Uc à 100 % sans processus !!

mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   -  
mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
Depuis quelque temps j'ai un problème sur mon pc, mon uc est constamment à 100%
Je sais que ce problème est plutôt "commun et j'ai vu qu'il pouvait s'agir d'un rootkit. Par contre je n'ai aucun processus suspects. Je ne peux pas faire de screen mais voila actuellement les processus qui tournent sur mon pc :
firefox 107108K
explorer.exe 24028 K
dwm.exe 12720K
taskmgr.exe 2408K
winlogon.exe 1748 K
taskhost.exe 1632K
avgtray.exe 1472K
atieclxx.exe 1320K (amd external events client module)
csrss.exe 1268K (processus d'exécution client serveur)

comment je peux avoir 100% d'uc avec ces processus ? sachant que j'ai un intel quad core 2.50Ghz et pas de ralentissements particuliers avec 100% d'uc (j'arrive à jouer à modern warfare 2 avec une résolution de 1920 1080 sans lag ni freeze)

Merci de vos réponses

13 réponses

  1. gen-hackman
     
    salut

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      je suis en train de faire le scan est ce normal que otl ne repond pas (ici en scannant WwanSvc) ?
      0
  2. gen-hackman
     
    tu as suivi cette consigne ?

    si tu as Vista ou windows 7 => clic droit "executer en tant que...."
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      ba clique droit sur otl.exe executer en tant qu'administrateur ----> oui.
      C'est grave ?
      0
    2. gen-hackman
       
      ben non c est ce qu il fallait faire sinon je l aurais pas ecrit !
      0
    3. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      oui mais qu'est ce que je fais maintanan ? il ne répond toujours pas et scanne toujours le meme service.
      ca m'avais fait la même chose avec un autre anti rootkit (sophos)
      0
  3. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      combofix n'a pas marché TT j'ai fait tout ce que tu m'as dit mais à la fin (au bout de l'étape 58 59) au lieu du .txt j'ai un gros Bluescreen "windows has been shut down to prevent any damages ..."
      donc l'ordi redémarre pas de fichier txt et toujours l'uc à 100. La galere
      0
  4. gen-hackman
     
    esssaie en mode sans echec avec prise en charge reseau
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      ok mais je ferais ça demain
      merci de l'aide.
      0
    2. gen-hackman
       
      pas de soucis
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
     
    voici mon rapport combofix :
    ComboFix 10-12-07.06 - Mayeul 10/12/2010 19:03:49.2.4 - x86 NETWORK
    Microsoft Windows 7 Édition Intégrale 6.1.7600.0.1252.33.1036.18.3071.2487 [GMT 1:00]
    Lancé depuis: c:\users\Mayeul\Desktop\may.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ---- Exécution préalable -------
    .

