Sujet Précédent Sujet Suivant

Virus et bande passante

Résolu/Fermé
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014 - Modifié par D4rkLink le 1/08/2010 à 03:19
 Utilisateur anonyme - 2 août 2010 à 19:51
Bonjour à tous voici mon problème :

Depuis 3 ou 4 jours, aux alentours de 18h je peux observer une montée de ping, lorsque que je joue ou que je navigue, c'est devenue impossible de faire quoi que ce soit. J'ai donc appelé la hotline et après plusieurs manipulations il s'est avéré que le problème ne venait pas de ma connexion mais bien de mon pc lui même. (speed test en mode sans échec sup 1mo/s et en mode normale ca peut aller de 400 ko/s à 200 ko/s :/ )

Après un scan de NOD32, Spybot, Ad Aware, Ccleaner et une maintenance Tune up, rien n'a bougé, le problème persiste :/

Je suis sous windows vista 32 bits mais je ne possède pas les CD d'installations, donc pour formater ca m'parait délicat...

Actuellement donc ma connexion sur mon pc je n'peux donc plus vraiment jouer à partir de 18h (quand le virus se déclenche donc) et je navigue difficilement.

Je m'en remet donc à vous pour m'aider a résoudre ce problème.
Merci d'avance.

26 réponses

  • 1
  • 2
Réponse 1 / 26
Utilisateur anonyme
31 juil. 2010 à 22:59
bonsoir,
on va voir ce qu'on peut faire pour ton pc :
* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

0
Réponse 2 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
Modifié par D4rkLink le 1/08/2010 à 03:19
Bonsoir, merci de prendre le temps de m'aider.
Après avoir effectué la manip voici ce que j'ai obtenu:

http://www.cijoint.fr/cjlink.php?file=cj201008/cij07RAJpb.txt

J'attends la suite ^^
0
Réponse 3 / 26
Utilisateur anonyme
Modifié par Electricien 69 le 1/08/2010 à 09:20
bonjour,
désinstalle adaware, il n'est plus utile !

tu as une infection par les toolbars !
saches que les toolbars ne sont pas obligatoires :-)

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

----------------------------------------------------------

HOSTFix

----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html


recommence cette opération (Zhpfix) avec cette commande :


MBRFIX


* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


poste les trois rapports en copier coller sur ton/tes prochains messages :-)
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
0
Réponse 4 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
1 août 2010 à 13:32
Salut, donc pour le premier rapport avec HOSTFix cela me donne une erreur : Accès refusé.

Pour MBRFIX :
Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre :
Run by Christophe at 01/08/2010 13:06:46
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x844561D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x844561d8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


========== Récapitulatif ==========
1 :Master Boot Record


End of the scan

Ensuite le scan avec Ad-Remover :

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:10:03 le 01/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
Christophe@PC-DE-TOTOF (HP-Pavilion GS384AA-ABF a6280.fr)

============== ACTION(S) ==============


0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js
0,Dossier supprimé: C:\Users\Christophe\AppData\Local\Conduit
0,Dossier supprimé: C:\Users\Christophe\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Christophe\AppData\Roaming\Mozilla\FireFox\Profiles\2n8c5tva.default\Prefs.js --
Ligne supprimée: user_pref("CT2269050.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2269050.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT226...
Ligne supprimée: user_pref("CT2304157.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2304157.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT230...
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&Sea...
Ligne supprimée: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=");
-- Fichier Fermé --


0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2269050
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2304157
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\Christophe\AppData\Roaming\Mozilla\FireFox\Profiles\2n8c5tva.default\Prefs.js --
browser.download.dir, C:\\Users\\Christophe\\Desktop
browser.download.lastDir, C:\\Users\\Christophe\\Pictures\\Mes images
browser.search.defaultenginename, Ask
browser.search.selectedEngine, Armurerie de World of Warcraft
browser.startup.homepage, hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 01/08/2010 (4255 Octet(s))

Fin à: 13:14:45, 01/08/2010

============== E.O.F ==============
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
Utilisateur anonyme
1 août 2010 à 13:35
ok,
rapports vus !

relance ADRemover, clique sur désinstaller,

redemarre ton pc, puis repasse un autre zhpdiag,
aide toi de ce poste :
https://forums.commentcamarche.net/forum/affich-18684874-virus-et-bande-passante#1
0
Réponse 6 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
Modifié par D4rkLink le 1/08/2010 à 14:16
Voici le nouveau rapport :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijrgqp5wU.txt
0
Réponse 7 / 26
Utilisateur anonyme
1 août 2010 à 14:23
le MBR est toujours infecté !

* Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.


Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Si c'est le cas, continue comme ça :

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe

Réactive tes protections.

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.


0
Réponse 8 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
1 août 2010 à 14:44
Le log qui apparait après avoir éxecuter le .exe est le suivant :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

J'en conclue que le MBR est clean. Crois-tu que c'était la cause de mon problème ?
0
Réponse 9 / 26
Utilisateur anonyme
1 août 2010 à 14:48
la cause de tes problèmes est le toolbar !
skype et msnmessnger n'arrange en rien !

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

----------------------------------------------------------

[HKCU\Software\AppDataLow\Toolbar]

----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html



0
Réponse 10 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
1 août 2010 à 14:50
Voilà j'ai fait la manip demandé :

Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-01-08-2010-14-49-09.txt
Run by Christophe at 01/08/2010 14:49:09
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\Toolbar => Clé supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre


End of the scan
0
Réponse 11 / 26
Utilisateur anonyme
1 août 2010 à 14:55
super:-)

redemarre ton pc, dis moi comment il va?

as tu encore des difficultés dans la navigation et le problème de bande passante ?
0
Réponse 12 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
1 août 2010 à 15:03
Hélas je viens de faire différents test de connexion et le problème persiste, je suis encore aux alentours de 250 - 400 ko/s alors qu'avec le type de la hotline en mode sans échec j'étais a 1 mo/s. Sur les autres pc de la maison le débit est également beaucoup plus élevé que le miens je ne comprends toujours pas :/

La connexion reste donc aussi lente que ces 3 derniers jours :/
0
Réponse 13 / 26
Utilisateur anonyme
1 août 2010 à 15:05
ok, on va utiliser les grands moyens !
s'il s'agit d'une infection, on la verra !


* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0
Réponse 14 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
1 août 2010 à 15:53
Voilà après analyse Combofix, je vais le poster en plusieurs fois car ça a pas l'air de passer en une fois.

ComboFix 10-07-31.04 - Christophe 01/08/2010 15:26:16.1.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2047.1191 [GMT 2:00]
Lancé depuis: c:\users\Christophe\Desktop\ComboFix.exe
AV: ESET NOD32 antivirus system 2.70 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un antivirus résident est actif

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

M:\install.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-01 au 2010-08-01 ))))))))))))))))))))))))))))))))))))
.

