Virus ou cheval de troie? HELP MERCI

Fermé
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011 - 18 juin 2011 à 15:50
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 17 juil. 2011 à 15:52
Bonjour,



J'ai eu plusieurs fenêtre polluantes qui sont apparues sur mon écran, j'ai téléchargé malwarebytes et tenté de supprimer les fenêtres. La première fois ça a fonctionné, la 2nde fois tous les dossiers de mon bureau et dans mes dossiers démarrage ont disparu...

Je suis sous Windows vista.

Depuis, mon ordinateur est très lent et mes recherches google pareilles. Je suis redirigés sur des sites (ex: coinclicker, mongols..) je me demande si je n'ai pas un virus?

Que dois je faire? Je ne suis pas une flèche en informatique...

MERCI
A voir également:

35 réponses

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 16:52
Tes fichiers ne sont pas réapparus ???
Mince ...

▶ Télécharge sur le bureau RogueKiller (par tigzy)

▶ ▶ Sous Windows XP, double clic gauche

▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur

▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
A ce moment tape 2 et valide
Note: s''il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
▶ Tape maintenant 6
▶ Poste RKReport2
▶ Tu peux fermer RogueKiller
2
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 15:58
Hello,

1/ Poste le rapport MBAM

2/
Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique.

désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu


Télécharge Pre_scan (de gen-hackman)

♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau

▶ Exécute Pre_scan. Si l'outil détecte un proxy et que tu n''en as pas installé clique sur "supprimer le proxy"

▶ Une fois qu'il aura fini, un rapport s'ouvrira.

♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
1
problèmes78
18 juin 2011 à 16:25
Voici le rapport MALWAREBYTES en recherche rapide : Il n'a rien détecté...

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6887

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18/06/2011 16:24:39
mbam-log-2011-06-18 (16-24-39).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 159171
Temps écoulé: 4 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

===

Voici le rapport pre_scan :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijx9Lv79U.txt


merci mercii
1
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 16:31
Fais glisser une icone de ton bureau sur l'icone de pre scan : pre script va apparaitre

ouvre pre script
dans le bloc note qui s ouvre colle ça (sans les lignes !!!)

________________________________________
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AppleSyncNotifier"=-
"QuickTime Task"=-
"iTunesHelper"=-
""=-

attrib::
_________________________________________

laisse travailler l'outil et poste le rapport
1
problèmes78
18 juin 2011 à 16:45
Voici le rapport :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : ADM (Administrateurs)
Ordinateur : ADM-TOSH
Système d'exploitation : Windows 7 Professional (32 bits)
Internet Explorer : 8.0.7600.16385
Mozilla Firefox : 4.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 16:43:40

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AppleSyncNotifier"=-
"QuickTime Task"=-
"iTunesHelper"=-
""=-

attrib::


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuéé

¤


explorer.exe -> Processus redémarré

Fin : 16:43:40

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 16:00
Euh... c'est quoi le rapport MBAM?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 16:01
j'ai téléchargé malwarebytes et tenté de supprimer les fenêtres
c est lui :p
0
problèmes78
18 juin 2011 à 16:41
Désolé je prends du temps.

J'ai perdu tous mes fichier et dossier (même paint), je n'avais rien où coller l'image...

Voici le lien pour la photo du réseau :
http://imageshack.us/photo/my-images/688/copiecranrseau.jpg/
0
problèmes78
18 juin 2011 à 16:57
Voici le rapport roguekiller :
RogueKiller V5.2.3 [16/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: ADM [Droits d'admin]
Mode: Suppression -- Date : 18/06/2011 16:56:20

Processus malicieux: 0

Entrees de registre: 1
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 17:01
option 6 ?
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 17:08
RogueKiller V5.2.3 [16/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: ADM [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 18/06/2011 17:06:19

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 7 / Fail 0
Menu demarrer: Success 42 / Fail 0
Dossier utilisateur: Success 5030 / Fail 0
Mes documents: Success 17 / Fail 0
Mes favoris: Success 50 / Fail 0
Mes images: Success 179 / Fail 0
Ma musique: Success 158 / Fail 0
Mes videos: Success 1 / Fail 0
Disques locaux: Success 279 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt



Tous les fichiers perdus sur mon bureau et démarrer sont revenus je crois! MERCI!