    c:\program files\ClickPotatoLite\bin\10.0.530.0\ClickPotatoLiteSA.exe
    c:\program files\ClickPotatoLite\bin\10.0.530.0\ClickPotatoLiteSAAX.dll
    c:\program files\ClickPotatoLite\bin\10.0.530.0\ClickPotatoLiteSABHO.dll
    c:\program files\ClickPotatoLite\bin\10.0.530.0\ClickPotatoLiteSAHook.dll
    c:\program files\ClickPotatoLite\bin\10.0.530.0\ClickPotatoLiteUninstaller.exe
    c:\program files\ClickPotatoLite\bin\10.0.530.0\firefox\extensions\chrome.manifest
    c:\program files\ClickPotatoLite\bin\10.0.530.0\firefox\extensions\install.rdf
    c:\program files\ClickPotatoLite\bin\10.0.530.0\firefox\extensions\plugins\npclntax_ClickPotatoLiteSA.dll
    c:\program files\Mozilla Firefox\plugins\npclntax_ClickPotatoLiteSA.dll
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA.dat
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA_hpk.dat
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAAbout.mht
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAEULA.mht
    c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
    c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
    c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-10 au 2010-12-10 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-10 18:11 . 2010-12-10 18:11 -------- d-----w- c:\users\Famille\AppData\Local\temp
    2010-12-10 18:11 . 2010-12-10 18:11 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-12-10 16:37 . 2010-11-16 11:01 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{BB41136F-439B-4F30-AB54-CB15285F861C}\mpengine.dll
    2010-12-08 19:46 . 2010-12-10 18:11 -------- d-----w- c:\users\Mayeul\AppData\Local\temp
    2010-12-05 20:04 . 2009-06-18 11:55 18816 ------w- c:\windows\system32\SAVRKBootTasks.sys
    2010-12-05 17:51 . 2010-12-05 17:51 -------- d-----w- c:\program files\Sophos
    2010-12-05 17:25 . 2010-12-05 17:25 368640 ----a-w- c:\windows\system32\ReWire.dll
    2010-12-05 17:25 . 2010-12-05 17:25 233472 ----a-w- c:\windows\system32\REX Shared Library.dll
    2010-12-05 17:24 . 2010-12-05 17:26 -------- d-----w- c:\users\Mayeul\AppData\Roaming\Propellerhead Software
    2010-12-05 17:24 . 2010-12-05 17:24 -------- d-----w- c:\programdata\Propellerhead Software
    2010-12-05 17:23 . 2010-12-05 17:23 -------- d-----w- c:\program files\Propellerhead
    2010-11-30 18:13 . 2010-11-30 18:14 -------- d-----w- C:\Folding@HomeCPU
    2010-11-30 17:37 . 2010-11-30 17:37 -------- d-----w- c:\program files\Activision
    2010-11-30 16:57 . 2010-11-30 16:57 -------- d-----w- c:\program files\Common Files\Steam
    2010-11-30 16:57 . 2010-12-03 15:49 -------- d-----w- c:\program files\Steam
    2010-11-30 16:10 . 2010-11-30 16:10 -------- d-----w- c:\program files\Valve
    2010-11-30 14:29 . 2010-11-30 14:29 -------- d-----w- c:\users\Famille\AppData\Local\Apple
    2010-11-28 16:25 . 2009-09-04 16:29 453456 ----a-w- c:\windows\system32\d3dx10_42.dll
    2010-11-28 16:25 . 2009-09-04 16:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
    2010-11-28 11:43 . 2010-11-28 16:28 -------- d-----w- c:\programdata\Codemasters
    2010-11-28 11:41 . 2008-04-28 14:53 805400 ----a-r- c:\windows\system32\tmp57C1.tmp
    2010-11-28 11:28 . 2010-11-28 16:16 -------- d-----w- c:\program files\Codemasters
    2010-11-24 15:32 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-12-08 20:34 . 2010-09-14 15:59 323584 ----a-w- c:\windows\system32\AUDIOGENIE2.DLL
    2010-11-08 16:25 . 2010-11-08 16:25 0 ----a-w- c:\windows\system32\ConduitEngine.tmp
    2010-10-19 09:41 . 2010-08-08 16:34 222080 ------w- c:\windows\system32\MpSigStub.exe
    2010-10-14 00:36 . 2010-10-14 00:36 15451288 ----a-w- c:\windows\system32\xlive.dll
    2010-10-14 00:36 . 2010-10-14 00:36 13642904 ----a-w- c:\windows\system32\xlivefnt.dll
    2010-09-18 10:25 . 2010-08-18 19:07 16400 ----a-w- c:\windows\system32\drivers\LNonPnP.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{d0b1518e-3e45-4d16-a23b-4d90ef938e44}"= "c:\program files\Audacity-tools\tbAuda.dll" [2010-05-20 2675296]
    "{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\program files\Freecorder\tbFre2.dll" [2010-10-18 3908192]

    [HKEY_CLASSES_ROOT\clsid\{d0b1518e-3e45-4d16-a23b-4d90ef938e44}]

    [HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
    2010-10-18 10:26 3908192 ----a-w- c:\program files\Freecorder\tbFre2.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
    2010-10-18 10:26 3908192 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d0b1518e-3e45-4d16-a23b-4d90ef938e44}]
    2010-05-20 13:35 2675296 ----a-w- c:\program files\Audacity-tools\tbAuda.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{d0b1518e-3e45-4d16-a23b-4d90ef938e44}"= "c:\program files\Audacity-tools\tbAuda.dll" [2010-05-20 2675296]
    "{1392b8d2-5c05-419f-a8f6-b9f15a596612}"= "c:\program files\Freecorder\tbFre2.dll" [2010-10-18 3908192]

    [HKEY_CLASSES_ROOT\clsid\{d0b1518e-3e45-4d16-a23b-4d90ef938e44}]

    [HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{D0B1518E-3E45-4D16-A23B-4D90EF938E44}"= "c:\program files\Audacity-tools\tbAuda.dll" [2010-05-20 2675296]
    "{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= "c:\program files\Freecorder\tbFre2.dll" [2010-10-18 3908192]

    [HKEY_CLASSES_ROOT\clsid\{d0b1518e-3e45-4d16-a23b-4d90ef938e44}]

    [HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "AvgUninstallURL"="start http:" [X]
    "GrpConv"="grpconv -o" [X]

    c:\users\Famille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
    2010-05-06 09:29 64592 ----a-w- c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux3"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

