprimé ! L:\desktop.dll
Supprimé ! L:\autorun.inf
M:\autorun.inf -> fichier appelé : "M:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
Supprimé ! M:\desktop.dll
Supprimé ! M:\autorun.inf
N:\autorun.inf -> fichier appelé : "N:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
Supprimé ! N:\desktop.dll
Supprimé ! N:\autorun.inf
O:\autorun.inf -> fichier appelé : "O:\rundll32.exe .\desktop.dll,InstallM" ( Absent ! )
Supprimé ! O:\desktop.dll
Supprimé ! O:\autorun.inf

################## | Registre |

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{041a4c59-37ac-11de-b4b0-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{1a09b296-6b30-11dd-a5af-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{225a5a32-fe9f-11dd-acd4-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{257b8317-e07b-11de-9251-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{75cfd808-9826-11de-b8bb-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{7a937597-1cd1-11dd-8d3c-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8cade3e9-0fdc-11df-bc92-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d4f110d2-04c2-11de-8d89-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d9294bca-026d-11df-a1b4-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{dd2fffed-8ac4-11dd-a839-001c25029789}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{f14ffe11-18e2-11dd-84b4-001c25029789}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[06/05/2007 20:29|--a------|3358] C:\-20070506.log
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[19/01/2008 08:45|-rahs----|333203] C:\bootmgr
[07/05/2007 04:44|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[29/11/2006 16:35|--a------|512] C:\MDR.iss
[?|?|?] C:\pagefile.sys
[06/05/2007 20:06|--a------|420] C:\RHDSetup.log
[06/05/2007 20:18|--a------|178] C:\setup.log
[23/10/2009 07:29|--a------|1503] C:\updatedatfix.log
[02/02/2010 11:23|--a------|6402] C:\UsbFix.txt
[21/12/2009 09:30|--a------|812344] K:\hijackthis_hijackthis_2.02_anglais_17891.exe
[21/12/2009 09:30|--a------|16409960] K:\spybot-search-destroy_spybot_-_search_destroy_1.6.2.46_francais_10965.exe
[21/12/2009 09:29|--a------|6000608] K:\sunbelt-personal-firewall-ex-kerio_sunbelt_personal_firewall_ex_kerio_4.6.1861_francais_11071.exe
[21/12/2009 09:29|--a------|152012024] K:\OOo_3.1.1_Win32Intel_install_wJRE_fr(2).exe
[21/12/2009 09:26|--a------|2987970] K:\musikCubeSetup_1.0.exe
[21/12/2009 09:24|--a------|713459] K:\abiword-plugins-impexp-2.4.6.exe
[21/12/2009 09:24|--a------|384692] K:\AbiWord_Dictionary_Italian.exe
[21/12/2009 09:24|--a------|379521] K:\AbiWord_Dictionary_Francais.exe
[21/12/2009 09:23|--a------|5410865] K:\abiword-setup-2.4.6.exe
[21/12/2009 09:21|--a------|9453630] K:\vlc-0.8.6a-win32.exe
[21/12/2009 09:19|--a------|939956] K:\7z465.exe
[21/12/2009 09:17|--a------|5011104] K:\klcp_update_552_20091214.exe
[21/12/2009 09:12|--a------|9058112] K:\Thunderbird Setup 3.0.exe
[21/12/2009 09:11|--a------|8143344] K:\Firefox Setup 3.5.6.exe
[21/12/2009 09:09|--a------|30143928] K:\avira_antivir_personal_free(3).exe
[21/12/2009 09:35|--a------|11213088] K:\winamp557_full_emusic-7plus_fr-fr.exe
[21/12/2009 09:34|--a------|450114] K:\RegSeeker.zip
[21/12/2009 09:32|--a------|4844296] K:\mbam-setup(2).exe
