Programme au démarage récalcitrant

jeromece Messages postés 311 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à vous tous,
sur un pc que j'ai nettoyé avec bit defender total sécurity, car très rapidement après démarrage en mode utilisateur, il passais en blue screen
alors qu'en administrateur, on avait la main.

donc une fois le nettoyage fait et alors que le problème de blus screen semble résolue, sur msconfig j'ai désactivé plein de chose inutile au démarrage mais 2 lignes me semble suspect et l'une d'entre elle se réactive à chaque démarrage

celle qui résiste a pour nom de fichier : Ncorecon.dll

la seconde qui est désactivé est grneowhiska.exe

voila merci pour votre aide

36 réponses

  • 1
  • 2
Résumé de la discussion

Un PC sous Windows 7 affichait un blue screen après démarrage en mode utilisateur, malgré un nettoyage initial avec BitDefender Total Security, et deux éléments de démarrage semblaient suspects: Ncorecon.dll et grneowhiska.exe.
Plusieurs participants recommandent des outils de désinfection et de diagnostic, notamment UsbFix pour les infections USB, ZHPDiag puis ZHPFix, et Malwarebytes, en demandant de partager les rapports générés afin d'évaluer l'infection et les remèdes.
Le fil illustre une approche graduelle et collaborative avec des rapports à déposer et des scans répétés, et met l'accent sur l'évaluation des résultats et les étapes suivantes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    ça sent le rogue ça...

    ▶ Télécharge sur le bureau RogueKiller (par tigzy)

    ▶ ▶ (Sous Vista/Seven, clique droit, lancer en tant qu'administrateur )

    ▶ Quitte tous tes programmes en cours
    ▶ Lance RogueKiller.exe.
    ▶ Un scan se lance, puis tu verra d'indiqué dans la fenêtre
    ▶ ▶ 1. Scan
    ▶ ▶ 2. Delete (écrit en rouge)
    ▶ ▶ 3. Hosts Fix (écrit en rouge)
    A ce moment tape 2 et valide
    ▶ Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    Note: s'il te demande de supprimer le proxy, tape 1

    Ensuite:

    ▶ Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau.

    ▶ ▶ Miroir 1 si inaccessible
    ▶ ▶ Miroir 2 si inaccessible

    ▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour
    ▶ si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte
    Une fois la mise à jour terminée
    ▶ rends-toi dans l'onglet Recherche
    ▶ Sélectionne Exécuter un examen complet
    ▶ Clique sur Rechercher
    ▶ ▶ Le scan démarre.
    ▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ▶ Clique sur Ok pour poursuivre.
    ▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    ▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    ▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
    ▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
    ▶ Tu clique dessus pour l'afficher, une fois affiché
    ▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Pour terminer:

    Nous allons effectuer un diagnostic de ton PC:
    Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou :
    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    ▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    ▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    ▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    ▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.cjoint.com/
    ou :
    https://www.casimages.com/

    ▶ Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    @+
    0
  2. jeromece Messages postés 311 Statut Membre 2
     
    merci
    je fait tout ça, je mis met
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      prends ton temps (avec MBAM t'auras pas le choix lol)
      0
  3. jeromece Messages postés 311 Statut Membre 2
     
    voici les 2 rapport

    RKreport :
    RogueKiller V3.10.0 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows 7 (6.1.7600 ) 32 bits version
    Started in : Normal mode
    User: Magali [Admin rights]
    Mode: Remove -- Time : 16/02/2011 00:07:09

    Bad processes:

    Deregistred:
    HKCU\...\RUN\ Fhiluvarukuru : rundll32.exe "F:\USERS\Magali\AppData\Local\Ncorecon.dll",Startup
    HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:18810 ...NOT REMOVED, USE PROXYFIX

    HOSTS File:

    Finished

    et le mbmam
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5769

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    16/02/2011 06:26:21
    mbam-log-2011-02-16 (06-26-21).txt

