PC qui rame et présence d'infections

Résolu
gaylord -  
 Utilisateur anonyme -
Bonjour,
voila en fait j'ai mon pc qui rame depuis maintenat quelque temps, il est très lent quand j'ouvre une page internet et mon anti virus (avg) me signal des infections mais ne ma les répare pas pour autant
je fais donc appel à des personnes qui ci connaisent pur m'aider
j'ai fait une analyse avec ZHP diag dont voici le rapport http://www.cijoint.fr/cjlink.php?file=cj201011/cijyMuVrld.txt
J'espère que ça parlera à quelqu'un et qu'il pouraa m'aider

D'avance merci

41 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Lenteur du PC et les alertes d'infection signalées par AVG posent une suspicion d'infection, mais les analyses et les rapports fournis ne donnent pas une solution immédiate. Les conseils privilégient ZHPDiag et ZHPFix pour nettoyer des entrées de registre, des démarrages et des fichiers associés, avec suppression de clés et de répertoires malveillants. Malgré cela, Malwarebytes a détecté aucun élément nuisible lors d'un balayage complet, et l'idée est d'utiliser ComboFix ensuite pour vérifier l'absence d'infection et tenter de stabiliser le système. Des extraits du rapport ZHPFix indiquent des suppressions de clés de registre et de paramètres système liées à des outils de recherche et à des extensions malveillantes, fournissant un aperçu concret des actions réalisées.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Kingzak34 Messages postés 3371 Statut Membre 544
     
    Bonjour : Fais une analyse Malwarebytes:

    Télécharges Malwarebyte's ici :

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    Fermes tous les navigateurs et ouvres Malwarebyte's en double-cliquant sur l'icône :

    1) Clique sur Mise à jour / Rechercher mises à jour (attendre qu'il termine la mise à jour)

    2) Clique sur Recherche / Exécuter un examen complet (l'analyse démarre)

    3) A la fin de l'analyse, un message s'affiche : l'examen s'est terminé normalement..... Clique sur Afficher les résultats pour afficher les éventuels objets trouvés

    4) Si des objets ont été trouvés, sélectionne tout (possible que ça soit déjà coché) et clique sur Supprimer la sélection. Ceci détruira les nuisibles trouvés et Malwarebyte's va mettre une copie dans la quarantaine.

    5) Copie-colle le rapport de l'analyse ici (que tu trouves dans le bloc-notes que Malwarebyte's a ouvert).

    Si Malwarebyte's te demande de redémarrer, fais-le à la fin. S'il n'a rien trouvé, il te le dira.

    ....................Pourquoi faire simple quand on peut faire compliqué ?....................
    ....................................Un merci n'est jamais de trop ;)....................................
    0
  2. gaylord
     
    j'ai fait l'analyse, il n'a rien trouvé mais c bizarre je pense quand même avoir des infections peut tu m'en dire plus
    d'avance merci
    0
  3. Utilisateur anonyme
     
    bonsoir,
    je pense que Kingzak34 peut te dire qu'il ne sait pas lire un rapport de zhpdiag !

    il aurait vu que :
    - ton xp n'est pas à jour !
    - Tes fichiers Host sont endommagés !
    - tu traines un adware sur ton pc !
    - tu as un restant de Symentec sur ton pc !
    - AVg8 est dépassé , il faut passer à la version 9 !
    - Tu as des toolbars inutiles sur ton pc !
    - Java n'est pas à jour !

    c'est déjà pas mal :P

    0
    1. Kingzak34 Messages postés 3371 Statut Membre 544
       
      Je l'ai pas vraiment lu...., fin survolé ... Honte à moi u.u
      0
    2. Utilisateur anonyme
       
      ce n'est pas une critique, juste que MBAM en début d'une désinfection ne fait que masquer les choses, rien de plus :P
      0
    3. Kingzak34 Messages postés 3371 Statut Membre 544
       