[21/12/2009 09:31|--a------|3309072] K:\ccsetup224(2).exe
[21/12/2009 11:04|--a------|27133983] K:\ivdf_fusebundle_nt_en.zip
[21/12/2009 13:17|--a------|27542576] K:\AdbeRdr920_fr_FR.exe
[21/12/2009 13:17|--a------|3485361] K:\Alchemy-007.2.zip
[21/01/2010 13:17|--a------|958249] K:\Favoris.html
[28/12/2009 15:05|--a------|20887] L:\R‚gularisation et Offre de Prix.ods
[01/10/2009 14:46|--a------|296] L:\WMPInfo.xml
[12/01/2010 15:57|--a------|94720] L:\CDD VOGT 110110.doc
[12/10/2009 14:35|-rahs----|5075599] L:\thumb.dd
[19/01/2007 20:58|--a------|30208] N:\FLORISOL 0012007 gce (solde CMCO gaines ).doc
[05/02/2006 17:40|--a------|12405] N:\logo.gif
[01/10/2004 16:46|--a------|22528] N:\P.P.S.P.S 1.doc
[01/01/2001 00:07|--a------|27136] N:\attestation sur l'honneur 3.doc
[11/07/2007 06:02|--a------|24576] N:\attestation sur l'honneur 2.doc
[25/03/2008 09:25|--a------|113664] N:\tarifs kaimann 2008.xls
[01/10/2004 16:41|--a------|24064] N:\P.P.S.P.S 2.doc
[06/03/2007 09:02|--a------|215040] N:\KAIMANN_TARIFS_AU_01-02-2007.xls
[01/01/2001 01:25|--a------|22016] N:\ATTESTATION SUR L'HONNEUR 4.doc
[19/12/2001 09:12|--a------|19968] N:\P.P.S.P.S TITRE.doc
[25/02/2009 14:07|--a------|1614] N:\BOOTEX.LOG
[21/02/2006 21:33|--a------|27136] N:\attestation de renonciation … la caution de sous-traitance.doc
[15/12/2005 19:22|--a------|25088] N:\ATTESTATION SUR L'HONNEUR.doc
[12/03/2007 11:29|--a------|24064] N:\Alaincourrier.doc
[14/03/2007 11:19|--a------|41472] N:\florisol_tarjous.doc
[09/11/2009 04:20|--a------|356] N:\EXEMPLE COURRIER.lnk
[25/03/2008 09:25|--a------|15872] N:\tarifs thermolite lammellas paroc 2008.xls
[25/03/2008 09:25|--a------|107008] N:\tarifs thermolite laine + divers 2008.xls
[06/04/2009 13:25|--a------|115200] N:\florisol tarif divers au 01-03-2009.xls
[06/04/2009 13:25|--a------|105984] N:\florisol tarif kaiflex au 01-01-2009.xls
[06/04/2009 13:26|--a------|34304] N:\florisol tarif kaiflex epdm au 01-01-2009.xls
[10/03/2009 16:26|--a------|35840] N:\dossier_article_devis_facture_excel.xls
[17/01/2010 04:01|--ahs----|861696] N:\ehthumbs_vista.db
[31/03/2009 11:41|--a------|296] N:\WMPInfo.xml
[23/02/2006 16:44|--a------|31232] N:\devis epaisseur 13.xls
[23/02/2006 16:46|--a------|31232] N:\devis epaisseur 19.xls
[23/02/2006 16:48|--a------|31232] N:\devis epaisseur 30.xls
[25/02/2006 19:52|--a------|33280] N:\Tarif Elastomere Epaisseur 13 et 19.xls
[02/03/2006 02:13|--a------|33280] N:\Tarif Collier Eau glac‚e Epaisseur 13 et 19.xls
[29/02/2008 14:16|--a------|5075112] O:\CarryItEasy.exe
[15/02/2008 17:16|--a------|476957] O:\Password Protection User Manual (CarryItEasy.exe).pdf

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# K:\autorun.inf -> Dossier créé par UsbFix.
# L:\autorun.inf -> Dossier créé par UsbFix.
# N:\autorun.inf -> Dossier créé par UsbFix.
# O:\autorun.inf -> Dossier créé par UsbFix.

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-FLORISOL.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.084 ! |

2) Rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijiCmAboj.odt
0
Réponse 8 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Re,

recommence la manipe de nettoyage avec UsbFix stp ...

mais cette fois , désactive AntiVir au préhalable !