2010-08-01 00:56 . 2010-08-01 12:09 -------- d-----w- c:\program files\ZHPDiag
2010-07-31 16:53 . 2010-08-01 10:47 -------- d-----w- c:\program files\DVDVideoSoftTB
2010-07-31 16:53 . 2010-07-31 16:53 52224 ----a-w- c:\users\Christophe\AppData\Roaming\Mozilla\Firefox\Profiles\2n8c5tva.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll
2010-07-31 16:53 . 2010-07-31 16:53 101376 ----a-w- c:\users\Christophe\AppData\Roaming\Mozilla\Firefox\Profiles\2n8c5tva.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll
2010-07-30 20:30 . 2010-07-30 20:30 -------- d-----w- c:\users\Christophe\AppData\Roaming\DVDVideoSoftIEHelpers
2010-07-09 19:04 . 2010-07-09 19:04 41872 ----a-w- c:\windows\system32\xfcodec.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-01 13:18 . 2008-01-20 14:53 -------- d-----w- c:\program files\Eset
2010-08-01 13:12 . 2008-01-20 14:59 298104 ----a-w- c:\windows\system32\imon.dll
2010-08-01 13:12 . 2008-01-20 14:59 512096 ----a-w- c:\windows\system32\drivers\amon.sys
2010-08-01 13:12 . 2008-01-20 14:59 15424 ----a-w- c:\windows\system32\drivers\nod32drv.sys
2010-08-01 11:11 . 2010-06-19 19:06 -------- d-----w- c:\users\Christophe\AppData\Roaming\Skype
2010-08-01 10:59 . 2009-08-11 19:46 -------- d-----w- c:\users\Christophe\AppData\Roaming\Mumble
2010-08-01 10:59 . 2008-03-29 14:51 -------- d-----w- c:\users\Christophe\AppData\Roaming\teamspeak2
2010-08-01 10:54 . 2008-02-12 22:12 188152 ----a-w- c:\users\Christophe\AppData\Roaming\Mozilla\Firefox\Profiles\2n8c5tva.default\FlashGot.exe
2010-08-01 10:49 . 2008-03-03 20:11 -------- d-----w- c:\program files\Steam
2010-08-01 10:47 . 2010-04-14 17:49 -------- d-----w- c:\program files\XfireXO
2010-08-01 10:47 . 2009-08-11 19:46 -------- d-----w- c:\program files\Mumble
2010-08-01 10:47 . 2010-04-14 17:48 -------- d-----w- c:\program files\Xfire
2010-08-01 10:47 . 2010-03-30 16:01 -------- d-----w- c:\program files\LogMeIn Hamachi
2010-08-01 06:00 . 2010-06-19 19:10 -------- d-----w- c:\users\Christophe\AppData\Roaming\skypePM
2010-08-01 01:54 . 2010-04-14 17:48 -------- d-----w- c:\users\Christophe\AppData\Roaming\Xfire
2010-07-31 17:01 . 2009-12-21 14:53 680 ----a-w- c:\users\Christophe\AppData\Local\d3d9caps.dat
2010-07-30 20:30 . 2008-02-17 23:50 -------- d-----w- c:\program files\Common Files\DVDVideoSoft
2010-07-30 07:41 . 2010-04-14 17:48 -------- d-----w- c:\programdata\Xfire
2010-07-19 20:15 . 2008-08-13 15:22 -------- d-----w- c:\program files\Warcraft III
2010-07-17 09:20 . 2007-09-19 00:40 681560 ----a-w- c:\windows\system32\perfh00C.dat
2010-07-17 09:20 . 2007-09-19 00:40 127298 ----a-w- c:\windows\system32\perfc00C.dat
2010-07-15 08:36 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-07-07 18:59 . 2010-06-14 19:23 2568656 ----a-w- c:\users\Christophe\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2010-06-30 20:24 . 2008-11-17 22:09 196608 ----a-w- c:\users\Christophe\AppData\Roaming\Acreon\WowMatrix\Libraries\wmweb.dll
2010-06-30 20:24 . 2008-11-17 22:09 258048 ----a-w- c:\users\Christophe\AppData\Roaming\Acreon\WowMatrix\Libraries\wmzip.dll
2010-06-30 09:58 . 2010-06-30 09:58 -------- d-----w- c:\programdata\Blizzard Entertainment
2010-06-26 01:03 . 2010-01-24 14:13 -------- d-----w- c:\program files\Microsoft.NET
2010-06-23 22:12 . 2007-09-18 15:33 -------- d-----w- c:\programdata\Roxio
2010-06-19 19:10 . 2010-06-19 19:10 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-06-19 19:06 . 2010-06-19 19:05 -------- d-----r- c:\program files\Skype
2010-06-19 19:05 . 2010-06-19 19:05 -------- d-----w- c:\program files\Common Files\Skype
2010-06-19 19:05 . 2010-06-19 19:05 -------- d-----w- c:\programdata\Skype
2010-06-17 20:58 . 2010-06-17 20:58 -------- d-----w- c:\users\Christophe\AppData\Roaming\Dyyno
2010-06-17 20:58 . 2010-06-17 20:58 -------- d-----w- c:\program files\Dyyno
2010-06-11 16:12 . 2010-06-11 16:09 -------- d-----w- c:\users\Christophe\AppData\Roaming\TS3Client
2010-06-01 16:29 . 2010-03-31 11:38 443912 ----a-w- c:\users\Christophe\AppData\Roaming\Real\Update\setup3.10\setup.exe
2010-05-26 16:16 . 2010-06-11 22:16 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-26 14:25 . 2010-06-11 22:16 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-02 16:26 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-20 14:06 . 2010-05-19 11:13 71960 ----a-w- c:\users\Christophe\AppData\Roaming\Mozilla\Plugins\npoctoshape.dll
2010-05-08 16:37 . 2009-08-04 19:27 160007 ----a-w- c:\windows\War3Unin.dat
2010-05-04 05:59 . 2010-06-11 22:16 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-04 05:55 . 2010-06-11 22:16 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-05-04 05:55 . 2010-06-11 22:16 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-05-04 04:31 . 2010-06-11 22:16 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-01-23 14:07 . 2008-01-23 14:07 24 --sh--w- c:\windows\SCAD16CE9.tmp
2007-09-19 00:56 . 2007-09-19 00:42 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2008-01-19 190024]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2006-01-24 7094272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2010-08-01 949376]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 55824]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 55824]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-08-13 98304]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-2-15 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logitech Desktop Messenger.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logitech Desktop Messenger.lnk
backup=c:\windows\pss\Logitech Desktop Messenger.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logitech SetPoint.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Christophe^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\Christophe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
2009-08-19 21:48 2356088 ----a-w- c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2006-09-28 19:21 57344 ----a-w- c:\program files\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2006-11-12 10:48 157592 ----a-w- c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
2007-09-21 02:10 55824 ----a-w- c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
2007-09-21 02:10 55824 ----a-w- c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-10-25 15:37 2178832 ----a-w- c:\program files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
2008-01-19 13:50 190024 ----a-w- c:\program files\MessengerPlus! 3\MsgPlus.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2008-07-10 08:22 397312 ----a-w- c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateReg"="c:\windows\system32\jureg.exe"
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2786734437-1169123875-2706251903-1001]
"EnableNotificationsRef"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1c9de35f569e2c0;Service Google Update (gupdate1c9de35f569e2c0);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-26 133104]
R2 IntelDHSvcConf;Intel DH Service;c:\program files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe [2006-05-10 29696]
R3 netr73;Belkin Wireless G Plus MIMO USB Network Adapter Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2006-09-28 247808]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-06-29 3110016]
R3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\DRIVERS\s0017bus.sys [2008-05-27 90536]
R3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0017mdfl.sys [2008-05-27 15016]
R3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0017mdm.sys [2008-05-27 122152]
R3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0017mgmt.sys [2008-05-27 115496]
R3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\DRIVERS\s0017nd5.sys [2008-05-27 25768]
R3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0017obex.sys [2008-05-27 111912]
R3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\DRIVERS\s0017unic.sys [2008-05-27 117672]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-01-23 639224]
S1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2010-08-01 15424]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-14 172032]
S2 DQLWinService;DQLWinService;c:\program files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [2006-09-03 208896]
S2 Dyyno Launcher;Dyyno Service;c:\program files\Dyyno\Dyyno Broadcaster\launcherd.exe [2010-05-22 410976]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-03-30 1107336]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-08-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-26 19:12]