    [HKLM\~\startupfolder\C:^Users^Mayeul^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Enregistrement de FIFA 11.lnk]
    path=c:\users\Mayeul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Enregistrement de FIFA 11.lnk
    backup=c:\windows\pss\Enregistrement de FIFA 11.lnk.Startup
    backupExtension=.Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2010-09-23 02:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
    2010-03-06 01:44 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
    2010-02-22 02:57 406992 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EvtMgr6]
    2010-06-26 00:15 1311312 ----a-w- c:\program files\Logitech\SetPointP\SetPoint.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Freecorder FLV Service]
    2010-06-26 17:09 167936 ----a-w- c:\program files\Freecorder\FLVSrvc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2010-07-21 13:53 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
    2009-05-08 08:35 2780432 ----a-w- c:\program files\Logitech\Logitech WebCam Software\LWS.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-03-18 20:16 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
    2010-05-04 19:44 102400 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
    2010-11-30 17:02 1242448 ----a-w- c:\program files\Steam\Steam.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2010-05-14 09:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
    2010-02-19 11:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

    R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-05-05 172032]
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-10-19 2011944]
    R3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-05-05 5550592]
    R3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-05-05 176128]
    R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\CEE4.tmp [x]
    R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-08-14 1343400]
    R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
    S1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [2009-06-18 18816]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
    S3 netr73;Pilote de carte LAN sans fil USB RT73 pour Vista;c:\windows\system32\DRIVERS\netr73.sys [2009-07-13 545792]

    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://start.icq.com/
    uInternet Settings,ProxyOverride = *.local
    IE: Download with IDM - c:\program files\Internet download manager\IEExt.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Télécharger avec IDM - c:\program files\Internet download manager\IEExt.htm
    IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet download manager\IEGetVL.htm
    IE: Télécharger tous les liens avec IDM - c:\program files\Internet download manager\IEGetAll.htm
    FF - ProfilePath - c:\users\Mayeul\AppData\Roaming\Mozilla\Firefox\Profiles\pohs66e3.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}
    FF - prefs.js: browser.search.selectedEngine - ICQ Search
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
    FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Veetle\Player\npvlc.dll
    FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
    FF - plugin: c:\program files\Veetle\VLCBroadcast\npvbp.dll
    FF - plugin: c:\users\Mayeul\AppData\Roaming\Mozilla\Firefox\Profiles\pohs66e3.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
    FF - plugin: c:\windows\system32\TVUAx\npTVUAx.dll
    FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    FF - Extension: vShare Plugin: vshare@toolbar - c:\users\Mayeul\AppData\Roaming\Mozilla\Firefox\Profiles\pohs66e3.default\extensions\vshare@toolbar
    FF - Extension: TVU Web Player: firefox@tvunetworks.com - c:\users\Mayeul\AppData\Roaming\Mozilla\Firefox\Profiles\pohs66e3.default\extensions\firefox@tvunetworks.com
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-RunOnce-<NO NAME> - (no file)
    MSConfigStartUp-ClickPotatoLiteSA - c:\program files\ClickPotatoLite\bin\10.0.530.0\ClickPotatoLiteSA.exe
    AddRemove-Driver Cleaner Pro - c:\program files\Driver Cleaner Pro\Uninstall.exe
    AddRemove-Freecorder4.02 - c:\windows\Freecorder\uninstall.exe
    AddRemove-FrostWire - c:\program files\FrostWire\Uninstall.exe
    AddRemove-Replay Music3.45 - c:\windows\Replay Music\uninstall.exe
    AddRemove-Veetle TV - c:\program files\Veetle\UninstallVeetleTV.exe
    AddRemove-VLC media player - c:\program files\VideoLAN\VLC\uninstall.exe
    AddRemove-TeamSpeak 3 Client - c:\users\Mayeul\AppData\Local\TeamSpeak 3 Client\uninstall.exe
    AddRemove-TimeAdjuster - c:\program files\TimeAdjuster\Uninstall.exe

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MEMSWEEP2]
    "ImagePath"="\??\c:\windows\system32\CEE4.tmp"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-4230684064-3402702910-3574778346-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
    "??"=hex:48,6e,b8,79,1d,cb,b3,b3,2b,9d,c2,ff,b7,46,4c,02,cc,ba,cf,bc,6d,30,1a,
    1e,d4,05,63,fa,ed,76,61,13,05,46,e1,0f,6b,a6,9e,de,25,c8,b7,cf,c9,d6,c8,dd,\
    "??"=hex:5f,f5,65,ef,6f,8b,94,cd,d2,a7,ae,73,42,6c,5c,b8