Si au reboot , il se réactive et donne des alertes , tu fais "ignorer" pour que UsbFix puisse bosser ...

Poste moi le nouveau rapport obtenu et attends la suite ...

0
Réponse 9 / 31
67nico
 
Voilà,

j'ai désactivé antivir avant le lancement et au redémarrage il ne s'est pas manifesté :

############################## | UsbFix V6.084 |

User : FLORISOL (Administrateurs) # PC-DE-FLORISOL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:47:28 | 02/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,3 Go (92,77 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,03 Go (143,94 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 14,9 Go (14,9 Go free) [USB DISK] # FAT32
K:\ -> Disque amovible # 30,11 Go (29,81 Go free) # FAT32
L:\ -> Disque amovible # 1,92 Go (1,45 Go free) [UDISK 2.0] # FAT
M:\ -> Disque amovible # 1,95 Go (1,95 Go free) # FAT
N:\ -> Disque amovible # 977,47 Mo (13,81 Mo free) [KINGSTON] # FAT
O:\ -> Disque amovible # 7,67 Go (7,67 Go free) [STORE N GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Program Files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-4071627645-1100900699-1932446187-1000

################## | Registre |

################## | Mountpoints2 |

################## | Listing des fichiers présent |

[06/05/2007 20:29|--a------|3358] C:\-20070506.log
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[19/01/2008 08:45|-rahs----|333203] C:\bootmgr
[07/05/2007 04:44|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[29/11/2006 16:35|--a------|512] C:\MDR.iss
[?|?|?] C:\pagefile.sys
[06/05/2007 20:06|--a------|420] C:\RHDSetup.log
[06/05/2007 20:18|--a------|178] C:\setup.log
[23/10/2009 07:29|--a------|1503] C:\updatedatfix.log
[02/02/2010 11:49|--a------|4025] C:\UsbFix.txt
[02/02/2010 11:23|--a------|4135] C:\UsbFix_Upload_Me_PC-de-FLORISOL.zip
[21/12/2009 09:30|--a------|812344] K:\hijackthis_hijackthis_2.02_anglais_17891.exe
[21/12/2009 09:30|--a------|16409960] K:\spybot-search-destroy_spybot_-_search_destroy_1.6.2.46_francais_10965.exe
[21/12/2009 09:29|--a------|6000608] K:\sunbelt-personal-firewall-ex-kerio_sunbelt_personal_firewall_ex_kerio_4.6.1861_francais_11071.exe
[21/12/2009 09:29|--a------|152012024] K:\OOo_3.1.1_Win32Intel_install_wJRE_fr(2).exe
[21/12/2009 09:26|--a------|2987970] K:\musikCubeSetup_1.0.exe
[21/12/2009 09:24|--a------|713459] K:\abiword-plugins-impexp-2.4.6.exe
[21/12/2009 09:24|--a------|384692] K:\AbiWord_Dictionary_Italian.exe
[21/12/2009 09:24|--a------|379521] K:\AbiWord_Dictionary_Francais.exe
[21/12/2009 09:23|--a------|5410865] K:\abiword-setup-2.4.6.exe
[21/12/2009 09:21|--a------|9453630] K:\vlc-0.8.6a-win32.exe
[21/12/2009 09:19|--a------|939956] K:\7z465.exe
[21/12/2009 09:17|--a------|5011104] K:\klcp_update_552_20091214.exe
[21/12/2009 09:12|--a------|9058112] K:\Thunderbird Setup 3.0.exe
[21/12/2009 09:11|--a------|8143344] K:\Firefox Setup 3.5.6.exe
[21/12/2009 09:09|--a------|30143928] K:\avira_antivir_personal_free(3).exe
[21/12/2009 09:35|--a------|11213088] K:\winamp557_full_emusic-7plus_fr-fr.exe