2010-08-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-26 19:12]

2010-07-31 c:\windows\Tasks\User_Feed_Synchronization-{0533E7A3-5F0C-4EEF-8364-ED67AF67BBAA}.job
- c:\windows\system32\msfeedssync.exe [2010-06-11 04:30]
.
.
0
Réponse 15 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
1 août 2010 à 15:55
2EME PARTIE :

------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = localhost
IE: &Tout télécharger avec FlashGet - c:\program files\FlashGet\jc_all.htm
IE: &Télécharger avec FlashGet - c:\program files\FlashGet\jc_link.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Free YouTube to Mp3 Converter - c:\users\Christophe\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
LSP: c:\windows\system32\imon.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\users\Christophe\AppData\Roaming\Mozilla\Firefox\Profiles\2n8c5tva.default\
FF - prefs.js: browser.search.selectedEngine - Armurerie de World of Warcraft
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - component: c:\users\Christophe\AppData\Roaming\Mozilla\Firefox\Profiles\2n8c5tva.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\FFExternalAlert.dll
FF - component: c:\users\Christophe\AppData\Roaming\Mozilla\Firefox\Profiles\2n8c5tva.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\components\RadioWMPCore.dll
FF - component: c:\users\Christophe\AppData\Roaming\Mozilla\Firefox\Profiles\2n8c5tva.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll
FF - component: c:\users\Christophe\AppData\Roaming\Mozilla\Firefox\Profiles\2n8c5tva.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\users\Christophe\AppData\Roaming\Mozilla\plugins\npoctoshape.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{5e5ab302-7f65-44cd-8211-c1d4caaccea3} - c:\program files\XfireXO\tbXfir.dll
URLSearchHooks-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - c:\program files\DVDVideoSoftTB\tbDVDV.dll
BHO-{5e5ab302-7f65-44cd-8211-c1d4caaccea3} - c:\program files\XfireXO\tbXfir.dll
BHO-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - c:\program files\DVDVideoSoftTB\tbDVDV.dll
Toolbar-{5e5ab302-7f65-44cd-8211-c1d4caaccea3} - c:\program files\XfireXO\tbXfir.dll
Toolbar-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - c:\program files\DVDVideoSoftTB\tbDVDV.dll
WebBrowser-{5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - c:\program files\XfireXO\tbXfir.dll
HKCU-Run-ehTray.exe - c:\windows\ehome\ehTray.exe
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU-Run-Octoshape Streaming Services - c:\users\Christophe\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
HKCU-Run-Dyyno Launcher - c:\program files\Dyyno\Dyyno Broadcaster\dyyno_launcher.exe
HKCU-Run-Skype - c:\program files\Skype\Phone\Skype.exe
HKLM-Run-hpsysdrv - c:\hp\support\hpsysdrv.exe
HKLM-Run-OsdMaestro - c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
HKLM-Run-RtHDVCpl - RtHDVCpl.exe
HKLM-Run-TkBellExe - c:\program files\Common Files\Real\Update_OB\realsched.exe
HKLM-Run-LogitechCommunicationsManager - c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
HKLM-Run-hpqSRMon - c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe
HKLM-Run-AAWTray - c:\program files\Lavasoft\Ad-Aware 2007\AAWTray.exe
HKLM-Run-OODefragTray - c:\windows\system32\oodtray.exe
HKLM-Run-GrooveMonitor - c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
HKLM-Run-LogMeIn Hamachi Ui - c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
HKLM-Run-SunJavaUpdateSched - c:\program files\Common Files\Java\Java Update\jusched.exe
MSConfigStartUp-AAWTray - c:\program files\Lavasoft\Ad-Aware 2007\AAWTray.exe
AddRemove-Octoshape Streaming Services - c:\users\Christophe\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-01 15:37
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-08-01 15:42:08
ComboFix-quarantined-files.txt 2010-08-01 13:42

Avant-CF: 22 933 131 264 octets libres
Après-CF: 22 882 541 568 octets libres

- - End Of File - - D11D1568E4DF034AD4F4ED52FB56D742
0
Réponse 16 / 26
Utilisateur anonyme
1 août 2010 à 16:02
o /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Télécharge The Avenger par Swandog46 sur ton Bureau:

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau


. Maintenant, lance The Avenger en cliquant sur son icône du bureau

/!\utilisateur de Vista et Seven, clique droit et le lancer en tant qu'administrateur

. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to disable:
npggsvc
Drivers to delete:
npggsvc
Files to delete:
c:\windows\system32\GameMon.des


Registry values to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc

. Colle ce texte (Ctrl+V) dans le cadre :Input script here

. Appuie sur Execute

. Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html





0
Réponse 17 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
1 août 2010 à 16:10
Voici le rapport d'avenger.

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6001, Service Pack 1)
Sun Aug 01 16:06:29 2010

16:06:17: Error: Invalid syntax in command:
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc"
Skipping line. (Registry value deletion mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "npggsvc" disabled successfully.
Driver "npggsvc" deleted successfully.
File "c:\windows\system32\GameMon.des" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
0
Réponse 18 / 26
Utilisateur anonyme
1 août 2010 à 16:13
super,
comment va maintenent ton pc après un redemarrage ?
0
Réponse 19 / 26
D4rkLink Messages postés 83 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 22 décembre 2014
1 août 2010 à 16:17
Ca a l'air beaucoup mieux :)

Après plusieurs test je suis repassé autour de 1 mo/s et j'ai retrouvé ma connexion d'antant :)

Merci beaucoup, maintenant j'aimerai si possible quelques consignes de sécurités, que dois-je faire pour éviter que cela se reproduise ? ^^

Durant les manipulations (j'ai dû faire quelques erreurs au début) cela ma désinstallé xfire / skype / mumble.
Il n'y aura pas d'autres soucis si je les réinstalle ?
0
Réponse 20 / 26
Utilisateur anonyme
1 août 2010 à 16:53
ce n'est pas términé !

on va y aller jusqu'au bout :-)

* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.double-cliques sur le fichier pour lancer l'installation
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »

.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

* pour supprimer les outils de désinfection :

Télécharge OTC de Old Timer .
http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/

Utilisateur de vista et Windows 7 :Clique droit sur OTCleanIt et choisis Exécuter en tant qu'administrateur.
Clique sur le bouton "CleanUp!" .
Sélectionne Oui lorsque la demande " processus de nettoyage?" s'affiche.
Si tu es invité à redémarrer le PC au cours de l'assainissement, sélectionne Oui.
L'outil va se supprimer lui-même une fois la fin de l'opération.
Note : si certains outils restent sur ton pc, il faut les supprimer manuellement


* Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

Pour Vista : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista


fais une msie à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au just du résultat :-)

0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Free tv proble bande passante insuffisante
SteveCY17 -
nadellen -

29 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
comment envoyer un virus ?
willva -
BeFaX -

1 réponse