    [HKEY_USERS\S-1-5-21-4230684064-3402702910-3574778346-1000\Software\SecuROM\License information*]
    "datasecu"=hex:41,88,c9,ed,36,69,75,0c,55,81,46,15,d5,80,d9,b4,92,e8,47,78,5d,
    62,c2,85,9f,ae,70,a4,bd,cb,e1,fc,93,18,1b,6d,de,90,4b,40,6f,56,f0,e4,58,2c,\
    "rkeysecu"=hex:5b,1e,4d,c8,f4,88,b6,e0,f5,e8,a6,1b,63,85,5e,88

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Heure de fin: 2010-12-10 19:12:50
    ComboFix-quarantined-files.txt 2010-12-10 18:12

    Avant-CF: 84 632 309 760 octets libres
    Après-CF: 84 421 963 776 octets libres

    - - End Of File - - 362CAA4383B6E846A9FB2E3B206937F7
    0
  7. gen-hackman
     
    desinstalle audacity toolbar
    desinstalle freecoder toolbar
    desinstalle conduit toolbar

    ========================


    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    File::
    c:\windows\system32\tmp57C1.tmp
    c:\windows\system32\ConduitEngine.tmp
    c:\windows\system32\CEE4.tmp

    Folder::
    C:\Folding@HomeCPU

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "AvgUninstallURL"=-

    Driver::
    MEMSWEEP2

    DDs::
    uInternet Settings,ProxyOverride = *.local

    Firefox::
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms} => Conduit/EffectiveBrand
    FF - prefs.js: browser.search.selectedEngine - ICQ Search


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      alora j'ai fait le scan, tout a marché correctement mais il n'y a pas de rapport combofix.txt dan C:
      par contree mon uc est redescendue a des valeurs normales ^^ C'etait quoi ? un rootkit ?

      en tout cas merci beaucoup
      0
  8. gen-hackman
     
    je ne sais pas :)

    essaie OTL maintenant ?
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      otl bug toujours au même endroit quand il scanne le service "WwanSvc"
      pas cool tout ça ;)
      0
  9. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

    choisis l'option Search

    ▶ laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      http://www.cijoint.fr/cjlink.php?file=cj201012/cijhbK51Bt.txt pour list'em.txt
      http://www.cijoint.fr/cjlink.php?file=cj201012/cijsxwWJFA.txt pour more.txt

      encore merci
      0
  10. gen-hackman
     
    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'Option Clean

    ▶▶▶ Ne clique qu'une seule fois sur le bouton !!

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.7 ¤¤¤¤¤¤¤¤¤¤

      User : Mayeul (Administrateurs)
      Update on 08/12/2010 by g3n-h@ckm@n ::::: 19.00
      Start at: 17:40:48 | 12/12/2010

      Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
      Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
      Internet Explorer 8.0.7600.16385
      Windows Firewall Status : Enabled

      C:\ -> Disque fixe local | 228,13 Go (75,45 Go free) | NTFS
      D:\ -> Disque fixe local | 227,87 Go (103,2 Go free) [DATA] | NTFS
      E:\ -> Disque CD-ROM | 3,74 Go (0 Mo free) [MED2TW_1] | UDF
      F:\ -> Disque amovible
      G:\ -> Disque amovible
      H:\ -> Disque amovible
      I:\ -> Disque amovible
      J:\ -> Disque amovible
      L:\ -> Disque fixe local | 298,09 Go (14,97 Go free) [SAMSUNG] | NTFS


      ¤¤¤¤¤¤¤¤¤¤ Files/folders :

      Quarantined & Deleted !! : C:\Users\Mayeul\AppData\Local\GDIPFONTCACHEV1.DAT
      Quarantined & Deleted !! : C:\Users\Mayeul\AppData\Local\prvlcl.dat

      ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

      127.0.0.1 localhost

      ¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

      Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
      Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
      Deleted : HKCR\interface\{419eda30-6dff-432c-b534-e15d899abee4}
      Deleted : HKLM\SYSTEM\CurrentControlSet\Services\mpnwmon
      Deleted : HKLM\SYSTEM\ControlSet002\Services\mpnwmon

      ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      Local Page = C:\WINDOWS\system32\blank.htm
      Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      Start Page = https://www.google.com/?gws_rd=ssl
      Local Page = C:\WINDOWS\system32\blank.htm
      Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

      ¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
      cval = 1 (0x1)
      FirewallDisableNotify = 0 (0x0)
      AntiVirusDisableNotify = 0 (0x0)
      UpdatesDisableNotify = 0 (0x0)
      FirstRunDisabled = 1 (0x1)
      AntiVirusOverride = 0 (0x0)
      FirewallOverride = 0 (0x0)

      ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

      Ndisuio : Start = 3
      EapHost : Start = 2
      Wlansvc : Start = 2
      SharedAccess : Start = 2
      windefend : Start = 3
      wuauserv : Start = 2
      wscsvc : Start = 2

      ¤¤¤¤¤¤¤¤¤¤ Winlogon

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      Shell = explorer.exe
      Userinit = C:\Windows\System32\userinit.exe,

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      Disk Cleaned
      Prefetch cleaned
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      FEATURE_BROWSER_EMULATION | svchost :
      ====================================


      Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
      Windows 6.1.7600 Disk: ST350082 rev.SD46 -> Harddisk0\DR0 -> \Device\00000073

      device: opened successfully
      user: MBR read successfully

      Disk trace:
      called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys
      C:\Windows\system32\DRIVERS\nvstor.sys NVIDIA Corporation NVIDIA nForce(TM) SATA Driver
      1 ntkrnlpa!IofCallDriver[0x82C45458] -> \Device\Harddisk0\DR0[0x863573E0]
      3 CLASSPNP[0x8AF2E59E] -> ntkrnlpa!IofCallDriver[0x82C45458] -> [0x860EAE70]
      5 ACPI[0x8AE1A3B2] -> ntkrnlpa!IofCallDriver[0x82C45458] -> \Device\00000073[0x85CF0030]
      kernel: MBR read successfully
      user & kernel MBR OK



      End of Scan : 17:41:42,26




      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
  11. gen-hackman
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      Malwarebytes' Anti-Malware 1.50
      www.malwarebytes.org

      Version de la base de données: 5301

      Windows 6.1.7600
      Internet Explorer 8.0.7600.16385

      12/12/2010 20:26:08
      mbam-log-2010-12-12 (20-26-08).txt

      Type d'examen: Examen complet (C:\|D:\|L:\|)
      Elément(s) analysé(s): 483933
      Temps écoulé: 1 heure(s), 52 minute(s), 8 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 12

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\AppID\{11C27351-716B-4052-9361-E3B0A3F8221C} (Adware.ClickPotato) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\ClickPotatoLite@ClickPotatoLite.com (Adware.ClickPotato) -> Value: ClickPotatoLite@ClickPotatoLite.com -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      c:\Qoobox\quarantine\C\program files\clickpotatolite\bin\10.0.530.0\clickpotatolitesa.exe.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
      c:\Qoobox\quarantine\C\program files\clickpotatolite\bin\10.0.530.0\clickpotatolitesaax.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
      c:\Qoobox\quarantine\C\program files\clickpotatolite\bin\10.0.530.0\clickpotatolitesabho.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
      c:\Qoobox\quarantine\C\program files\clickpotatolite\bin\10.0.530.0\clickpotatolitesahook.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
      c:\Qoobox\quarantine\C\program files\clickpotatolite\bin\10.0.530.0\clickpotatoliteuninstaller.exe.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
      c:\Qoobox\quarantine\C\program files\clickpotatolite\bin\10.0.530.0\firefox\extensions\plugins\npclntax_clickpotatolitesa.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
      c:\Qoobox\quarantine\C\program files\mozilla firefox\plugins\npclntax_clickpotatolitesa.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
      l:\Software\actualspy\actualspy\actualspy.exe (Application.ActualSpy) -> Quarantined and deleted successfully.
      l:\Software\adobe photoshop cs5 extended\adobe photoshop cs5 extended\Keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      l:\Software\native instruments traktor dj studio 3.4.1.040\crack\patch t3 normal.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      l:\Software\native instruments traktor dj studio 3.4.1.040\crack\patch t3 with ts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      l:\Software\windows.loader.v1.9-daz by nidaldz\windows loader.exe (PUP.HackTool.Windowsloader) -> Not selected for removal.
      0
  12. gen-hackman
     
    tu as un fichier systeme que je voudrais verifier

    execute ceci et poste le rapport

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Tmp/verify.exe
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      voila : C:\windows\System32\__tmp.tmp.__ Supprimé !
      0
  13. gen-hackman
     
    impec :) ^^

    refais un scan OTL stp
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      otl continue a beugué, il ne repond pas quand il scanne et je dois le fermer
      0
  14. gen-hackman
     
    tu le lances avec le clic droit "executer en tant qu'administrateur" ??
    0
    1. mayofficial Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   42
       
      oui et je coches tout comme tu m'as dit
      0