[21/12/2009 09:34|--a------|450114] K:\RegSeeker.zip
[21/12/2009 09:32|--a------|4844296] K:\mbam-setup(2).exe
[21/12/2009 09:31|--a------|3309072] K:\ccsetup224(2).exe
[21/12/2009 11:04|--a------|27133983] K:\ivdf_fusebundle_nt_en.zip
[21/12/2009 13:17|--a------|27542576] K:\AdbeRdr920_fr_FR.exe
[21/12/2009 13:17|--a------|3485361] K:\Alchemy-007.2.zip
[21/01/2010 13:17|--a------|958249] K:\Favoris.html
[28/12/2009 15:05|--a------|20887] L:\R‚gularisation et Offre de Prix.ods
[01/10/2009 14:46|--a------|296] L:\WMPInfo.xml
[12/01/2010 15:57|--a------|94720] L:\CDD VOGT 110110.doc
[12/10/2009 14:35|-rahs----|5075599] L:\thumb.dd
[19/01/2007 20:58|--a------|30208] N:\FLORISOL 0012007 gce (solde CMCO gaines ).doc
[05/02/2006 17:40|--a------|12405] N:\logo.gif
[01/10/2004 16:46|--a------|22528] N:\P.P.S.P.S 1.doc
[01/01/2001 00:07|--a------|27136] N:\attestation sur l'honneur 3.doc
[11/07/2007 06:02|--a------|24576] N:\attestation sur l'honneur 2.doc
[25/03/2008 09:25|--a------|113664] N:\tarifs kaimann 2008.xls
[01/10/2004 16:41|--a------|24064] N:\P.P.S.P.S 2.doc
[06/03/2007 09:02|--a------|215040] N:\KAIMANN_TARIFS_AU_01-02-2007.xls
[01/01/2001 01:25|--a------|22016] N:\ATTESTATION SUR L'HONNEUR 4.doc
[19/12/2001 09:12|--a------|19968] N:\P.P.S.P.S TITRE.doc
[25/02/2009 14:07|--a------|1614] N:\BOOTEX.LOG
[21/02/2006 21:33|--a------|27136] N:\attestation de renonciation … la caution de sous-traitance.doc
[15/12/2005 19:22|--a------|25088] N:\ATTESTATION SUR L'HONNEUR.doc
[12/03/2007 11:29|--a------|24064] N:\Alaincourrier.doc
[14/03/2007 11:19|--a------|41472] N:\florisol_tarjous.doc
[09/11/2009 04:20|--a------|356] N:\EXEMPLE COURRIER.lnk
[25/03/2008 09:25|--a------|15872] N:\tarifs thermolite lammellas paroc 2008.xls
[25/03/2008 09:25|--a------|107008] N:\tarifs thermolite laine + divers 2008.xls
[06/04/2009 13:25|--a------|115200] N:\florisol tarif divers au 01-03-2009.xls
[06/04/2009 13:25|--a------|105984] N:\florisol tarif kaiflex au 01-01-2009.xls
[06/04/2009 13:26|--a------|34304] N:\florisol tarif kaiflex epdm au 01-01-2009.xls
[10/03/2009 16:26|--a------|35840] N:\dossier_article_devis_facture_excel.xls
[17/01/2010 04:01|--ahs----|861696] N:\ehthumbs_vista.db
[31/03/2009 11:41|--a------|296] N:\WMPInfo.xml
[23/02/2006 16:44|--a------|31232] N:\devis epaisseur 13.xls
[23/02/2006 16:46|--a------|31232] N:\devis epaisseur 19.xls
[23/02/2006 16:48|--a------|31232] N:\devis epaisseur 30.xls
[25/02/2006 19:52|--a------|33280] N:\Tarif Elastomere Epaisseur 13 et 19.xls
[02/03/2006 02:13|--a------|33280] N:\Tarif Collier Eau glac‚e Epaisseur 13 et 19.xls
[29/02/2008 14:16|--a------|5075112] O:\CarryItEasy.exe
[15/02/2008 17:16|--a------|476957] O:\Password Protection User Manual (CarryItEasy.exe).pdf

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# K:\autorun.inf -> Dossier créé par UsbFix.
# L:\autorun.inf -> Dossier créé par UsbFix.
# N:\autorun.inf -> Dossier créé par UsbFix.
# O:\autorun.inf -> Dossier créé par UsbFix.

