Virus, dur à faire partir. Résolu

Question

Bonjour, 

J'ai un petit virus qui c'est incrusté sur mon PC. Et j'ai trouvé quelqu'un qui avait le même que mois sur le forum donc hop j'ai fait pareil. Mais il est pas partis entièrement :s Si quelqu'un peut m'aider à nettoyer mon PC une bonne fois pour toute de toutes ces petites bêbête sa me ferai très plaisir =)

Merci d'avance

Configuration: Windows 7 / Internet Explorer 7.0

jlpjlp · Accepted Answer

ok

fais plutôt ceci :


repasse malwarebyte et colle le rapport d'une analyse rapide avec

puis



Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

bubull97 · Answer

Salut =)
Je sais pas de quel virus il s'agit ni comment t'as fait en fonciton d'une autre astuce sur ce forum, mais la meilleure des chose est d'installer un antivirus (tu peux prendre un gratuit et qui n'est pas très gros comme Panda Cloud par exemple). Si le problème persiste, tu fais un retour en arrière dans la configuration de ton ordinateur; si tu sais comment on fait.

A ton service =)

jlpjlp · Answer

bonjour c'est quoi le nom du virus?

colle le rapport du logiciel trouvant l'infection

quels symptômes as tu ?

Mikamadgik · Answer

Salut =)
Le virus s'apelle Antispy Safeguard. J'ai utilisé AD-Remover, puis j'ai utilisé Malwarebytes' Anti-Malware. J'ai plus de virus qui s'allume au démarrage etc. J'ai l'antivirus Avast, à jours (oui la fille de Avast me le dit assez souvent =) )
Le seul truc qu'il me fait maintenant c'est qu'il est plus lent (beaucoup plus lent) et qu'il essaye de me réinstaller le virus (exemple sur google, je clic sur un lien, il cherche, et me met sur une fausse page, votre pc est infecté installé un logiciel... hop hop Antispy Safeguard...)

bubull97 · Answer

Moi je pense que le virus a eu le temps d'infecté ton ordinateur et de modifier certaines choses...

Le mieux est de refaire un retour à une configuration antérieure... Je peux te guider dans ses étapes, tu utilises quel système d'exploitation ?

Mikamadgik · Answer

D'accord =)
J'utilise Windows seven

bubull97 · Answer

Bien,
D'abord je vais te dire que cette manipulation va supprimer tout les logiciels que t'as installé ses derniers jours (si on remonte à 3 jours en arrière, les logiciels que t'as installé dans ce laps de temps seront à réinstallé quand tout sera fini).

Donc si tu n'as rien installé, pas de problème. Si non, il faudra réinstallé ses logiciels =)

Donc tu vas dans démarrer, tous les programmes, accessoires, outils systeme, restauration du système, puis il va te faire patienter, tu fais suivant, tu choisi une date (une date AVANT que tu ne chopes ce virus).

Si jamais il n'y en a pas, tu coches la petite case en dessous "Afficher d'autres points de restauration". Tu cliques donc sur la date voulue, tu fais suivant. Puis terminer.

Ton ordinateur va alors se redémarrer (ou tu dois le faire toi meme, je sais plus) et quand tu rallumes ton pc, tout devrait fonctionner comme avant. Je l'espère pour toi, moi je fais toujours ainsi quand un virus ne se désinstalle pas.

Mikamadgik · Answer

Au niveau des fichiers, photos etc sa ne changera rien? Rien ne va être supprimé?

bubull97 · Answer

Non non, rien de tes documents ne va être supprimé, ca touche uniquement aux fichiers de programmes =)

Mikamadgik · Answer

Petit soucis, je n'ai pas de date infèrieur a celle du virus, j'ai uniquement hier à 17h!

bubull97 · Answer

Meme en cochant la petite case en dessous, comme j'ai préciser ?

Mikamadgik · Answer

Merci de ton aide ;)

Voici le rapport malwarbyte:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4722

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01/10/2010 16:19:08
mbam-log-2010-10-01 (16-19-08).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 137996
Temps écoulé: 8 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et voici le liens pour le rapport OTL:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijSJJvvNN.txt

jlpjlp · Answer

analyse ce fichier sur virus total et colle nous le rapport  https://www.virustotal.com/gui/

C:\Windows\System32\pku2u.dll

Mikamadgik · Answer

Resultat de l'analyse:

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 
File name: pku2u.dll
Submission date: 2010-10-01 16:18:14 (UTC)
Current status: queued (#3) queued (#3) analysing finished