      Ok, au moins je le saurais maintenant :)
      0
  4. gaylord
     
    OK c cool ca électricien 69 merci, mais que faire pour les host endommagés ( ca veut dire quoi) et le adware
    merci d'avance
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)

    clique sur le bouton Hostfix, poste son rapport :-)
    0
  7. gaylord
     
    voici le rapport
    Rapport de ZHPFix 1.12.3224 par Nicolas Coolman, Update du 27/11/2010
    Fichier d'export Registre :
    Run by Compaq_Propriétaire at 29/11/2010 20:54:22
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Fichier HOSTS ==========
    127.0.0.1 => Domaine Supprimé
    127.0.0.174.125.45.100 4-open-davinci.com => Domaine Supprimé
    127.0.0.174.125.45.100 securitysoftwarepayments.com => Domaine Supprimé
    127.0.0.174.125.45.100 privatesecuredpayments.com => Domaine Supprimé
    127.0.0.174.125.45.100 secure.privatesecuredpayments.com => Domaine Supprimé
    127.0.0.174.125.45.100 getantivirusplusnow.com => Domaine Supprimé
    127.0.0.174.125.45.100 secure-plus-payments.com => Domaine Supprimé
    127.0.0.174.125.45.100 www.getantivirusplusnow.com => Domaine Supprimé
    127.0.0.174.125.45.100 www.secure-plus-payments.com => Domaine Supprimé
    127.0.0.174.125.45.100 www.getavplusnow.com => Domaine Supprimé
    127.0.0.174.125.45.100 safebrowsing-cache.google.com => Domaine Supprimé
    127.0.0.174.125.45.100 urs.microsoft.com => Domaine Supprimé
    127.0.0.174.125.45.100 www.securesoftwarebill.com => Domaine Supprimé
    127.0.0.174.125.45.100 secure.paysecuresystem.com => Domaine Supprimé
    127.0.0.174.125.45.100 paysoftbillsolution.com => Domaine Supprimé
    127.0.0.174.125.45.100 protected.maxisoftwaremart.com => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.com => Domaine Supprimé
    127.0.0.169.65.50.148 google.com => Domaine Supprimé
    127.0.0.169.65.50.148 google.com.au => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.com.au => Domaine Supprimé
    127.0.0.169.65.50.148 google.be => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.be => Domaine Supprimé
    127.0.0.169.65.50.148 google.com.br => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.com.br => Domaine Supprimé
    127.0.0.169.65.50.148 google.ca => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.ca => Domaine Supprimé
    127.0.0.169.65.50.148 google.ch => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.ch => Domaine Supprimé
    127.0.0.169.65.50.148 google.de => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.de => Domaine Supprimé
    127.0.0.169.65.50.148 google.dk => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.dk => Domaine Supprimé
    127.0.0.169.65.50.148 google.fr => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.fr => Domaine Supprimé
    127.0.0.169.65.50.148 google.ie => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.ie => Domaine Supprimé
    127.0.0.169.65.50.148 google.it => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.it => Domaine Supprimé
    127.0.0.169.65.50.148 google.co.jp => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.co.jp => Domaine Supprimé
    127.0.0.169.65.50.148 google.nl => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.nl => Domaine Supprimé
    127.0.0.169.65.50.148 google.no => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.no => Domaine Supprimé
    127.0.0.169.65.50.148 google.co.nz => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.co.nz => Domaine Supprimé
    127.0.0.169.65.50.148 google.pl => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.pl => Domaine Supprimé
    127.0.0.169.65.50.148 google.se => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.se => Domaine Supprimé
    127.0.0.169.65.50.148 google.co.uk => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.co.uk => Domaine Supprimé
    127.0.0.169.65.50.148 google.co.za => Domaine Supprimé
    127.0.0.169.65.50.148 www.google.co.za => Domaine Supprimé
    127.0.0.169.65.50.148 www.google-analytics.com => Domaine Supprimé
    127.0.0.169.65.50.148 www.bing.com => Domaine Supprimé
    127.0.0.169.65.50.148 search.yahoo.com => Domaine Supprimé
    127.0.0.169.65.50.148 www.search.yahoo.com => Domaine Supprimé
    127.0.0.169.65.50.148 uk.search.yahoo.com => Domaine Supprimé
    127.0.0.169.65.50.148 ca.search.yahoo.com => Domaine Supprimé
    127.0.0.169.65.50.148 de.search.yahoo.com => Domaine Supprimé
    127.0.0.169.65.50.148 fr.search.yahoo.com => Domaine Supprimé
    127.0.0.169.65.50.148 au.search.yahoo.com => Domaine Supprimé
    127.0.0.169.65.50.148 www.youtube.com => Domaine Supprimé
    Le fichier Hosts est sain