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-FLORISOL.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.084 ! |
0
Réponse 10 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
impec ...

Supprime ce fichier qui est à la racine de ton disque dure > C:\UsbFix_Upload_Me_PC-de-FLORISOL.zip

la suite dans l'ordre :

1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

=========================

2- Télécharges Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

===========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Réponse 11 / 31
thierry75
 
bonjour,
pour bien nettoyer ton ordi et vérifier (et aussi éliminer) qu'il n'y a plus rien, il y a un truc très très simple, télécharge Dr.Web CureIt!, c'est gratuit, et super efficace :https://free.drweb.com/cureit/ !
a+
0
Réponse 12 / 31
67nico
 
Re,

après avoir suivi toutes les opérations dans l'ordre

voici les deux rapports demandés :

Celui de Malware où rien n'a été détecté

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 6.0.6001 Service Pack 1

02/02/2010 12:33:09
mbam-log-2010-02-02 (12-33-09).txt

Type de recherche: Examen rapide
Eléments examinés: 83543
Temps écoulé: 4 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Puis celui de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijmkLH6U1.txt
0
Réponse 13 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

ta version de Malwarebytes est complètement obsolete !!!

il faut le mette à jour ! > va dans l'onglet mise à jour de MBAM et clique sur "recherche de mise à jour" ...

recommence plusieurs fois jusqu'à ce qu'il n'est plus de maj dispo ...

une fois à jour , tu recommences la manipe ... Poste moi le nouveau rapport obtenu pour analyse ....

0
Réponse 14 / 31
67nico
 
Re,

J'ai effectué les mises à jours. Finalement il en aura trouver 4 ...

Voici le rapport

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3677
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18882

02/02/2010 14:23:26
mbam-log-2010-02-02 (14-23-26).txt

Type de recherche: Examen rapide
Eléments examinés: 101280
Temps écoulé: 6 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MyWebSearchService (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\system32\Drivers\ddsuok.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\FLORISOL\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\FLORISOL\AppData\Roaming\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 15 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Tient tient ...

une belle salté dénichée par MBAM ... faut approfondir ...

dans l'ordre :

1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .

===========================

2- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :

http://www2.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!

* Clique droit / executer en tant qu'admin..." sur gmer.exe pour le lancer .
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

> poste le rapport stp ...

==========================

3- Télécharge WC32 / Virut-Scan ( d'Eric_71 ) sur ton bureau :

> http://eric71.geekstogo.com/beta/WC32.exe

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* Clique droit / "executer en tant qu'admin..." sur WC32 pour lancer l'outil.
* Clique sur le bouton [SCAN] ( ne touche à rien d'autre ) puis laisse travailler ...
* Une fois le scan terminé un rapport s'affiche dans l'encadré principal .

-> copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ... ( le rapport sera en outre enregistrer sur ton bureau sous le nom de virscan.txt )

Puis ferme l'outil ...

0
Réponse 16 / 31
67nico
 
Re,

Voici le rapport de Gmer :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-02 15:28:38
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\FLORISOL\AppData\Local\Temp\awryiuob.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0x892EF9A6] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0x892EFB98] <-- ROOTKIT !!!
SSDT 9D54044C ZwCreateThread
SSDT 9D540438 ZwOpenProcess
SSDT 9D54043D ZwOpenThread
SSDT 9D540447 ZwTerminateProcess
SSDT \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateUserProcess [0x892EFDA0] <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetTimerEx + 43C 834C1A00 8 Bytes [A6, F9, 2E, 89, 98, FB, 2E, ...]
.text ntkrnlpa.exe!KeSetTimerEx + 454 834C1A18 4 Bytes [4C, 04, 54, 9D] {DEC ESP; ADD AL, 0x54; POPF }
.text ntkrnlpa.exe!KeSetTimerEx + 624 834C1BE8 4 Bytes [38, 04, 54, 9D] {CMP [ESP+EDX*2], AL; POPF }
.text ntkrnlpa.exe!KeSetTimerEx + 640 834C1C04 4 Bytes [3D, 04, 54, 9D]
.text ntkrnlpa.exe!KeSetTimerEx + 854 834C1E18 4 Bytes [47, 04, 54, 9D] {INC EDI; ADD AL, 0x54; POPF }
.text ...
? System32\drivers\rjmnouwf.sys Le chemin d'accès spécifié est introuvable. !
? System32\Drivers\ddsuok.sys Un périphérique attaché au système ne fonctionne pas correctement. !
.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8F808340, 0x33CA27, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [743A88B4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [743E98A5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [743AB9D4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7439FB47] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [743A7A79] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [7439EA65] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [743DB17D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [743ABC9A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [743A074E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [743A06B5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [743971B3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [7442D848] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [743C7379] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [7439E109] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [7439697E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [743969A9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[3552] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [743A2465] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18175_none_9e7bbe54c9c04bca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 87197A60