    Type d'examen: Examen complet (C:\|E:\|F:\|G:\|)
    Elément(s) analysé(s): 440683
    Temps écoulé: 2 heure(s), 16 minute(s), 34 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    f:\Users\Magali\AppData\Local\Ncorecon.dll (Trojan.Hiloti.Gen) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Trojan.FakeAlert) -> Bad: (makvfnwj.dll) Good: () -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    f:\Users\Magali\AppData\Local\Ncorecon.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
    c:\Windows\System32\makvfnwj.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Windows\Temp\xcgv\setup.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    f:\Users\Magali\Desktop\utilitaires\removewat.exe (HackTool.Wpakill) -> Quarantined and deleted successfully.
    0
  4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut vous 2
    J'aurais besoin de récupérer la quantaine de Malwabytes, ne la vide pas stp.

    J'aimerai comprendre pourquoi la DLL n'a pas été tuée par RogueKiller
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    * Si tu ne l'as pas déjà, Télécharger et installer Winrar

    * Copier ce texte en gras:


    @setlocal
    echo Compression du dossier...
    @echo off
    set path="%ProgramFiles%\WinRAR\";%path%
    rar a -r -hpinfected "%UserProfile%\Desktop\Backup" "%AppData%\Malwarebytes\Malwarebytes' Anti-Malware"
    echo Compression ok ... Le fichier se trouve sur le bureau
    pause


    * Ouvrir un bloc note, coller le texte dedans.
    * Sauvegarder le fichier sur le bureau avec le nom test.bat (faire dérouler le type et mettre sur "tous les fichiers")
    * Lancer le fichier test.bat
    * Une archive Backup a été créée sur le bureau , l'heberger ici: Lien

    * Me Donner le lien par MP

    Contributeur SECURITE *** Développeur de RogueKiller ***
    Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
    0
  7. jeromece Messages postés 311 Statut Membre 2
     
    je suis au boulot
    je ferais ça s'en faute ce soir
    merci
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut Tigzy

    Content de t'avoir vu ;)

    @jeromece:

    Quand tu auras fait ce que t'as demandé Tigzy, passe à ZHPDiag afin que je puisse juger de l'état actuel du pc

    ++
    0
  9. jeromece Messages postés 311 Statut Membre 2
     
    tigzy, le test.bat ne peux créer l'archive
    voici le message
    impossible de créer f:\USERS\Magali\bureau\Backup.rar
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      C'est tout ce qu'il dit?
      0
    2. jeromece Messages postés 311 Statut Membre 2
       
      je te met le texte complet

      f.\user\magali\desktop>echo compression du dossier
      compression du dossier...
      RAR 3.93 copyright <c>1993-2010 alexander roshal 15 mar 2010
      version shareware pour obtenir de l'aide, saisissez RAR -?
      version d'évaluration.merci de vous enregistrer.
      impossible de créer f:\USERS\Magali\bureau\Backup.rar
      le chemin d'accès spécifié est introuvable. Compression ok... le fichier se trouve sur le bureau
      appuyez sur une touche pour continuer...
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Me suis trompé :)
      J'ai modifié le texte, recommence le .reg
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      j'avais dit par MP, pas grave... Tu peux enlever le lien maintenant?
      0
  10. jeromece Messages postés 311 Statut Membre 2
     
    juju666
    j'ai essayé de mettre le rapport de zhpdiag sur le site ci-joint mais ça plantais systématiquement
    le fichier doit être trop lourd
    donc je l'ai cassé en 3 partie mais seul la 1 et la 3 sont bien passé
    1er partie
    http://www.cijoint.fr/cjlink.php?file=cj201102/cijkSluMsI.txt
    2eme partie
    j'essaie de déposer cette partie

    3eme partie
    http://www.cijoint.fr/cjlink.php?file=cj201102/cijQjuM0iq.txt
    0
  11. jeromece Messages postés 311 Statut Membre 2
     
    pour la deuxième partie

    ---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
    O43 - CFD: 02/08/2010 - 21:41:06 ----D- C:\Program Files\7-Zip
    O43 - CFD: 28/10/2010 - 22:55:18 ----D- C:\Program Files\Adobe
    O43 - CFD: 15/02/2011 - 22:21:26 ----D- C:\Program Files\Alwil Software
    O43 - CFD: 29/10/2010 - 21:21:56 ----D- C:\Program Files\Apple Software Update
    O43 - CFD: 15/02/2011 - 19:00:14 ----D- C:\Program Files\BitDefender
    O43 - CFD: 29/10/2010 - 21:21:24 ----D- C:\Program Files\Bonjour
    O43 - CFD: 08/10/2010 - 19:09:28 ----D- C:\Program Files\Canal+
    O43 - CFD: 09/08/2010 - 22:56:08 ----D- C:\Program Files\CDBurnerXP
    O43 - CFD: 15/02/2011 - 18:57:30 ----D- C:\Program Files\Common Files
    O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\DVD Maker
    O43 - CFD: 12/09/2010 - 18:08:02 ----D- C:\Program Files\ffdshow
    O43 - CFD: 08/08/2010 - 11:46:22 ----D- C:\Program Files\Google
    O43 - CFD: 10/08/2010 - 20:17:18 ----D- C:\Program Files\HP
    O43 - CFD: 08/08/2010 - 12:47:20 ----D- C:\Program Files\IncrediMail
    O43 - CFD: 24/08/2010 - 18:47:48 --H-D- C:\Program Files\InstallShield Installation Information
    O43 - CFD: 08/08/2010 - 21:10:24 ----D- C:\Program Files\Intel
    O43 - CFD: 13/02/2011 - 21:59:40 ----D- C:\Program Files\Internet Explorer
    O43 - CFD: 29/10/2010 - 21:22:52 ----D- C:\Program Files\iPod
    O43 - CFD: 31/10/2010 - 00:00:24 ----D- C:\Program Files\iTunes
    O43 - CFD: 06/02/2011 - 10:02:00 ----D- C:\Program Files\Java
    O43 - CFD: 11/02/2011 - 21:02:00 ----D- C:\Program Files\JDownloader
    O43 - CFD: 16/02/2011 - 00:07:52 ----D- C:\Program Files\Malwarebytes' Anti-Malware
    O43 - CFD: 23/11/2010 - 07:09:22 ----D- C:\Program Files\Messenger Plus! Live
    O43 - CFD: 08/08/2010 - 13:31:38 ----D- C:\Program Files\Microsoft
    O43 - CFD: 14/07/2009 - 08:50:26 ----D- C:\Program Files\Microsoft Games
    O43 - CFD: 14/02/2011 - 09:11:00 ----D- C:\Program Files\Microsoft Money 2005
    O43 - CFD: 10/08/2010 - 06:28:24 ----D- C:\Program Files\Microsoft Office
    O43 - CFD: 09/08/2010 - 22:12:10 ----D- C:\Program Files\Microsoft Office Outlook Connector
    O43 - CFD: 27/12/2010 - 09:04:14 ----D- C:\Program Files\Microsoft Silverlight
    O43 - CFD: 03/08/2010 - 20:44:10 ----D- C:\Program Files\Microsoft SQL Server Compact Edition
    O43 - CFD: 03/08/2010 - 20:44:46 ----D- C:\Program Files\Microsoft Sync Framework
    O43 - CFD: 03/08/2010 - 19:23:36 ----D- C:\Program Files\Microsoft Visual Studio
    O43 - CFD: 03/08/2010 - 21:23:20 ----D- C:\Program Files\Microsoft Works
    O43 - CFD: 03/08/2010 - 19:44:48 ----D- C:\Program Files\Microsoft.NET
    O43 - CFD: 16/02/2011 - 00:05:20 ----D- C:\Program Files\Mozilla Firefox
    O43 - CFD: 14/07/2009 - 05:52:32 ----D- C:\Program Files\MSBuild
    O43 - CFD: 11/08/2010 - 14:57:28 ----D- C:\Program Files\MSXML 4.0
    O43 - CFD: 03/08/2010 - 20:06:52 ----D- C:\Program Files\PhotoMail Maker
    O43 - CFD: 29/10/2010 - 21:22:10 ----D- C:\Program Files\QuickTime
    O43 - CFD: 14/07/2009 - 05:52:32 ----D- C:\Program Files\Reference Assemblies
    O43 - CFD: 11/08/2010 - 19:14:00 ----D- C:\Program Files\Registrar Registry Manager
    O43 - CFD: 02/08/2010 - 20:39:18 ----D- C:\Program Files\TeamViewer
    O43 - CFD: 11/08/2010 - 18:16:28 ----D- C:\Program Files\TuneUp Utilities 2009
    O43 - CFD: 14/07/2009 - 05:53:24 --H-D- C:\Program Files\Uninstall Information
    O43 - CFD: 24/08/2010 - 18:47:22 ----D- C:\Program Files\VIA
    O43 - CFD: 12/09/2010 - 18:12:24 ----D- C:\Program Files\VideoLAN
    O43 - CFD: 11/11/2010 - 15:51:50 ----D- C:\Program Files\VSO
    O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\Windows Defender
    O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\Windows Journal
    O43 - CFD: 09/08/2010 - 22:11:28 ----D- C:\Program Files\Windows Live
    O43 - CFD: 03/08/2010 - 20:43:12 ----D- C:\Program Files\Windows Live SkyDrive
    O43 - CFD: 27/12/2010 - 09:04:20 ----D- C:\Program Files\Windows Mail
    O43 - CFD: 28/10/2010 - 15:15:36 ----D- C:\Program Files\Windows Media Player
    O43 - CFD: 14/07/2009 - 05:52:32 ----D- C:\Program Files\Windows NT
    O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\Windows Photo Viewer
    O43 - CFD: 14/07/2009 - 05:52:34 ----D- C:\Program Files\Windows Portable Devices
    O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\Windows Sidebar
    O43 - CFD: 16/02/2011 - 21:18:36 ----D- C:\Program Files\WinRAR
    O43 - CFD: 10/08/2010 - 20:09:02 ----D- C:\Program Files\Yahoo!
    O43 - CFD: 16/02/2011 - 21:26:14 ----D- C:\Program Files\ZHPDiag
    O43 - CFD: 28/10/2010 - 22:55:36 ----D- C:\Program Files\Common Files\Adobe
    O43 - CFD: 29/11/2010 - 19:21:42 ----D- C:\Program Files\Common Files\Adobe AIR
    O43 - CFD: 09/08/2010 - 22:09:02 ----D- C:\Program Files\Common Files\Adobe Systems Shared
    O43 - CFD: 29/10/2010 - 21:22:52 ----D- C:\Program Files\Common Files\Apple
    O43 - CFD: 15/02/2011 - 19:00:18 ----D- C:\Program Files\Common Files\BitDefender
    O43 - CFD: 03/08/2010 - 19:23:46 ----D- C:\Program Files\Common Files\DESIGNER
    O43 - CFD: 10/08/2010 - 20:04:22 ----D- C:\Program Files\Common Files\Hewlett-Packard
    O43 - CFD: 10/08/2010 - 20:03:56 ----D- C:\Program Files\Common Files\HP
    O43 - CFD: 24/08/2010 - 18:46:34 ----D- C:\Program Files\Common Files\InstallShield
    O43 - CFD: 09/08/2010 - 22:21:04 ----D- C:\Program Files\Common Files\microsoft shared
    O43 - CFD: 14/07/2009 - 03:37:06 ----D- C:\Program Files\Common Files\Services
    O43 - CFD: 14/07/2009 - 03:37:06 ----D- C:\Program Files\Common Files\SpeechEngines
    O43 - CFD: 03/08/2010 - 20:45:34 ----D- C:\Program Files\Common Files\System
    O43 - CFD: 03/08/2010 - 20:26:34 ----D- C:\Program Files\Common Files\Windows Live
    O43 - CFD: 28/10/2010 - 22:55:36 ----D- C:\ProgramData\Adobe
    O43 - CFD: 02/08/2010 - 21:16:42 ----D- C:\ProgramData\Alwil Software
    O43 - CFD: 09/08/2010 - 22:51:54 ----D- C:\ProgramData\Apple
    O43 - CFD: 29/10/2010 - 21:22:04 ----D- C:\ProgramData\Apple Computer
    O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Application Data
    O43 - CFD: 15/02/2011 - 19:17:42 ----D- C:\ProgramData\BitDefender
    O43 - CFD: 09/08/2010 - 22:56:16 ----D- C:\ProgramData\Canneverbe Limited
    O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Desktop
    O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Documents
    O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Favorites
    O43 - CFD: 08/08/2010 - 11:46:16 ----D- C:\ProgramData\Google
    O43 - CFD: 08/08/2010 - 11:45:28 ----D- C:\ProgramData\Google Updater
    O43 - CFD: 24/08/2010 - 18:18:08 ----D- C:\ProgramData\Hewlett-Packard
    O43 - CFD: 04/09/2010 - 07:34:34 ----D- C:\ProgramData\HP
    O43 - CFD: 10/08/2010 - 20:06:00 ----D- C:\ProgramData\HP Product Assistant
    O43 - CFD: 03/08/2010 - 20:06:56 ----D- C:\ProgramData\IM
    O43 - CFD: 03/08/2010 - 20:06:14 ----D- C:\ProgramData\IncrediMail
    O43 - CFD: 09/08/2010 - 22:09:18 ----D- C:\ProgramData\Macrovision
    O43 - CFD: 16/02/2011 - 00:07:48 ----D- C:\ProgramData\Malwarebytes
    O43 - CFD: 09/08/2010 - 23:08:56 ----D- C:\ProgramData\Messenger Plus!
    O43 - CFD: 24/08/2010 - 18:18:18 -S--D- C:\ProgramData\Microsoft
    O43 - CFD: 03/08/2010 - 20:06:52 ----D- C:\ProgramData\PhotoMail
    O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Start Menu
    O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Templates
    O43 - CFD: 09/08/2010 - 22:41:42 ----D- C:\ProgramData\TuneUp Software
    O43 - CFD: 24/08/2010 - 18:19:16 ----D- C:\ProgramData\WEBREG
    O43 - CFD: 15/02/2011 - 18:48:14 ----D- C:\ProgramData\Yahoo! Companion
    O43 - CFD: 26/08/2010 - 19:03:44 ----D- C:\ProgramData\Zylom
    O43 - CFD: 09/08/2010 - 22:31:16 ----D- C:\Users\Magali\AppData\Roaming\Adobe
    O43 - CFD: 09/08/2010 - 22:54:54 ----D- C:\Users\Magali\AppData\Roaming\Apple Computer
    O43 - CFD: 09/08/2010 - 22:56:18 ----D- C:\Users\Magali\AppData\Roaming\Canneverbe Limited
    O43 - CFD: 08/08/2010 - 12:57:54 ----D- C:\Users\Magali\AppData\Roaming\Google
    O43 - CFD: 02/08/2010 - 20:10:32 ----D- C:\Users\Magali\AppData\Roaming\Identities
    O43 - CFD: 03/08/2010 - 19:56:46 ----D- C:\Users\Magali\AppData\Roaming\Macromedia
    O43 - CFD: 14/07/2009 - 08:48:46 ----D- C:\Users\Magali\AppData\Roaming\Media Center Programs
    O43 - CFD: 10/08/2010 - 05:59:46 -S--D- C:\Users\Magali\AppData\Roaming\Microsoft
    O43 - CFD: 02/08/2010 - 20:39:32 ----D- C:\Users\Magali\AppData\Roaming\TeamViewer
    O43 - CFD: 09/08/2010 - 22:42:04 ----D- C:\Users\Magali\AppData\Roaming\TuneUp Software
    O43 - CFD: 10/08/2010 - 20:09:00 ----D- C:\Users\Magali\AppData\Roaming\Yahoo!
    0
  12. jeromece Messages postés 311 Statut Membre 2
     
    les 044 j'ai due mal a les mettres

    ---\\ Déni du service (Local Security Authority) (O48)
    O48 - LSA:Local Security Authority Authentication Packages . (.Microsoft Corporation - Microsoft Authentication Package v1.0.) -- C:\Windows\System32\msv1_0.dll
    O48 - LSA:Local Security Authority Notification Packages . (.Microsoft Corporation - Moteur du client de l'Éditeur de configuration de sécurité Windows.) -- C:\Windows\System32\scecli.dll
    O48 - LSA:Local Security Authority Security Packages . (.Microsoft Corporation - Microsoft Authentication Package v1.0.) -- C:\Windows\System32\msv1_0.dll

    ---\\ MountPoints2 Shell Key (O51)
    O51 - MPSK:{6d85df90-a2e6-11df-952b-806e6f6e6963}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- H:\Password.exe (.not file.)

    ---\\ Trojan Driver Search Data (HKLM) (O52)
    O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm
    O52 - TDSD: \Drivers32\"vidc.cvid"="iccvid.dll" . (.Radius Inc. - Codec Cinepak®.) -- C:\Windows\System32\iccvid.dll
    O52 - TDSD: \Drivers32\"VIDC.FFDS"="ff_vfw.dll" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\ff_vfw.dll
    O52 - TDSD: \drivers.desc\"C:\Windows\System32\l3codeca.acm"="Fraunhofer IIS MPEG Layer-3 Codec" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm
    O52 - TDSD: \drivers.desc\"ff_vfw.dll"="ffdshow video encoder" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\ff_vfw.dll

    ---\\ ShareTools MSconfig StartupReg (O53)
    O53 - SMSR:HKLM\...\startupreg\Adobe ARM [Key] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    O53 - SMSR:HKLM\...\startupreg\CANAL+ CANALSAT A LA DEMANDE [Key] . (.Canal+ - Lancer CANAL+ CANALSAT A LA DEMANDE.) -- C:\Program Files\Canal+\Launcher.exe
    O53 - SMSR:HKLM\...\startupreg\Fhiluvarukuru [Key] . (.Pas de propriétaire - Pas de description.) -- F:\USERS\Magali\AppData\Local\Ncorecon.dll
    O53 - SMSR:HKLM\...\startupreg\Google Quick Search Box [Key] . (.Google Inc. - Google Quick Search Box.) -- C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
    O53 - SMSR:HKLM\...\startupreg\HDAudDeck [Key] . (.VIA - VIA HD Audio CPL.) -- C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
    O53 - SMSR:HKLM\...\startupreg\HotKeysCmds [Key] . (.Intel Corporation - hkcmd Module.) -- C:\Windows\system32\hkcmd.exe
    O53 - SMSR:HKLM\...\startupreg\HP Software Update [Key] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O53 - SMSR:HKLM\...\startupreg\hpqSRMon [Key] . (.Hewlett-Packard - HpqSRmon.) -- C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
    O53 - SMSR:HKLM\...\startupreg\IgfxTray [Key] . (.Intel Corporation - igfxTray Module.) -- C:\Windows\system32\igfxtray.exe
    O53 - SMSR:HKLM\...\startupreg\IncrediMail [Key] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe
    O53 - SMSR:HKLM\...\startupreg\iTunesHelper [Key] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
    O53 - SMSR:HKLM\...\startupreg\MoneyAgent [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Microsoft Money\System\Money Express.exe
    O53 - SMSR:HKLM\...\startupreg\msnmsgr [Key] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    O53 - SMSR:HKLM\...\startupreg\Persistence [Key] . (.Intel Corporation - persistence Module.) -- C:\Windows\system32\igfxpers.exe
    O53 - SMSR:HKLM\...\startupreg\QuickTime Task [Key] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
    O53 - SMSR:HKLM\...\startupreg\swg [Key] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O53 - SMSR:HKLM\...\startupreg\ujordqlg [Key] . (.Pas de propriétaire - Pas de description.) -- F:\USERS\Magali\AppData\Local\Temp\apescdfxt\grneowhsika.exe

    ---\\ Microsoft Control Security Providers (O54)
    O54 - MCSP:[HKLM\...\CurrentControlSet\Control] - (SecurityProviders) - (.Microsoft Corporation - Credential Delegation Security Package.) -- C:\Windows\system32\credssp.dll
    O54 - MCSP:[HKLM\...\ControlSet001\Control] - (SecurityProviders) - (.Microsoft Corporation - Credential Delegation Security Package.) -- C:\Windows\system32\credssp.dll

    ---\\ Microsoft Windows Policies System (O55)
    O55 - MWPS:[HKLM\...\Policies\System] - "ConsentPromptBehaviorAdmin"=0
    O55 - MWPS:[HKLM\...\Policies\System] - "ConsentPromptBehaviorUser"=3
    O55 - MWPS:[HKLM\...\Policies\System] - "EnableInstallerDetection"=1
    O55 - MWPS:[HKLM\...\Policies\System] - "EnableLUA"=0
    O55 - MWPS:[HKLM\...\Policies\System] - "EnableSecureUIAPaths"=1
    O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
    O55 - MWPS:[HKLM\...\Policies\System] - "EnableVirtualization"=1
    O55 - MWPS:[HKLM\...\Policies\System] - "PromptOnSecureDesktop"=0
    O55 - MWPS:[HKLM\...\Policies\System] - "ValidateAdminCodeSignatures"=0
    O55 - MWPS:[HKLM\...\Policies\System] - "dontdisplaylastusername"=0
    O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticecaption"=
    O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticetext"=
    O55 - MWPS:[HKLM\...\Policies\System] - "scforceoption"=0
    O55 - MWPS:[HKLM\...\Policies\System] - "shutdownwithoutlogon"=1
    O55 - MWPS:[HKLM\...\Policies\System] - "undockwithoutlogon"=1
    O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
    0
  13. jeromece Messages postés 311 Statut Membre 2
     
    ça plante sur les 3
    décidément pas de chance
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Si t inquiète ça va aller.

    Refais un rapport tout frais, puis tu clique droit dessus > envoyer vers > archive winzip.

    T'envoie le zip sur un des sites et tu poste le lien dans ta future réponse.

    ++
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Voilà qui est mieux ! ;)

    Par contre, y'a pas du beau dans ton rapport.

    ▶ Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
    ▶ Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
    dessus, et sur exécuter en tant qu'administrateur)
    ▶ Clique sur Start Scan
    ▶ Si l'outil a trouvé des éléments, choisi Cure,
    puis sur Reboot Now
    ▶ Le PC va redémarrer, et un rapport va s'ouvrir
    ▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
    N° de version_Date_Heure_log.txt
    )

    ++
    0
  16. jeromece Messages postés 311 Statut Membre 2
     
    ok
    merci
    je m'y met
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Parfait ton pc doit déjà aller mieux je crois ;)

    Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Nettoyer »
    ▶ Confirme lancement du scan
    ▶ Laisse travailler l'outil.
    ▶ Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Puis:

    ▶ Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau.

    ▶ ▶ Miroir 1 si inaccessible
    ▶ ▶ Miroir 2 si inaccessible

    ▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour
    ▶ si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte
    Une fois la mise à jour terminée
    ▶ rends-toi dans l'onglet Recherche
    ▶ Sélectionne Exécuter un examen complet
    ▶ Clique sur Rechercher
    ▶ ▶ Le scan démarre.
    ▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ▶ Clique sur Ok pour poursuivre.
    ▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    ▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    ▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
    ▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
    ▶ Tu clique dessus pour l'afficher, une fois affiché
    ▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Pour finir, refais un passage de ZHPDiag ;)

    ++
    0
  18. jeromece Messages postés 311 Statut Membre 2
     
    je te confirme qu'il va beaucoup mieux
    je dois re,dre à son propriétaire ce pc demain et je te remercie pour elle

    voici le rapport d'ad remover
    http://www.cijoint.fr/cjlink.php?file=cj201102/cijzv7N83T.txt

    je lance malwarebytes
    0
  • 1
  • 2