Result: 0/ 43 (0.0%)

jlpjlp · Answer

pour avancer colle le rapport d'un antivirus en ligne comme nod32 ou bitdefender ou panda

Mikamadgik · Answer

Avec Nod32: Aucune menace détéctée!
Pour IE s'amuse toujours a me charger des pages (pour insctaller des virus) plus que de m'ammener sur les liens que j'ai clicqué :/

jlpjlp · Answer

analyse ce fichier sur virus total et colle nous le rapport :  
https://www.virustotal.com/gui/ 


C:\Users\Mika\AppData\Roaming\jsdfgs.bat


t u utilise la Messenger Plus Live France Toolbar et  Softonic_France Toolbar ?

Mikamadgik · Answer

File name: jsdfgs.bat
Submission date: 2010-10-01 19:49:14 (UTC)
Current status: queued queued analysing finished


Result: 0/ 43 (0.0%)

Nop je me sert pas de ces deux logiciels

jlpjlp · Answer

désinstalle alors ces deux logiciels via ton panneau de configuration 


pui_s 


si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" : 


:processes 
explorer.exe 
:Files 
C:\Users\Mika\AppData\Roaming\jsdfgs.bat 
C:\Windows\System32\pku2u.dll 
:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redémarrage.

Mikamadgik · Answer

Voici le rapport:


Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\pku2u.dll scheduled to be moved on reboot.
C:\Users\Mika\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully.
C:\Users\Mika\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LETYDY2J\fr-fr_facebook_com[1].txt moved successfully.
C:\Users\Mika\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LETYDY2J\report[1].html moved successfully.
C:\Users\Mika\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EX4TK0S4\redirectiframe[1].html moved successfully.

Registry entries deleted on Reboot...

jlpjlp · Answer

redemarre le pc puis

Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :  

-> http://www.premiumorange.com/zeb-help-process/download/ZHPDiag.zip  
-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  


Enregistre le sur ton Bureau.  

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.  

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.  

Double clique sur le raccourci ZHPDiag sur ton Bureau.  

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.  

Clique sur la loupe pour lancer l'analyse.  

Laisse l'outil travailler, il peut être assez long.  

Ferme ZHPDiag en fin d'analyse.  


Pour transmettre le rapport clique sur ce lien :  

http://www.cijoint.fr/  

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).  

Sélectionne le fichier ZHPDiag.txt.  

Clique sur "Cliquez ici pour déposer le fichier".  

Un lien de cette forme :  

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt  

est ajouté dans la page.  

Copie ce lien dans ta réponse.

Mikamadgik · Answer

Voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijmqi5FCL.txt

jlpjlp · Answer

branche tes supports externes et colle un rapport de recherche avec le logicel usbfix

Mikamadgik · Answer

Support vacciné =)

jlpjlp · Answer

comment va le pc?


____________


    * Téléchargez MBRCheck sur le bureau.
    * Fermez toutes les applications.
    * Lancez MBRCheck (pour les utilisateurs de Vista et Seven Faire un clic droit sur l'exécutable puis choisir Exécuter en tant qu'administrateur pour le lancer.)
    * et dis moi  Si vous avez ceci :


Found non-standard or infected MBR.

Mikamadgik · Answer

Au niveau du PC, quand je vais sur google, et que je clic sur un lien, soit un site adultmachinchose apparait, soit sur un site qui me dit que je suis infecté etc... Rien de changé par rapport a sa. :/

Au niveau du rapport, il m'indique bien: Found non-standard or infected MBR.

jlpjlp · Answer

* Téléchargez MBRCheck sur le bureau.
    * Fermez toutes les applications.
    * Lancez MBRCheck (pour les utilisateurs de Vista et Seven Faire un clic droit sur l'exécutable puis choisir Exécuter en tant qu'administrateur pour le lancer.)
    * Si vous avez ceci :


Found non-standard or infected MBR.


Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Tapez la lettre Y puis validez avec la touche [Entrée]

    * Ensuite, vous aurez ceci :



Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Choisissez l'option 2 (tapez le chiffre) et appuie sur [Entrée]

    * Ensuite, vous verrez ceci :



Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

Tapez le chiffre 0 puis valide avec [Entrée]

    * Vous aurez maintenant un choix à faire, avec des codes de MBR :



Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Tapez le chiffre correspondant à votre système d'exploitation puis validez avec [Entrée]

    * Ensuite, vous aurez ceci :



Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

tapez YES puis valide avec [Entrée]

    * En principe, vous devriez maintenant voir ceci (ajouté au bout de la ligne) :



Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
...suivi de "Please reboot your computer to complete the fix."