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] ddsuok <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet019\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet019\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet019\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet019\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet020\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet020\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet020\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet020\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet021\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet021\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet021\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet021\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet022\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet022\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet022\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet022\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet023\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet023\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet023\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet023\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet024\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet024\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet024\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet024\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet025\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet025\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet025\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet025\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet026\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet026\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet026\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet026\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet027\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet027\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet027\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet027\Services\ddsuok@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet028\Services\ddsuok@Type 1
Reg HKLM\SYSTEM\ControlSet028\Services\ddsuok@Start 0
Reg HKLM\SYSTEM\ControlSet028\Services\ddsuok@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet028\Services\ddsuok@Group Boot Bus Extender

---- EOF - GMER 1.0.15 ----

-----------------------------------------------------------

Et celui de Virut Scan qui est "un peu" plus court :

-- Report --

.
0
Réponse 17 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....

parcontre le rapport de GMER est éloquant ...

fait exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
• Ferme tes applications en cours ( ainsi que ton navigateur ) .
DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
• Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------

Ensuite :
> Clique droit / "executer an tant qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .

Poste le rapport Combofix pour analyse et attends la suite ...

0
Réponse 18 / 31
67nico
 
Voilà ce que ca donne :

ComboFix 10-02-01.03 - FLORISOL 02/02/2010 15:59:52.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2047.1222 [GMT 1:00]
Lancé depuis: c:\users\FLORISOL\Desktop\ComboFix.exe
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\FLORISOL\Documents\cc_20091105_093109.reg

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-02 au 2010-02-02 ))))))))))))))))))))))))))))))))))))
.