Par contre, je test et quand je vais sur une page via GOOGLE je suis toujours redirigé... vers des sites suspects...
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 17:13
ok nickel :)
c'pas fini je sais ^^

▶ Télécharge Reload_TDSSKiller

▶ Lance le

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

▶ Copie/Colle son contenu dans ta prochaine réponse.
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 17:20
TDSKILLER ne s'ouvre pas... c'est normal?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 17:27
non.

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\

Si tu utilises AVG, IL FAUT IMPÉRATIVEMENT LE DÉSINSTALLER avant d''utiliser Combofix car il peut causer des dégâts en interaction avec l''outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n''est pas suffisante.

Télécharge le désinstalleur d''AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_______________________________________________________________

Les logiciels d''émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
▶ Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l''ordinateur si l''outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_______________________________________________________________

/!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC

▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 17:29
Je ne comprends pas ce que je dois faire là... Je croyais qu'on devait faire un scan avec TDSSKILLER?

Je fais autre chose là..? Je suis paumé...
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 17:38
vu que tdss killer ne fonctionne pas, on utilise combofix.
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 18:32
Oulàlàlà j'ai lancer combofix et ça ma fait un écran tout BLEU!

Un écran d'alerte, j'ai dû redémarrer mon PC violemment...

Aie..
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 18:38
as-tu C:\ComboFix.txt ?
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 18:39
euh... non
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 19:16
ComboFix 11-06-17.04 - ADM 18/06/2011 19:05:31.1.2 - x86 NETWORK
Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.2937.1950 [GMT 2:00]
Lancé depuis: C:\probleme78.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\xp
c:\programdata\xp\EBLib.dll
c:\programdata\xp\TPwSav.sys
c:\users\ADM\AppData\Local\inlog
c:\users\ADM\AppData\Roaming\19ridof.log
c:\users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1
c:\users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1\enemies-names.txt
c:\users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1\local.ini
c:\users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1\lsrslt.ini
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-18 au 2011-06-18 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-18 17:09 . 2011-06-18 17:09 -------- d-----w- c:\users\ADM\AppData\Local\temp
2011-06-18 17:09 . 2011-06-18 17:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-06-18 14:36 . 2011-06-18 14:36 -------- d-----w- c:\program files\Paint.NET
2011-06-18 14:35 . 2011-06-18 14:37 -------- d-----w- c:\users\ADM\AppData\Local\Paint.NET
2011-06-18 14:13 . 2011-06-18 14:13 57344 ----a-w- c:\windows\system32\rdpsign.exe
2011-06-18 14:13 . 2011-06-18 14:13 257024 ----a-w- c:\windows\system32\rdpshell.exe
2011-06-18 14:13 . 2011-06-18 14:13 159744 ----a-w- c:\windows\system32\rdpinit.exe
2011-06-18 14:12 . 2011-06-18 14:12 219648 ----a-w- c:\windows\system32\fsquirt.exe
2011-06-18 14:12 . 2011-06-18 14:12 99328 ----a-w- c:\windows\system32\BitLockerWizardElev.exe
2011-06-18 14:12 . 2011-06-18 14:12 99328 ----a-w- c:\windows\system32\BitLockerWizard.exe
2011-06-18 14:12 . 2011-06-18 14:12 126464 ----a-w- c:\windows\system32\BdeHdCfg.exe
2011-06-18 14:12 . 2011-06-18 14:12 108032 ----a-w- c:\windows\system32\baaupdate.exe
2011-06-18 14:12 . 2011-06-18 14:43 -------- d-----w- C:\Kill'em
2011-06-18 11:13 . 2011-06-18 14:02 -------- d-----w- c:\programdata\AVAST Software
2011-06-18 11:13 . 2011-06-18 11:13 -------- d-----w- c:\program files\AVAST Software
2011-06-18 09:44 . 2011-06-18 09:44 167052 ----a-w- c:\users\cc_20110618_114357.reg
2011-06-17 22:10 . 2011-06-17 22:10 -------- d-----w- c:\users\ZHP
2011-06-17 22:06 . 2011-06-17 22:06 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-17 22:04 . 2011-06-17 22:06 -------- d-----w- c:\program files\ZHPDiag
2011-06-17 19:16 . 2011-05-09 20:46 6962000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{87A7744F-FE56-4818-956C-94805A9B04CC}\mpengine.dll
2011-06-13 18:01 . 2011-06-13 18:01 -------- d-----w- c:\users\ADM\AppData\Local\MLSofts
2011-06-13 17:55 . 2011-06-13 17:55 -------- d-----w- c:\program files\MLSofts
2011-06-08 18:42 . 2011-04-14 16:47 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-06-08 18:42 . 2011-04-14 16:47 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-06-08 18:42 . 2011-04-14 16:47 719832 ----a-w- c:\program files\Mozilla Firefox\mozcpp19.dll
2011-06-08 18:42 . 2011-04-14 16:47 465880 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-06-08 18:42 . 2011-04-14 16:47 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
2011-06-08 18:42 . 2011-04-14 16:47 16856 ----a-w- c:\program files\Mozilla Firefox\plugin-container.exe
2011-06-08 18:42 . 2011-04-14 16:47 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
2011-06-08 18:42 . 2011-04-14 16:47 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-06-08 18:42 . 2010-01-01 08:00 1974616 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-06-08 18:42 . 2010-01-01 08:00 1892184 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-06-08 18:33 . 2011-06-08 18:33 -------- d-----w- c:\program files\CCleaner
2011-05-25 18:39 . 2011-04-22 19:36 26496 ----a-w- c:\windows\system32\drivers\Diskdump.sys
2011-05-24 16:00 . 2011-04-09 05:56 123904 ----a-w- c:\windows\system32\poqexec.exe
2011-05-23 20:27 . 2011-05-23 20:27 -------- d-----w- c:\program files\pdfforge Toolbar
2011-05-23 20:27 . 2011-05-23 20:27 -------- d-----w- c:\program files\Application Updater
2011-05-23 20:27 . 2011-05-23 20:27 -------- d-----w- c:\program files\Common Files\Spigot
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-17 17:42 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-18 17:07 . 2011-04-18 17:07 159080 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10138.bin
2011-04-09 06:13 . 2011-05-11 17:09 3957632 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 17:09 3901824 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-03-25 03:06 . 2011-05-11 17:09 258560 ----a-w- c:\windows\system32\drivers\usbhub.sys
2011-03-25 03:06 . 2011-05-11 17:10 284160 ----a-w- c:\windows\system32\drivers\usbport.sys
2011-03-25 03:06 . 2011-05-11 17:09 75776 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2011-03-25 03:06 . 2011-05-11 17:10 43008 ----a-w- c:\windows\system32\drivers\usbehci.sys
2011-03-25 03:06 . 2011-05-11 17:09 20480 ----a-w- c:\windows\system32\drivers\usbohci.sys
2011-03-25 03:06 . 2011-05-11 17:09 24064 ----a-w- c:\windows\system32\drivers\usbuhci.sys
2011-03-25 03:06 . 2011-05-11 17:09 5888 ----a-w- c:\windows\system32\drivers\usbd.sys
2011-04-14 16:47 . 2011-06-08 18:42 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-04 39408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-08-12 6203296]
.
c:\users\ADM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-2-19 503808]
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2011-05-06 393112]
R2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files\TOSHIBA\ConfigFree\CFIWmxSvcs.exe [2009-08-10 185712]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 135664]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
R2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-08-06 116104]
R2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2009-08-27 185712]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 135664]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RTL8187B;Carte réseau USB 2.0 Realtek RTL8187B sans fil 802.11b/g 54 Mbits/s;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\DRIVERS\tap0801.sys [2006-10-01 26624]
R3 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-08-17 51512]
R3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-08-03 111960]
R3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-08-06 685424]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-29 1343400]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [2009-06-19 12920]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-05-22 167936]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2009-08-27 859136]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 00:56]
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 00:56]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.Google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\users\ADM\AppData\Roaming\Mozilla\Firefox\Profiles\htxwhzhy.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-mcmscsvc
SafeBoot-MCODS
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-06-18 19:11:14
ComboFix-quarantined-files.txt 2011-06-18 17:11
.
Avant-CF: 126 276 038 656 octets libres
Après-CF: 126 086 426 624 octets libres
.
- - End Of File - - DDF3A5D46AA9561D63900FCCBAA46342

Voilà le rapport ComboFix en mode sans echec!
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 19:23
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!


▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll

DeQuarantine::
c:\programdata\xp

Folder::
c:\program files\pdfforge Toolbar    
c:\program files\Application Updater    
c:\program files\Common Files\Spigot    

Driver::
Application Updater



▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 19:48
ComboFix 11-06-17.04 - ADM 18/06/2011 19:30:40.2.2 - x86
Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.2937.1936 [GMT 2:00]
Lancé depuis: c:\users\ADM\Desktop\probleme78.exe
Commutateurs utilisés :: c:\users\ADM\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Application Updater
c:\program files\Application Updater\ApplicationUpdater.exe
c:\program files\Application Updater\config.ini
c:\program files\Common Files\Spigot
c:\program files\Common Files\Spigot\Search Settings\config.ini
c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
c:\program files\Common Files\Spigot\Search Settings\yahoo_ff.xml
c:\program files\Common Files\Spigot\Search Settings\yahoo_ie.xml
c:\program files\Common Files\Spigot\wtxpcom\chrome.manifest
c:\program files\Common Files\Spigot\wtxpcom\components\IFBHOHelperWidgiToolbar.xpt
c:\program files\Common Files\Spigot\wtxpcom\components\IFBHOWidgiToolbar.xpt
c:\program files\Common Files\Spigot\wtxpcom\install.rdf
c:\program files\pdfforge Toolbar
c:\program files\pdfforge Toolbar\FF\chrome.manifest
c:\program files\pdfforge Toolbar\FF\chrome\content\chevron.js
c:\program files\pdfforge Toolbar\FF\chrome\content\chevron.xul
c:\program files\pdfforge Toolbar\FF\chrome\content\login.js
c:\program files\pdfforge Toolbar\FF\chrome\content\login.xul
c:\program files\pdfforge Toolbar\FF\chrome\content\parser.js
c:\program files\pdfforge Toolbar\FF\chrome\content\RssTickerWidget.js
c:\program files\pdfforge Toolbar\FF\chrome\content\searchbox.js
c:\program files\pdfforge Toolbar\FF\chrome\content\searchbox.xul
c:\program files\pdfforge Toolbar\FF\chrome\content\utils.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgichevron.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgicomm.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgihandling.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgilisteners.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgitoolbarplugin.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgitoolbarplugin.xul
c:\program files\pdfforge Toolbar\FF\chrome\content\widgiui.js
c:\program files\pdfforge Toolbar\FF\chrome\locale\EN-US\searchbox.dtd
c:\program files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.dtd
c:\program files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
c:\program files\pdfforge Toolbar\FF\chrome\locale\EN-US\yahoo-search.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\amazon.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\chevron.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\ebay.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\icon_settings.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\pdfc_branding.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\pdfc_branding_hover.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\pdfc_icon.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\pdfc_portal_logo.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search-button-hover.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search-button.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search-chevron-hover.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search-chevron.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search_amazon.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search_ebay.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search_yahoo.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\searchbox.css
c:\program files\pdfforge Toolbar\FF\chrome\skin\splitter.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\widgitoolbarplugin.css
c:\program files\pdfforge Toolbar\FF\install.rdf
c:\program files\pdfforge Toolbar\IE\4.4\config.ini
c:\program files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll
c:\program files\pdfforge Toolbar\Res\amazon.gif
c:\program files\pdfforge Toolbar\Res\ebay.gif
c:\program files\pdfforge Toolbar\Res\icon_settings.gif
c:\program files\pdfforge Toolbar\Res\pdfc_branding.gif
c:\program files\pdfforge Toolbar\Res\pdfc_branding_hover.gif
c:\program files\pdfforge Toolbar\Res\pdfc_icon.gif
c:\program files\pdfforge Toolbar\Res\pdfc_portal_logo.gif
c:\program files\pdfforge Toolbar\Res\search-button-hover.gif
c:\program files\pdfforge Toolbar\Res\search-button.gif
c:\program files\pdfforge Toolbar\Res\search-chevron-hover.gif
c:\program files\pdfforge Toolbar\Res\search-chevron.gif
c:\program files\pdfforge Toolbar\Res\search_amazon.gif
c:\program files\pdfforge Toolbar\Res\search_ebay.gif
c:\program files\pdfforge Toolbar\Res\search_yahoo.gif
c:\program files\pdfforge Toolbar\Res\widgets.xml
c:\program files\pdfforge Toolbar\WidgiHelper.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Application Updater
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-05-18 au 2011-06-18 ))))))))))))))))))))))))))))))))))))
.
.
2011-06-18 17:35 . 2011-06-18 17:37 -------- d-----w- c:\users\ADM\AppData\Local\temp
2011-06-18 14:36 . 2011-06-18 14:36 -------- d-----w- c:\program files\Paint.NET
2011-06-18 14:35 . 2011-06-18 14:37 -------- d-----w- c:\users\ADM\AppData\Local\Paint.NET
2011-06-18 14:13 . 2011-06-18 14:13 57344 ----a-w- c:\windows\system32\rdpsign.exe
2011-06-18 14:13 . 2011-06-18 14:13 257024 ----a-w- c:\windows\system32\rdpshell.exe
2011-06-18 14:13 . 2011-06-18 14:13 159744 ----a-w- c:\windows\system32\rdpinit.exe
2011-06-18 14:12 . 2011-06-18 14:12 219648 ----a-w- c:\windows\system32\fsquirt.exe
2011-06-18 14:12 . 2011-06-18 14:12 99328 ----a-w- c:\windows\system32\BitLockerWizardElev.exe
2011-06-18 14:12 . 2011-06-18 14:12 99328 ----a-w- c:\windows\system32\BitLockerWizard.exe
2011-06-18 14:12 . 2011-06-18 14:12 126464 ----a-w- c:\windows\system32\BdeHdCfg.exe
2011-06-18 14:12 . 2011-06-18 14:12 108032 ----a-w- c:\windows\system32\baaupdate.exe
2011-06-18 14:12 . 2011-06-18 14:43 -------- d-----w- C:\Kill'em
2011-06-18 11:13 . 2011-06-18 14:02 -------- d-----w- c:\programdata\AVAST Software
2011-06-18 11:13 . 2011-06-18 11:13 -------- d-----w- c:\program files\AVAST Software
2011-06-18 09:44 . 2011-06-18 09:44 167052 ----a-w- c:\users\cc_20110618_114357.reg
2011-06-17 22:10 . 2011-06-18 17:11 -------- d-----w- c:\users\ZHP
2011-06-17 22:06 . 2011-06-17 22:06 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-06-17 22:04 . 2011-06-17 22:06 -------- d-----w- c:\program files\ZHPDiag
2011-06-17 19:16 . 2011-05-09 20:46 6962000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{87A7744F-FE56-4818-956C-94805A9B04CC}\mpengine.dll
2011-06-13 18:01 . 2011-06-13 18:01 -------- d-----w- c:\users\ADM\AppData\Local\MLSofts
2011-06-13 17:55 . 2011-06-13 17:55 -------- d-----w- c:\program files\MLSofts
2011-06-08 18:42 . 2011-04-14 16:47 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-06-08 18:42 . 2011-04-14 16:47 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-06-08 18:42 . 2011-04-14 16:47 719832 ----a-w- c:\program files\Mozilla Firefox\mozcpp19.dll
2011-06-08 18:42 . 2011-04-14 16:47 465880 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-06-08 18:42 . 2011-04-14 16:47 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
2011-06-08 18:42 . 2011-04-14 16:47 16856 ----a-w- c:\program files\Mozilla Firefox\plugin-container.exe
2011-06-08 18:42 . 2011-04-14 16:47 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
2011-06-08 18:42 . 2011-04-14 16:47 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-06-08 18:42 . 2010-01-01 08:00 1974616 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-06-08 18:42 . 2010-01-01 08:00 1892184 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-06-08 18:33 . 2011-06-08 18:33 -------- d-----w- c:\program files\CCleaner
2011-05-25 18:39 . 2011-04-22 19:36 26496 ----a-w- c:\windows\system32\drivers\Diskdump.sys
2011-05-24 16:00 . 2011-04-09 05:56 123904 ----a-w- c:\windows\system32\poqexec.exe
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-17 17:42 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-18 17:07 . 2011-04-18 17:07 159080 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10138.bin
2011-04-09 06:13 . 2011-05-11 17:09 3957632 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 17:09 3901824 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-03-25 03:06 . 2011-05-11 17:09 258560 ----a-w- c:\windows\system32\drivers\usbhub.sys
2011-03-25 03:06 . 2011-05-11 17:10 284160 ----a-w- c:\windows\system32\drivers\usbport.sys
2011-03-25 03:06 . 2011-05-11 17:09 75776 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2011-03-25 03:06 . 2011-05-11 17:10 43008 ----a-w- c:\windows\system32\drivers\usbehci.sys
2011-03-25 03:06 . 2011-05-11 17:09 20480 ----a-w- c:\windows\system32\drivers\usbohci.sys
2011-03-25 03:06 . 2011-05-11 17:09 24064 ----a-w- c:\windows\system32\drivers\usbuhci.sys
2011-03-25 03:06 . 2011-05-11 17:09 5888 ----a-w- c:\windows\system32\drivers\usbd.sys
2011-04-14 16:47 . 2011-06-08 18:42 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-04 39408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-08-12 6203296]
.
c:\users\ADM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-2-19 503808]
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 135664]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 135664]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RTL8187B;Carte réseau USB 2.0 Realtek RTL8187B sans fil 802.11b/g 54 Mbits/s;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\DRIVERS\tap0801.sys [2006-10-01 26624]
R3 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-08-17 51512]
R3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-08-03 111960]
R3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-08-06 685424]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-29 1343400]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files\TOSHIBA\ConfigFree\CFIWmxSvcs.exe [2009-08-10 185712]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-08-06 116104]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2009-08-27 185712]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [2009-06-19 12920]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-05-22 167936]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2009-08-27 859136]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 00:56]
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 00:56]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.Google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\users\ADM\AppData\Roaming\Mozilla\Firefox\Profiles\htxwhzhy.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\windows\system32\taskhost.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\conhost.exe
c:\program files\Google\Google Toolbar\GoogleToolbarUser_32.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\TOSHIBA\ConfigFree\NDSTray.exe
c:\program files\TOSHIBA\ConfigFree\CFSwMgr.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Heure de fin: 2011-06-18 19:41:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-06-18 17:41
ComboFix2.txt 2011-06-18 17:11
.
Avant-CF: 126 224 887 808 octets libres
Après-CF: 125 708 890 112 octets libres
.
- - End Of File - - 2D13B5E0AA8E21211325445EC128FCCB

Quand je surf je suis toujours redirigé vers des sites suspects...
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 19:51
▶ Rentre dans ton panneau de configuration....
▶ Apparence et personnalisation...
▶ Option des dossiers...(double cliquer dessus)
▶ Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option
▶ Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.

▶ ▶ ensuite rends toi sur ce lien:
https://www.virustotal.com/gui/

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr


▶ Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"
recherche les entrées suivante dans ton disque :

c:\windows\system32\rdpsign.exe      

▶ cliques sur envoyer

▶ Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant

▶ Copie et colle le lien de ta barre d''adresse ici, après que l''analyse soit terminée

pareil avec ces 2 fichiers :
c:\windows\system32\rdpshell.exe
c:\windows\system32\rdpinit.exe
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 20:20
http://www.virustotal.com/file-scan/report.html?id=b8bb2594c7c70d12528843a1732b6f0d7dee5a4a0454b4314f732b60e161face-1308420248
http://www.virustotal.com/file-scan/report.html?id=d7fdd7ebea1dfc27ccea9a3fed12071ab9e08026054142428a10c2b9a789a01f-1308420406
http://www.virustotal.com/file-scan/report.html?id=cac5ed37efca12c0bd88fbc338d5fe0bb56efb31065ad9fd70ffd670baf2aa9a-1308420740

Voilà les résultats avec Virus Total, apparemment rien d'infecté ?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 20:22
Le truc c'est qu'ils étaient pas signés donc je voulais tester :)

refais un zhpdiag stp et héberge son rapport
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 20:32
Voila le rapport numéro 2 :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijU7itA3r.txt

Toujours impossible d'accéder directement aux pages web, je suis toujours redirigé sur des sites suspects. Et google est très très lent.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2011 à 20:42
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com    => Infection BT (PUP.Dealio)
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com    => Infection BT (Adware.WidgiToolbar)
O42 - Logiciel: pdfforge Toolbar v4.4 - (.Spigot, Inc..) [HKLM] -- {BCB52F35-4C56-49F2-A3D6-FDED54B01847}    => Infection BT (PUP.Dealio)
[HKCU\Software\AppDataLow\Software\Search Settings]    => Infection PUP (PUP.Dealio)
[HKCU\Software\AppDataLow\Software\pdfforge]    => Infection BT (PUP.Dealio)
[HKLM\Software\Application Updater]    => Infection PUP (PUP.Dealio)
[HKLM\Software\Search Settings]    => Infection PUP (PUP.Dealio)
[HKLM\Software\pdfforge]    => Infection BT (PUP.Dealio)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    => Infection BT (Spyware.BHO)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    => Infection BT (Spyware.BHO)
[HKLM\Software\Classes\Installer\Features\53F25BCB65C42F943A6DDFDE450B8174]    => Infection BT (Adware.BHO)
[HKLM\Software\Classes\Installer\Products\53F25BCB65C42F943A6DDFDE450B8174]    => Infection BT (Adware.BHO)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\53F25BCB65C42F943A6DDFDE450B8174]    => Infection BT (Adware.BHO)
[HKLM\Software\Application Updater]    => Infection PUP (PUP.Dealio)
[HKCU\Software\AppDataLow\Software\pdfforge]    => Infection BT (PUP.Dealio)
[HKLM\Software\pdfforge]    => Infection BT (PUP.Dealio)
[HKCU\Software\AppDataLow\Software\Search Settings]    => Infection PUP (PUP.Dealio)
[HKLM\Software\Search Settings]    => Infection PUP (PUP.Dealio)
C:\Users\ADM\Appdata\LocalLow\pdfforge    => Infection BT (PUP.Dealio)
C:\Users\ADM\Appdata\LocalLow\Search Settings    => Infection PUP (PUP.Dealio)
EMPTYTEMP


▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l''écran dans ton prochain message

▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)

▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport
0
problèmes78 Messages postés 21 Date d'inscription samedi 18 juin 2011 Statut Membre Dernière intervention 28 juin 2011
18 juin 2011 à 20:50
Rapport de ZHPFix 1.12.3316 par Nicolas Coolman, Update du 16/06/2011
Fichier d'export Registre :
Run by ADM at 18/06/2011 20:46:41
Windows 7 Business Edition, 32-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Partiel Software Key: {BCB52F35-4C56-49F2-A3D6-FDED54B01847}
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Search Settings
SUPPRIME Key: HKCU\Software\AppDataLow\Software\pdfforge
SUPPRIME Key: HKLM\Software\Application Updater
SUPPRIME Key: HKLM\Software\Search Settings
SUPPRIME Key: HKLM\Software\pdfforge
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\53F25BCB65C42F943A6DDFDE450B8174
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\53F25BCB65C42F943A6DDFDE450B8174
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\53F25BCB65C42F943A6DDFDE450B8174
ABSENT Key: HKLM\Software\Application Updater
ABSENT Key: HKCU\Software\AppDataLow\Software\pdfforge
ABSENT Key: HKLM\Software\pdfforge
ABSENT Key: HKCU\Software\AppDataLow\Software\Search Settings
ABSENT Key: HKLM\Software\Search Settings

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 69

========== Fichier(s) ==========
SUPPRIME c:\program files\mozilla firefox\extensions\pdfforge@mybrowserbar.com
SUPPRIME c:\program files\mozilla firefox\extensions\wtxpcom@mybrowserbar.com
SUPPRIME File: C:\Users\ADM\Appdata\LocalLow\pdfforge
SUPPRIME Temporaires Windows: : 4


========== Récapitulatif ==========
16 : Clé(s) du Registre
1 : Dossier(s)
4 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt


End of the scan


=

Je redémarre
0
problèmes78
18 juin 2011 à 21:00
http://www.cijoint.fr/cjlink.php?file=cj201106/cijl00xFcK.txt

voila le rapport
0