    * A la suite de ça, redémarrez votre ordinateur
    * Postez le rapport obtenu si vous vous faîtes aider

Mikamadgik · Answer

Voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijG19EhHQ.txt

jlpjlp · Answer

ok

dis si les soucis persistent et remet un rapport ZHPDIAG

a plus

Mikamadgik · Answer

Désolé j'ai oublié le lien du rapport:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijg7OLXkG.txt

jlpjlp · Answer

c'est toi qui a mis freestyler et mp3directcut?

c'est depuis que le pc a des problèmes?
______________

    *  Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
http://www2.gmer.net/mbr/mbr.exe

    * Désactivez vos protections et coupez la connexion.
    * Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
    * Un rapport sera généré : mbr.log
    * En cas d'infection, le message MBR rootkit code detected va apparaître dans le rapport. Si c'est le cas, cliquez sur le Menu démarrer --> Exécuter, et tapez la commande suivante :
          o Sous XP : "%userprofile%\Bureau\mbr" -f
          o Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f 
    * Dans le mbr.log cette ligne apparaîtra : original MBR restored successfully !
    * Postez le rapport si cela vous a été demandé par un helpeur dans le Forum Virus / Sécurité.


Relancez mbr.exe pour vérifier que l'infection n'est plus présente et le nouveau rapport ne devrait plus trouver de rootkit.


______________

je me mets cela de côté:
C:\Program Files\FreeStyler\FreeStyler512.exe
C:\Documents And Settings\Mika\Desktop\FreeStyler.lnk
C:\Documents And Settings\Mika\Desktop\FreeStyler.lnk
C:\Program Files\FreeStyler
C:\Documents And Settings\Mika\Desktop\mp3DirectCut.lnk 
C:\Program Files\mp3DirectCut\mp3DirectCut.exe
C:\Users\Mika\Desktop\FreeStyler.lnk 
C:\Users\Mika\Desktop\mp3DirectCut.lnk 
C:\Program Files\mp3DirectCut\mp3DirectCut.exe
C:\Users\Mika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FreeStyler.lnk 
C:\Program Files\FreeStyler\FreeStyler512.exe
O42 - Logiciel: FreeStyler - (.Raphaël Wellekens.) [HKLM] -- FreeStyler_is1

C:\Program Files\Conduit
C:\Program Files\FreeStyler
C:\Program Files\mp3DirectCut

Mikamadgik · Answer

Le rapport:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

Il m'a pas dit "MBR rootkit code detected " Donc j'ai pas fait les étapes d'après.

Freestyler je l'ai sur mon PC depuis pas mal de temps (Que j'ai même sur d'autre machine), et MP3 directcur sa doit faire 3 mois. Mais aucun changement quand je l'ai ai installé.

jlpjlp · Answer

comment va le pc?

Mikamadgik · Answer

Toujours aussi mal :/

jlpjlp · Answer

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Mikamadgik · Answer

L'operation c'est bien passé. Mais maintenant IE ne veut plus s'ouvrir. J'ai le message:
C:\Program Files\Internet Explorer\iexplore.exe
Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression.

Voici le rapport de ComboFix:

ComboFix 10-10-01.06 - Mika 02/10/2010  12:54:28.1.2 - x86
Microsoft Windows 7 Édition Intégrale   6.1.7600.0.1252.33.1036.18.1014.378 [GMT 2:00]
Lancé depuis: c:\users\Mika\Desktop\ComboFix.exe
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe 

Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe 

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-02 au 2010-10-02  ))))))))))))))))))))))))))))))))))))
.

2010-10-01 20:28 . 2010-10-01 20:28	--------	d-----w-	c:\program files\Conduit
2010-10-01 20:28 . 2010-10-01 20:49	--------	d-----w-	c:\program files\Softonic_France
2010-10-01 20:13 . 2010-10-01 21:16	--------	d-----w-	c:\program files\ZHPDiag
2010-10-01 19:59 . 2010-10-01 19:59	--------	d-----w-	C:\_OTL
2010-09-30 13:06 . 2010-09-30 13:06	--------	d-----w-	c:\users\Mika\AppData\Roaming\Malwarebytes
2010-09-30 13:06 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-30 13:06 . 2010-09-30 13:06	--------	d-----w-	c:\programdata\Malwarebytes
2010-09-30 13:06 . 2010-09-30 13:06	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-30 13:06 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-30 12:58 . 2010-10-01 10:59	--------	d-----w-	c:\program files\Ad-Remover
2010-09-11 11:05 . 2010-09-11 11:05	--------	d-----w-	c:\program files\ETC
2010-09-06 14:41 . 2010-09-06 14:41	--------	d-----w-	c:\program files\Tracker Software
2010-09-02 11:34 . 2009-04-14 06:03	304640	----a-w-	c:\programdata\EPSON\EPSON SX510W Series\Language\040c.E_DIX0RE.DLL
2010-09-02 11:33 . 2009-01-27 04:03	64512	----a-w-	c:\programdata\EPSON\EPSON SX510W Series\Language\040c.E_SBE0I7.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-01 20:28 . 2010-02-11 20:18	633536	----a-w-	c:\windows\system32\perfh007.dat
2010-10-01 20:28 . 2010-02-11 20:18	125928	----a-w-	c:\windows\system32\perfc007.dat
2010-10-01 20:28 . 2009-07-14 08:39	695004	----a-w-	c:\windows\system32\perfh00C.dat
2010-10-01 20:28 . 2009-07-14 08:39	127684	----a-w-	c:\windows\system32\perfc00C.dat
2010-09-30 12:06 . 2010-02-11 21:30	--------	d-----w-	c:\users\Mika\AppData\Roaming\uTorrent
2010-09-28 19:51 . 2010-02-11 22:08	--------	d-----w-	c:\users\Mika\AppData\Roaming\vlc
2010-09-02 13:45 . 2010-08-30 18:51	--------	d-----w-	c:\program files\IKEA HomePlanner
2010-09-01 17:32 . 2010-09-01 17:32	--------	d-----w-	c:\programdata\EPSON
2010-08-30 18:50 . 2010-08-30 18:50	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-08-04 01:00 . 2010-03-28 20:39	--------	d-----w-	c:\program files\FreeStyler
2010-07-31 17:56 . 2010-07-31 17:56	73000	----a-w-	c:\programdata\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-03-09 2769336]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2009-09-26 83312]
"QuickTime Task"="d:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Windows Live Mail.lnk - c:\program files\Windows Live\Mail\wlmail.exe [2009-7-26 114000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2009-10-29 30603640]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2009-09-26 4639136]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
R3 WSDPrintDevice;Prise en charge de l'impression WSD via UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
R3 WSDScan;Prise en charge de la numérisation WSD via UMB;c:\windows\system32\DRIVERS\WSDScan.sys [2009-07-14 20480]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-04-26 691696]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-03-09 51792]
S2 DLPortIO;DriverLINX Port I/O Driver; [x]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.facebook.fr/
uInternet Settings,ProxyOverride = *.local
IE: &Envoyer à OneNote - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-iTunesHelper - d:\program files\iTunes\iTunesHelper.exe


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32	askhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\programdata\EPSON\EPW!3 SSRP\E_S40ST7.EXE
c:\programdata\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2010-10-02  13:17:33 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-02 11:17

Avant-CF: 9 544 724 480 octets libres
Après-CF: 9 854 062 592 octets libres

- - End Of File - - 2D0C3C9DF6CD8E7C0890D8CA41C020A8

jlpjlp · Answer

ok

les problèmes persistent?

Mikamadgik · Answer

Je ne peut pas cerifier car je n'ai meme plus IE
:/

jlpjlp · Answer

réinstalle le pour voir

Mikamadgik · Answer

Il ne veut pas s'installer il me dit:
G:\IE9-Windows7-x86-fra.exe
Tentative d'operation non autorisé sur une clé du Registre marqué pour suppression.

Mikamadgik · Answer

Jcommence a etre pas mal bloquer sans IE :/

Mikamadgik · Answer

C'est bon, le PC est guérit, j'ai un petit ménage de tous les logiciels, j'ai redémarré plusieur fois. Bref j'ai fait un gros clean, et quand j'ai supprimé winzip, il m'a directement affiché IE, et la maintenant sa remarche =)

J'ai testé le soucis avec google, et la tout marche bien =)
Le PC est redevennu rapide etc :)

Un grand merci

Je vous adore =)

jlpjlp · Answer

ok parfait!


pour supprimer les logiciels utilisés: 

http://www.commentcamarche.net/faq/24877-supprimer-les-logiciels-de-desinfection


ensuite purge la restauration pour supprimer ce qui est dedans: la désactiver puis la réactiver: 

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

Virus, dur à faire partir.

43 réponses

Newsletters