2010-02-02 15:07 . 2010-02-02 15:07 -------- d-----w- c:\users\FLORISOL\AppData\Local\temp
2010-02-02 15:07 . 2010-02-02 15:07 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-02 11:45 . 2010-02-02 11:45 -------- d-----w- c:\users\FLORISOL\DoctorWeb
2010-02-02 09:29 . 2010-02-02 10:49 -------- d-----w- C:\UsbFix
2010-02-02 08:23 . 2010-02-02 10:26 -------- d-----w- c:\program files\ZHPDiag
2010-02-01 17:47 . 2009-08-24 12:16 378368 ----a-w- c:\windows\system32\winhttp.dll
2010-01-31 23:00 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll
2010-01-31 23:00 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll
2010-01-21 08:14 . 2010-01-21 08:17 -------- d-----w- c:\program files\Google
2010-01-17 02:33 . 2010-01-17 02:33 -------- d-----w- c:\users\FLORISOL\AppData\Roaming\CoSoSys
2010-01-13 05:12 . 2009-10-19 14:27 156672 ----a-w- c:\windows\system32\t2embed.dll
2010-01-13 05:12 . 2009-10-19 14:24 72704 ----a-w- c:\windows\system32\fontsub.dll
2010-01-12 01:40 . 2010-01-12 01:40 -------- d-----w- c:\users\FLORISOL\AppData\Roaming\HPAppData
2010-01-08 12:43 . 2010-01-08 12:44 23802 ----a-w- c:\windows\hpqins15.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-02 14:52 . 2006-11-02 15:48 669328 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-02 14:52 . 2006-11-02 15:48 123350 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-02 13:11 . 2009-02-01 13:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-02 13:09 . 2009-10-02 11:10 5115824 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-02 11:08 . 2009-05-14 12:01 1 ----a-w- c:\users\FLORISOL\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-02 09:26 . 2008-06-14 18:39 22023120 ----a-w- c:\users\FLORISOL\AppData\Roaming\Adobe\Acrobat\7.0\Updater\AdbeRdr710_fr_FR.exe
2010-01-22 03:21 . 2009-05-25 13:22 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-15 13:09 . 2009-10-23 06:08 -------- d-----w- c:\users\FLORISOL\AppData\Roaming\HpUpdate
2010-01-14 10:12 . 2009-10-03 03:11 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-13 15:30 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-07 15:07 . 2009-02-01 13:00 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-02-01 13:00 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-02 06:38 . 2010-01-21 21:26 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-21 21:26 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 06:32 . 2010-01-21 21:26 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 04:57 . 2010-01-21 21:26 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-30 13:53 . 2008-04-30 10:40 74664 ----a-w- c:\users\FLORISOL\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-30 07:20 . 2007-05-06 19:18 -------- d-----w- c:\programdata\Microsoft Help
2009-12-30 07:18 . 2007-05-06 19:20 -------- d-----w- c:\program files\Microsoft Works
2009-12-28 13:43 . 2008-04-30 10:39 -------- d-----w- c:\program files\Yahoo!
2009-12-25 13:42 . 2009-12-25 13:42 -------- d-----w- c:\program files\SystemRequirementsLab
2009-12-25 13:42 . 2009-12-25 13:42 138240 ----a-w- c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_d.dll
2009-12-25 13:42 . 2009-12-25 13:42 138240 ----a-w- c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_c.dll
2009-12-25 13:42 . 2009-12-25 13:42 138240 ----a-w- c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_b.dll
2009-12-25 13:42 . 2009-12-25 13:42 138240 ----a-w- c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab\SRLProxy_srl_4_1_14_0_a.dll
2009-12-25 13:42 . 2009-12-25 13:42 -------- d-----w- c:\users\FLORISOL\AppData\Roaming\SystemRequirementsLab
2009-12-18 08:17 . 2009-12-21 09:30 586106 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aescript.dll
2009-12-18 08:17 . 2009-12-21 09:30 237943 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aehelp.dll
2009-12-18 08:17 . 2009-12-21 09:30 369014 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aegen.dll
2009-12-13 10:36 . 2009-12-06 09:59 -------- d-----w- c:\users\FLORISOL\AppData\Roaming\Apple Computer
2009-12-13 10:30 . 2009-12-06 09:53 -------- d-----w- c:\programdata\Apple
2009-12-11 22:42 . 2009-09-02 09:09 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-11 22:42 . 2009-12-21 09:30 127348 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aescn.dll
2009-12-11 22:42 . 2009-12-21 09:30 180598 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aecore.dll
2009-12-08 19:03 . 2009-12-08 19:03 -------- d-----w- c:\users\FLORISOL\AppData\Roaming\Windows Live Writer
2009-12-07 21:39 . 2009-12-21 09:30 2183544 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aeheur.dll
2009-12-06 09:58 . 2009-12-06 09:57 -------- d-----w- c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-12-06 09:58 . 2009-12-06 09:57 -------- d-----w- c:\program files\iTunes
2009-12-06 09:57 . 2009-12-06 09:57 -------- d-----w- c:\program files\iPod
2009-12-06 09:57 . 2009-12-06 09:53 -------- d-----w- c:\program files\Common Files\Apple
2009-12-06 09:57 . 2009-12-06 09:56 -------- d-----w- c:\programdata\Apple Computer
2009-12-06 09:56 . 2009-12-06 09:56 -------- d-----w- c:\program files\Bonjour
2009-12-06 09:56 . 2009-12-06 09:56 -------- d-----w- c:\program files\QuickTime
2009-12-06 09:55 . 2009-12-06 09:55 -------- d-----w- c:\program files\Apple Software Update
2009-12-05 02:36 . 2007-05-06 19:34 -------- d-----w- c:\programdata\eSobi
2009-12-01 14:11 . 2009-12-21 09:30 479605 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aerdl.dll
2009-11-20 12:06 . 2009-12-21 09:30 246132 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aesbx.dll
2009-11-20 08:32 . 2009-11-20 08:24 78314 ----a-w- c:\windows\hpqins05.dat
2009-11-19 10:48 . 2009-12-01 07:21 872960 ----a-w- c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-11-19 10:48 . 2009-12-01 07:21 43008 ----a-w- c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-11-19 10:48 . 2009-12-01 07:21 340480 ----a-w- c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-11-19 10:48 . 2009-12-01 07:21 346624 ----a-w- c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-11-09 13:22 . 2009-12-10 01:52 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 13:20 . 2009-12-10 01:52 31232 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 11:04 . 2009-12-10 01:52 411136 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-06 07:16 . 2009-12-21 09:30 422261 ----a-w- c:\programdata\Avira\AntiVir Desktop\FAILSAVE\aepack.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 2153472]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 4423680]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-02-15 151552]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-03-22 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-03-22 8425472]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-03-22 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-25 136600]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
PCM Media Sharing.lnk - c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe [2007-5-6 200812]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk
backup=c:\windows\pss\Empowering Technology Launcher.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^FLORISOL^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk]
path=c:\users\FLORISOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Empowering Technology Monitor]
2007-01-24 08:27 319488 ----a-w- c:\acer\Empowering Technology\SysMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Tour Reminder]
2007-02-15 16:39 151552 ----a-w- c:\acer\AcerTour\Reminder.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R0 PCTCore;PCTools KDS;c:\windows\System32\drivers\PCTCore.sys [12/10/2009 15:24 206256]
R2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [06/05/2007 20:33 266343]
R2 Acer TV Share Service;Acer TV Share Service;c:\program files\Acer Arcade Live\Acer TV Share\Kernel\DMSTV\CLMSServer.exe [14/07/2007 02:53 269424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/09/2009 10:09 108289]
R3 Ph3xIB32;Philips 713x VU PCI TV Card;c:\windows\System32\drivers\Ph3xIB32.sys [03/04/2007 09:43 1131136]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [21/01/2010 09:14 135664]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [03/12/2009 22:59 54632]
S3 fsssvc;Windows Live Family Safety Service;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [12/10/2009 15:24 348824]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - ddsuok