    ========== Récapitulatif ==========
    65 : Fichier HOSTS

    End of the scan
    0
  8. Utilisateur anonyme
     
    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    https://www.androidworld.fr/ ( Miroir )
    /!\ Ferme toutes applications en cours /!\

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
  9. gaylord
     
    voici le rapport suite au nettoayge par AD-reover
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 11/11/10 à 11:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:03:49 le 30/11/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 2 (X86)
    Compaq_Propriétaire@GAYLORD ( )

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js
    Fichier supprimé: C:\WINDOWS\system32\Macromed\Flash\FlashPlayerTrust\UnifiedToolbar.cfg
    Dossier supprimé: C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Kiwee Toolbar

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
    Clé supprimée: HKLM\Software\Classes\AppID\{E142D053-7023-4B33-AF22-91F14202142D}
    Clé supprimée: HKLM\Software\Classes\CLSID\{E03BAFDC-EB9D-4C35-A7A2-AB6C62FF0A68}
    Clé supprimée: HKLM\Software\Classes\CLSID\{E6375F37-E4D1-4F51-B651-4658C27AC5BF}
    Clé supprimée: HKLM\Software\Classes\AppID\{A5461FCA-320C-4D6F-A150-A53823CE8142}
    Clé supprimée: HKLM\Software\Classes\Interface\{3E16A203-C0AA-4D44-ACC5-38A70A8C76DA}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{C7403C30-3644-43D8-A82F-4BD84B9682D9}
    Clé supprimée: HKLM\Software\Classes\AG.MediaPlayerCOM
    Clé supprimée: HKLM\Software\AskBarDis
    Clé supprimée: HKLM\Software\AGI
    Clé supprimée: HKCU\Software\AGI
    Clé supprimée: HKCU\Software\Binary Noise\mPlayer\kiwee_toolbar_installer.exe
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Kiwee Toolbar
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{41427F18-E891-4297-BD8C-4BB0E8EAF99F}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
    Clé supprimée: HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder

    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.10 (fr)] **

    -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\FireFox\Profiles\2rtoxqin.default\Prefs.js --
    browser.startup.homepage_override.mstone, rv:1.9.2.10

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 12 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 30/11/2010 (775 Octet(s))

    Fin à: 14:05:18, 30/11/2010

    ============== E.O.F ==============
    Voila si ça, parle à quelqu'un qu'il me dise quoi faire
    merci d'avance
    0
  10. Utilisateur anonyme
     
    bonjour,
    patience :-)

    relance ADR, clique sur désinstaller,

    repasse una utre zhpdiag, enregistre son rapport sur ton bureau, héberge le sur un site comme cijoint, colle le lien fourni par le site sur ton prochain message :-)

    0
  11. gaylord
     
    bonjour
    voila j'ai fait comme tu m'as dit voici le lien
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijY6U8u47.txt
    si ça te parles fais moi signe
    0
  12. Utilisateur anonyme
     
    bonjour,
    pas cool !
    le problème des fichiers host est de retours :-(

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    ► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    ou ici :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :

    ► ferme les fenêtres de tous les programmes en cours.

    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message

    0
    1. Kingzak34 Messages postés 3371 Statut Membre 544
       
      Je m'incruste, j'ai une question sur Combo Fix je peux ?
      0
    2. Kingzak34 Messages postés 3371 Statut Membre 544
       
      C'est juste que la dernière fois que j'ai utilisé Combo Fix à cause d'une infection de Explorer, en ayant suivit la procédure à la lettre ( enfin je crois ), au moment du nettoyage j'ai eu le droit a un BSOD, ca peut être du à quoi ?
      0
  13. gaylord
     
    Bonjour,
    ok mais ça fait plusieurs logiciel que je télécharge avec autant de rapports et c'est toujours pareil ? et les fichiers host c'est quoi ?
    je vais utiliser combofix mais est ce que après ça sera terminé ?
    0
  14. Utilisateur anonyme
     
    Pour les fichiers hoste, lire ==>CECI<==

    pour le reste, à toi de voir si tu veux que ton pc fonctionne corerctement, c'est quand même toi qui es venu chercher de l'aide ici, donc patience si tu veux aller jusqu'au bout :-)

    0
  15. gaylord
     
    OK excuse moi mais je pensais que ça aurait été moins long mais je vais faire ce que tu me dis de faire car ça m'énerve et merci pour ton aide
    j'utiliserai combofix demain après midi tranquillement tout seul car ma copine a plusieurs chose d'ouvertes (facebook, ...)
    merci encore pour ton aide
    0
  16. Utilisateur anonyme
     
    @ Kingzak34 :
    vas y , quelle est ta question ?
    si je peux te répondre :P

    @ gaylord :

    une infetion, on la choppe très rapidement, mais on a parfois du mal à arriver au bout :P

    je te dé&conseille d'utiliser Facebook ou autre msn !

    tu vas envoyer des infectiuons ou en recevoir,
    sur ton pc, c'est la porte ouverte !

    n'importe qui peut s'y interoduire !!!

    à toi de voir ...
    0
  17. Utilisateur anonyme
     
    pour répondre, utilise le carré veert en bas de mon message, Merci,

    le Bsod en question consistait en quoi exactement ?

    as tu ton rapport ?

    O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
    0
  18. Kingzak34 Messages postés 3371 Statut Membre 544
     
    Non pas de rapport ( ou je ne l'ai pas trouvé ) et pour le BSOD, rien d'écrit à part le code d'erreur en chiffres que je ne rappelle pas du tout. Je sais que forcément c'est pas très clair m'enfin on sait jamais :)

    Ha oui et maintenant dans le Dossier racine ( C:\ ) J'ai une icone, la même que celle du poste de travail nommée ComboFix et qui, m'envoie évidemment sur le poste de travail.

    ....................Pourquoi faire simple quand on peut faire compliqué ?....................
    ....................................Un merci n'est jamais de trop ;)....................................
    0
  19. Utilisateur anonyme
     
    Norlament, tu dois avoir un répertoire nomé Qoobox qui n'est autre que la quarantaien de CF !

    quel était ton problème exactement pour passer à CF ?

    0
  20. Kingzak34 Messages postés 3371 Statut Membre 544
     
    Oui j'ai un Répertoire Qoobox mais le seul dossier non vide est le dossier BackEnv

    Et j'ai eu recours à combofix pour un Explorer.exe infecté.
    0
  21. gaylord
     
    bonjour électricien69,
    je viens d'effectuer le scan combofix dont voici le rapport
    ComboFix 10-12-01.01 - Compaq_Propriétaire 02/12/2010 15:04:03.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.958.590 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\bibitte.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Application Data\2b995e
    c:\documents and settings\All Users\Application Data\2b995e\1563.mof
    c:\documents and settings\All Users\Application Data\2b995e\2b995e6a22ed35f0d17955f0cd6c8d81.ocx
    c:\documents and settings\All Users\Application Data\2b995e\BackUp\Adobe Gamma.lnk
    c:\documents and settings\All Users\Application Data\2b995e\BackUp\HP Digital Imaging Monitor.lnk
    c:\documents and settings\All Users\Application Data\2b995e\BackUp\Microsoft Office.lnk
    c:\documents and settings\All Users\Application Data\2b995e\BackUp\Samsung Auto Backup Guage.lnk
    c:\documents and settings\All Users\Application Data\2b995e\BackUp\Samsung Auto Backup Real-Time Daemon.lnk
    c:\documents and settings\All Users\Application Data\2b995e\BackUp\Samsung Auto Backup Scheduler.lnk
    c:\documents and settings\All Users\Application Data\2b995e\BackUp\WinZip Quick Pick.lnk
    c:\documents and settings\All Users\Application Data\2b995e\f1shp45e7tm9q01u8znsz6gq01u8z6h7tm9q0s3v5e7vok45ew.dll
    c:\documents and settings\All Users\Application Data\2b995e\SME.ico
    c:\documents and settings\All Users\Application Data\2b995e\SMESys\VDAI.ntf
    c:\documents and settings\Compaq_Propriétaire\Application Data\Smart Engine
    c:\documents and settings\Compaq_Propriétaire\Application Data\Smart Engine\Instructions.ini
    D:\Autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-02 au 2010-12-02 ))))))))))))))))))))))))))))))))))))
    .

    2010-11-29 17:13 . 2010-11-29 17:13 -------- d-----w- c:\program files\CCleaner
    2010-11-29 17:09 . 2010-11-30 17:36 -------- d-----w- c:\program files\ZHPDiag
    2010-11-29 12:05 . 2010-11-29 12:05 -------- d-----w- C:\found.000
    2010-11-18 13:59 . 2010-11-18 13:59 -------- d-----w- c:\documents and settings\Compaq_Propriétaire\Application Data\AVG10
    2010-11-18 13:58 . 2010-11-18 13:58 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files
    2010-11-18 13:54 . 2010-12-02 13:56 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG10
    2010-11-18 13:38 . 2010-12-02 13:48 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-29 15:09 . 2009-03-12 21:15 1079468 ----a-w- c:\documents and settings\Compaq_Propriétaire\Application Data\mdbu.bin
    2010-09-28 11:57 . 2010-09-28 11:57 423656 ----a-w- c:\windows\system32\deployJava1.dll
    2010-09-28 11:57 . 2007-06-04 18:58 73728 ----a-w- c:\windows\system32\javacpl.cpl
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-02 39408]
    "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2006-03-08 16010240]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-25 7311360]
    "nwiz"="nwiz.exe" [2006-01-25 1519616]
    "PCMService"="c:\program files\CyberLink\PowerCinema\PCMService.exe" [2006-02-25 147456]
    "Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
    "HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 249856]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2006-02-19 49152]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-06-16 180269]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-09 57344]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
    "EverioService"="c:\program files\CyberLink\PCM4Everio\EverioService.exe" [2006-11-22 151552]
    "AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 81408]
    "LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
    "VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
    "fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "HomePlayer"="c:\program files\HomePlayer\HomePlayer.exe" [2007-11-06 294912]

    c:\documents and settings\Compaq_Propri'taire\Menu D'marrer\Programmes\D'marrage\
    Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-9-26 110592]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2010-4-5 494920]

    c:\documents and settings\Default User\Menu D'marrer\Programmes\D'marrage\
    Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-6-16 27136]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=
    "c:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\CyberLink\\PCM4Everio\\PCM4Everio.exe"=
    "c:\\Program Files\\CyberLink\\PCM4Everio\\EverioService.exe"=
    "c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
    "c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
    "c:\\Program Files\\Azureus\\Azureus.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
    "c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1700:TCP"= 1700:TCP:MioNet Remote Drive Access
    "1641:TCP"= 1641:TCP:MioNet Remote Drive Verification
    "4662:TCP"= 4662:TCP:127.0.0.1
    "4672:UDP"= 4672:UDP:127.0.0.1
    "28888:TCP"= 28888:TCP:emule
    "44444:UDP"= 44444:UDP:emule
    "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
    "AllowInboundEchoRequest"= 1 (0x1)
    "AllowOutboundDestinationUnreachable"= 1 (0x1)
    "AllowOutboundSourceQuench"= 1 (0x1)
    "AllowOutboundTimeExceeded"= 1 (0x1)
    "AllowRedirect"= 1 (0x1)

    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [19/02/2010 17:33 135664]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 16:33]

    2010-12-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 16:33]

    2010-11-28 c:\windows\Tasks\SyncBack sauvegarde photos.job
    - c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2010-10-23 16:45]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
    uInternet Connection Wizard,ShellNext = hxxp://www.aliceadsl.fr/
    uInternet Settings,ProxyServer = http=127.0.0.1:25434
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
    DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20100811034846
    DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
    FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\2rtoxqin.default\
    FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Picasa2\npPicasa2.dll
    FF - plugin: c:\program files\Picasa2\npPicasa3.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Extension: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
    FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\2rtoxqin.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    HKCU-Run-Samsung_AppInst - k:\samsungsoftware\AppInst.exe
    HKLM-Run-PCDrProfiler - (no file)
    Notify-WgaLogon - (no file)

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-12-02 15:10
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Samsung_AppInst = k:\samsungsoftware\AppInst.exe????????????????????????????????????????????????????????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-3287651804-3219984745-3236601485-1008\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)
    .
    Heure de fin: 2010-12-02 15:13:09
    ComboFix-quarantined-files.txt 2010-12-02 14:12

    Avant-CF: 163 811 631 104 octets libres
    Après-CF: 164 015 661 056 octets libres

    - - End Of File - - FF45B1796B69DD0AA7159FEBB7029F73
    Voilà qu'est ce que tu en penses ?
    0
  • 1
  • 2
  • 3