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-02-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-21 08:14]

2010-02-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-21 08:14]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
IE: &Search
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=NW9Ypsnx&q=
FF - component: c:\users\FLORISOL\AppData\Roaming\Mozilla\Firefox\Profiles\sjq39hku.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

FF - user.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=NW9Ypsnx&q=
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Acer Tour - (no file)
HKLM-Run-eRecoveryService - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-02 16:07
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ddsuok]

.
Heure de fin: 2010-02-02 16:11:49
ComboFix-quarantined-files.txt 2010-02-02 15:11

Avant-CF: 99 349 860 352 octets libres
Après-CF: 99 260 547 072 octets libres

- - End Of File - - 239ECA8DD46AF801D913E78CD077A4A9
0
Réponse 19 / 31
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bon ...

j'ai besoin d'info ....

fait ceci dans l'ordre :

1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Windows\system32\DRIVERS\nvlddmkm.sys

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

Fais de même pour :

C:\Windows\system32\drivers\PCTCore.sys
C:\Windows\system32\drivers\rjmnouwf.sys
C:\Windows\System32\drivers\ddsuok.sys

Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

=============================

3- Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Clique droit / "executer en tant qu'admin..." sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

nvlddmkm,PCTCore,rjmnouwf,ddsuok

* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

* Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/

0
Réponse 20 / 31
67nico
 
Bonsoir,

je n'ai pas accès à l'ordi concerné avant demain matin 8h. Je ferai cette étape demain matin et continuerai de poster normalement ensuite.

Bonne soirée
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
dis moi,

c'est donc le PC de ton boulot ? ...

il est en réseau avec d'autres ? ... tu es admin du PC ? ...



A demain avec les résultats...
0

Discussions similaires

Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses