Virus de redirection Google !Résolu/Fermé

Question

Bonjour à tous, 

Mon ordi a à son tour été infecté par le virus de redirection Google (redirection quasi systématique sur des sites pourris, navigation lente).

J'ai vu que pas mal de monde avait pu se faire aider ici, un expert pourrait-il me guider pas à pas s'il vous plait?

Je ne sais pas si c'est important : mon ordi avait en même temps été infecté par le virus police nationale, ZoneAlarm l'a détecté et visiblement supprimé puisque je n'ai pas de problème d'écran bleu, noir ou de bureau manquant contrairement à pas mal d'internautes. 

La procédure pour le virus Google permettra-t-elle de vérifier dans le même temps que mon ordi est totalement clean (notamment du virus police nationale) ?

D'avance, merci pour votre aide !!

Configuration: Windows Vista / Firefox 7.0.1

Fish66 · Accepted Answer

Re,

* Télécharge sur le bureau RogueKiller (par tigzy)  
https://www.luanagames.com/index.fr.html  


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )  

* Quitte tous tes programmes en cours  
* Lance RogueKiller.exe.  
* Lorsque demandé, tape 1 et valide  
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le  en winlogon.exe ou firefox.exe (rajouter l'extension .exe) 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse  
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.  

@+

Fish66 · Answer

Salut,

1/
Télécharge AdwCleaner (merci à Xplode) 
Ou  ADWCleaner ici
Lance AdwCleaner
Clique sur le bouton [ Recherche ] 
Patiente... 
Poste le rapport qui apparait en fin de recherche. 
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

2/
Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
Si indisponible, tu peux essayer avec l'un de ces liens: 
http://dl.free.fr
http://ww38.toofiles.com/fr/documents-upload.html
https://www.terafiles.net/
https://www.casimages.com/
http://pjjoint.malekal.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

Hébergement de rapport sur cijoint.fr/

Rend toi sur ce site : http://www.cijoint.fr/
 Clique sur Choisissez un fichier
Clique sur "Cliquez ici pour déposer le fichier". 
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj44123/cijSKAP5fU.txt
 est ajouté dans la page. Copie ce lien dans ta réponse.

sdj33 · Answer

Salut Fish66, merci de m'aider !

Voici le rapport AdwCleaner. Je passe à l'étape 2 de suite.



# AdwCleaner v1.310 - Rapport créé le 13/10/2011 à 14:25:21
# Mis à jour le 07/10/11 à 19h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : marie - PC-DE-MARIE (Administrateur)
# Exécuté depuis : C:\Users\marie\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\marie\AppData\Roaming\cacaoweb

***** [Registre] *****

Clé Présente : HKCU\Software\cacaoweb

***** [Navigateurs] *****

-\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v7.0.1 (fr)

Profil : 3iuijebn.default
Fichier : C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [926 octets] - [13/10/2011 14:25:21]

########## EOF - C:\AdwCleaner[R1].txt - [1053 octets] ##########

Fish66 · Answer

Re,

Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

sdj33 · Answer

Re,

Voici le rapport :

# AdwCleaner v1.310 - Rapport créé le 13/10/2011 à 14:34:13
# Mis à jour le 07/10/11 à 19h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : marie - PC-DE-MARIE (Administrateur)
# Exécuté depuis : C:\Users\marie\Desktop\adwcleaner.exe
# Option [Suppression]


***** [KillNav] *****

# firefox.exe [PID:4640] -> Tué
# firefox.exe [PID:4640] -> Tué

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\marie\AppData\Roaming\cacaoweb

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb

***** [Navigateurs] *****

-\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v7.0.1 (fr)

Profil : 3iuijebn.default
Fichier : C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\prefs.js

C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1054 octets] - [13/10/2011 14:25:21]
AdwCleaner[S1].txt - [1182 octets] - [13/10/2011 14:34:13]

*************************

Dossier Temporaire : 3 dossier(s) et 14 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [1405 octets] ##########


Je passe à l'étape 2 (ZHPDiag) ??

Fish66 · Answer

Re,

Oui bien sure j'attend ce rapport pour faire un diagnostic de ton PC!

sdj33 · Answer

Ok !

Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201110/cij8f7VB4J.txt

sdj33 · Answer

Re,

Je le lance de suite. Comme je ne sais pas combien de temps ça va prendre, je voulais juste te dire que je dois m'absenter environ 1h. 

Je poste le rapport dès que je reviens. 

J'apprécie ton aide !

A tout à l'heure

sdj33 · Answer

En fait c'était très rapide donc je te poste le rapport avant de m'absenter : RogueKiller V6.1.2 [07/10/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: marie [Droits d'admin] Mode: Recherche -- Date : 13/10/2011 14:52:21 Processus malicieux: 2 [ROGUE ST] 639.exe -- c:\program files\internet explorer\4382\639.exe -> KILLED [TermProc] [SUSP PATH] 65F43.exe -- c:\users\marie\appdata\roaming\20554\65f43.exe -> KILLED [TermProc] Entrees de registre: 13 [SUSP PATH] HKCU\[...]\Run : vasja (C:\Users\marie\AppData\Local\Temp\wpbt0.dll) -> FOUND [SUSP PATH] HKLM\[...]\Run : 639.exe (C:\Program Files\Internet Explorer\4382\639.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-226889588-1243383199-3135563048-1000[...]\Run : vasja (C:\Users\marie\AppData\Local\Temp\wpbt0.dll) -> FOUND [SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Users\marie\AppData\Roaming\20554\65F43.exe) -> FOUND [SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\marie\AppData\Local\Temp\dwm.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-226889588-1243383199-3135563048-1000[...]\Winlogon : Shell (explorer.exe,C:\Users\marie\AppData\Roaming\20554\65F43.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-226889588-1243383199-3135563048-1000[...]\Windows : Load (C:\Users\marie\AppData\Local\Temp\dwm.exe) -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:59535) -> FOUND [HJ] {20D04FE0-3AEA-1069-A2D8-08002B30309D}\ 1: -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND Fichiers / Dossiers particuliers: Driver: [LOADED] Fichier HOSTS: ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

Fish66 · Answer

Re,

Relance RogueKiller puis tapes 2 ensuite 4 et poste stp les deux rapports correspondant à ces 2 options

@+

sdj33 · Answer

Allez, je poste et je reviens dans 1h, encore merci !! Rapport pour le 2 : RogueKiller V6.1.2 [07/10/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: marie [Droits d'admin] Mode: Suppression -- Date : 13/10/2011 15:00:27 Processus malicieux: 2 [ROGUE ST] 639.exe -- c:\program files\internet explorer\4382\639.exe -> KILLED [TermProc] [SUSP PATH] 65F43.exe -- c:\users\marie\appdata\roaming\20554\65f43.exe -> KILLED [TermProc] Entrees de registre: 10 [SUSP PATH] HKCU\[...]\Run : vasja (C:\Users\marie\AppData\Local\Temp\wpbt0.dll) -> DELETED [SUSP PATH] HKLM\[...]\Run : 639.exe (C:\Program Files\Internet Explorer\4382\639.exe) -> DELETED [SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Users\marie\AppData\Roaming\20554\65F43.exe) -> DELETED [SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\marie\AppData\Local\Temp\dwm.exe) -> DELETED [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:59535) -> NOT REMOVED, USE PROXYFIX [HJ] {20D04FE0-3AEA-1069-A2D8-08002B30309D}\ 1: -> REPLACED (0) [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichiers / Dossiers particuliers: Driver: [LOADED] Fichier HOSTS: ::1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt Rapport pour le 4 : RogueKiller V6.1.2 [07/10/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: marie [Droits d'admin] Mode: Proxy RAZ -- Date : 13/10/2011 15:00:58 Processus malicieux: 0 Driver: [LOADED] Entrees de registre: 3 [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0) [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:59535) -> DELETED [PROXY FF] 3iuijebn.default\ 127.0.0.1:59535 -> DELETED Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Fish66 · Answer

Re,

* Lance Malwarebytes' Anti-Malware  
* Fais la mise à jour  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
*Vérifie que toutes les lignes sont cochées 
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  


Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant.

sdj33 · Answer

Re,

MBAM refuse de rechercher une mise à jour, erreur code 732 (0, 0)

sdj33 · Answer

Pardon je n'avais pas lu la dernière phrase.

Je fais ça de suite.

sdj33 · Answer

J'ai tenté l'installation manuelle. J'ai installé MBAM rules. 

Puis j'essaye d'ouvrir MBAM mais je ne peux plus accéder à l'interface, le même message d'erreur s'affiche.

Que me conseilles-tu?

Fish66 · Answer

Re,

Désinstalle complètement Malwarebytes via panneau de configuration,
ensuite faic ceci stp :

/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut  
https://www.malwarebytes.com/mwb-download/ 
* Lance Malwarebytes' Anti-Malware  
* Fais la mise à jour  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
*Vérifie que toutes les lignes sont cochées 
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  


Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant.

sdj33 · Answer

Re,

Des éléments n'ont pas pu être supprimés.

Voici le rapport :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7939

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

13/10/2011 21:17:34
mbam-log-2011-10-13 (21-17-34).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|)
Elément(s) analysé(s): 305800
Temps écoulé: 1 heure(s), 9 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
c:\Users\marie\AppData\Roaming\20554\65F43.exe (Backdoor.Bot) -> 1796 -> Unloaded process successfully.
c:\Users\marie\AppData\Roaming\microsoft\4382\639.exe (Backdoor.Bot) -> 1964 -> Unloaded process successfully.
c:\Users\marie\AppData\Roaming\54A06\lvvm.exe (Backdoor.Bot) -> 752 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\639.exe (Backdoor.Bot) -> Value: 639.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\639.exe (Backdoor.Bot) -> Value: 639.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.CycBot) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.CycBot) -> Value: conhost -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\Users\marie\AppData\Roaming\54A06\lvvm.exe) Good: () -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\marie\AppData\Roaming\20554\65F43.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\microsoft\4382\639.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\54A06\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\program files\internet explorer\4382\639.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\program files\54A06\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\program files\steganos security suite 2007\dllregister.exe (Adware.Agent.ZGen) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\wmplayer.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\20554\20554\20554\65F43.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\Desktop\rk_quarantine\639.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\Desktop\rk_quarantine\65f43.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.

Fish66 · Answer

Re,

mbam a fait son trvail  :-)

Relance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag (à héberger en donnant l'adresse du lien)

@+

sdj33 · Answer

Re,

Ok !

Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijyMmSaVf.txt

Fish66 · Answer

Bonjour,

1/
Est ce que tu n'as pas un antivirus qui marche correctement?

Je vois des traces d'AVG8 et ESET on line !

2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



OPT:O4 - Global Startup: C:\Users\marie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Winamp.lnk . (.Nullsoft.)  -- C:\Program Files\Winamp\winamp.exe    => Unknown owner®.
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:59535
O53 - SMSR:HKLM\...\startupreg\cacaoweb  [Key] . (...) -- C:\Users\marie\AppData\Roaming\cacaoweb\cacaoweb.exe (.not file.)    => Infection PUP (PUP.CacaoWeb)
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb]
C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\user.js (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{2A450D57-F50B-48C2-9212-35E74DE6ADDC}] (...) -- C:\Program Files\EA GAMES\Les Sims 2 H&M© Fashion Kit\CSBin\PackageInstaller.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{2C09E5D0-A3C5-4E86-9DCE-D3D6B70DAA6B}] (...) -- C:\Users\marie\Desktop\Nouveau dossier\WinRar.V3.71+Keygen+PatchFR.by-JEB\keygen.exe (.not file.)    => Crack, KeyGen, Keymaker - Possible Malware
O43 - CFD: 29/06/2011 - 22:41:22 - [0] ----D- C:\Users\marie\AppData\Local\{12BD5ED6-09E5-46F8-928B-3297A27C8550}
O43 - CFD: 29/08/2011 - 14:09:22 - [0] ----D- C:\Users\marie\AppData\Local\{1EBC8425-28F9-4B9A-AAEF-070EA39F6B84}
O43 - CFD: 27/04/2011 - 21:33:24 - [0] ----D- C:\Users\marie\AppData\Local\{212E3ADD-87E2-4560-AEE8-A7AE4CAEF4E9}
O43 - CFD: 09/09/2011 - 12:24:00 - [0] ----D- C:\Users\marie\AppData\Local\{2E0DCB34-2E34-4252-90CF-1C71ECA0D425}
O43 - CFD: 01/07/2011 - 19:50:28 - [0] ----D- C:\Users\marie\AppData\Local\{4261879C-08D7-41A1-82D3-C58DDC8428B0}
O43 - CFD: 27/08/2011 - 20:02:20 - [0] ----D- C:\Users\marie\AppData\Local\{54617051-9684-49AE-BC53-A8E1865D3526}
O43 - CFD: 07/09/2011 - 11:00:06 - [0] ----D- C:\Users\marie\AppData\Local\{60EC8B9F-D67E-441F-92D0-C236AB1C828C}
O43 - CFD: 19/06/2011 - 13:45:02 - [0] ----D- C:\Users\marie\AppData\Local\{61AE6F80-22EE-45D4-ABA6-C15A9D1D1B98}
O43 - CFD: 29/08/2011 - 14:09:32 - [0] ----D- C:\Users\marie\AppData\Local\{7709181B-8D8F-4036-BC1A-AA8E44D9D16B}
O43 - CFD: 22/08/2011 - 13:25:42 - [0] ----D- C:\Users\marie\AppData\Local\{8D66F468-96DA-48D9-9A2C-4B2972240B30}
O43 - CFD: 19/06/2011 - 17:00:40 - [0] ----D- C:\Users\marie\AppData\Local\{B205073F-17DD-4968-B969-D60098F165CA}
O43 - CFD: 01/07/2011 - 07:49:14 - [0] ----D- C:\Users\marie\AppData\Local\{B310FE9D-8311-4461-AF00-B0F3F44EFD4F}
O43 - CFD: 11/06/2011 - 18:58:38 - [0] ----D- C:\Users\marie\AppData\Local\{B56DB683-A1E9-46F3-9B28-06041DDC7CE2}
O43 - CFD: 09/09/2011 - 12:24:12 - [0] ----D- C:\Users\marie\AppData\Local\{EA873275-BCDD-41A2-AB36-6B2B5FDC7ACF}
O43 - CFD: 27/08/2011 - 20:02:34 - [0] ----D- C:\Users\marie\AppData\Local\{F76F714F-DF5D-4AF1-ADD9-BE2DBB199A71}
O43 - CFD: 30/06/2011 - 19:48:16 - [0] ----D- C:\Users\marie\AppData\Local\{F9A86863-6090-45DF-B22A-4BB2AB526579}
O43 - CFD: 07/09/2011 - 11:00:16 - [0] ----D- C:\Users\marie\AppData\Local\{FCEA700E-ADF6-49C7-9F43-70C89B0488B4}
O51 - MPSK:{058451b8-4800-11dd-a397-001a920c96f6}\AutoRun\command. (...) -- G:\FahrenheitAutoRun.exe (.not file.)




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

3/
* Telecharge et install  USBFix >>ICI  par El Desaparecido , C_XX & Chimay8  
Autres liens : 
http://www.teamxscript.org/usbfixTelechargement.html  
http://teamxscript.changelog.fr/too/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir  

- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris  

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera  

automatiquement  

-Clique sur "Recherche"  

- Laisse travailler l'outil  

- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi  

sauvegardé a la racine du disque dur)

@+

sdj33 · Answer

Salut,

1. J'ai eu AVG pendant un moment mais il y a longtemps ! L'autre ne me dit rien. Là j'utilise Zone Alarm

2. Voici le rapport :

Rapport de ZHPFix 1.12.3363 par Nicolas Coolman, Update du 05/10/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-14-10-2011-09-50-40.txt
Run by marie at 14/10/2011 09:50:40
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key:  StartupReg: cacaoweb
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb
SUPPRIME CLSID MPSK: {058451b8-4800-11dd-a397-001a920c96f6}

========== Elément(s) de donnée du Registre ==========
SUPPRIME R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\marie\AppData\Local\{12BD5ED6-09E5-46F8-928B-3297A27C8550}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{1EBC8425-28F9-4B9A-AAEF-070EA39F6B84}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{212E3ADD-87E2-4560-AEE8-A7AE4CAEF4E9}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{2E0DCB34-2E34-4252-90CF-1C71ECA0D425}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{4261879C-08D7-41A1-82D3-C58DDC8428B0}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{54617051-9684-49AE-BC53-A8E1865D3526}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{60EC8B9F-D67E-441F-92D0-C236AB1C828C}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{61AE6F80-22EE-45D4-ABA6-C15A9D1D1B98}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{7709181B-8D8F-4036-BC1A-AA8E44D9D16B}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{8D66F468-96DA-48D9-9A2C-4B2972240B30}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{B205073F-17DD-4968-B969-D60098F165CA}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{B310FE9D-8311-4461-AF00-B0F3F44EFD4F}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{B56DB683-A1E9-46F3-9B28-06041DDC7CE2}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{EA873275-BCDD-41A2-AB36-6B2B5FDC7ACF}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{F76F714F-DF5D-4AF1-ADD9-BE2DBB199A71}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{F9A86863-6090-45DF-B22A-4BB2AB526579}
SUPPRIME Folder: C:\Users\marie\AppData\Local\{FCEA700E-ADF6-49C7-9F43-70C89B0488B4}

========== Fichier(s) ==========
SUPPRIME File: c:\users\marie\appdata\roaming\microsoft\internet explorer\quick launch\winamp.lnk
ABSENT File: c:\users\marie\appdata\roaming\cacaoweb\cacaoweb.exe
ABSENT Folder/File: c:\users\marie\appdata\roaming\mozilla\firefox\profiles\3iuijebn.default\user.js (.not file.)

========== Tache planifiée ==========
SUPPRIME Task: {2A450D57-F50B-48C2-9212-35E74DE6ADDC}
SUPPRIME Task: {2C09E5D0-A3C5-4E86-9DCE-D3D6B70DAA6B}


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
17 : Dossier(s)
3 : Fichier(s)
2 : Tache planifiée


End of clean in 00mn 53s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/10/2011 09:50:40 [2855]


3. Lorsque je clique sur usbfix.exe, il m'affiche le message suivant : 
vous utilisez usbfix V7.062 
une nouvelle version de usbfix est disponible ! usbfix V7.062 va être désinstallé
la nouvelle version va être déposée sur votre bureau

Puis le programme se désinstalle et se réinstalle et le même message apparait, puis ça recommence etc etc.

Je l'ai téléchargé à l'aide du 1er lien, les autres ne marchent plus.

Que me conseilles-tu de faire?

Merci

Fish66 · Answer

Re,

1/
Désinstalle USBFix puis fais ceci stp :

* Démarre en Mode sans échec avec prise en charge réseau 
fais ainsi 

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer enMode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5) 


*Ensuitr dans ce mode Télécharge et lance USBFix  comme déjà expliqué 

2/
Télécharge l'utilitaire de désinstallation d'AVG
Exécute le et redémarre ton PC s'il est demandé

3/
Zône Alarma est un Pare-feu, donc un antivirus doit être installé dans ton PC!

Je teconseille Avira ou Microsoft Security Essentiel, c'est toi de choisir

@+

sdj33 · Answer

Re,

Je suis bien en Mode sans échec avec prise en charge réseau, mais j'ai toujours le même problème avec usbfix !

Que me conseilles-tu?

Je lance la désinstallation AVG en attendant.

Fish66 · Answer

Re, 
1/ 
Clique avec le bouton droit de la souris sur USBFix.exe et choisis "exécuter en tant qu'administrateur" 
2/ 
As tu bien désinstallé AVG stp ? 

En attendant tes nouvelles...

@+ 

_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

sdj33 · Answer

Re,

Je suis toujours en mode sans échec avec prise en charge réseau, j'ai bien lancé le programme de désinstallation AVG. Une fenêtre noire s'est ouverte et des tas de lignes ont défilé. Ca ne m'a pas demandé de redémarrer mon ordinateur, mais je l'ai quand même fait.

usbfix bug toujours même en l'installant en tant qu'admin. Il y a un problème d'update qui se relance à l'infini. Pour sortir du programme je suis obligée de passer par le gestionnaire des tâches.

Que dois-je faire selon toi?

Merci !

Fish66 · Answer

Bonjour,

Télécharge Reload_TDSSKiller  

* Lance le  

* choisis : lancer le nettoyage  

* l'outil va automatiquement télécharger la derniere version puis  

* TDSSKiller va s'ouvrir , clique sur "Start Scan"  

Clique ici pour l'aide en image 
- Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.  
- Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.  
- Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.  
- Si Suspicious file est indiqué, laisse l''option cochée sur Skip  
- une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer  

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau  

* Copie/Colle son contenu dans ta prochaine réponse

sdj33 · Answer

Bonjour,

Voici le rapport :

11:04:15.0362 3480	TDSS rootkit removing tool 2.6.9.0 Oct 14 2011 11:33:24
11:04:17.0438 3480	============================================================
11:04:17.0438 3480	Current date / time: 2011/10/15 11:04:17.0438
11:04:17.0439 3480	SystemInfo:
11:04:17.0439 3480	
11:04:17.0451 3480	OS Version: 6.0.6002 ServicePack: 2.0
11:04:17.0451 3480	Product type: Workstation
11:04:17.0451 3480	ComputerName: PC-DE-MARIE
11:04:17.0453 3480	UserName: marie
11:04:17.0453 3480	Windows directory: C:\Windows
11:04:17.0453 3480	System windows directory: C:\Windows
11:04:17.0453 3480	Processor architecture: Intel x86
11:04:17.0453 3480	Number of processors: 1
11:04:17.0453 3480	Page size: 0x1000
11:04:17.0453 3480	Boot type: Normal boot
11:04:17.0453 3480	============================================================
11:04:19.0431 3480	Initialize success
11:04:32.0510 0796	============================================================
11:04:32.0510 0796	Scan started
11:04:32.0510 0796	Mode: Manual; 
11:04:32.0510 0796	============================================================
11:04:34.0836 0796	ACPI            (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys
11:04:34.0852 0796	ACPI - ok
11:04:34.0949 0796	adp94xx         (2edc5bbac6c651ece337bde8ed97c9fb) C:\Windows\system32\drivers\adp94xx.sys
11:04:34.0975 0796	adp94xx - ok
11:04:35.0161 0796	adpahci         (b84088ca3cdca97da44a984c6ce1ccad) C:\Windows\system32\drivers\adpahci.sys
11:04:35.0204 0796	adpahci - ok
11:04:35.0238 0796	adpu160m        (7880c67bccc27c86fd05aa2afb5ea469) C:\Windows\system32\drivers\adpu160m.sys
11:04:35.0258 0796	adpu160m - ok
11:04:35.0361 0796	adpu320         (9ae713f8e30efc2abccd84904333df4d) C:\Windows\system32\drivers\adpu320.sys
11:04:35.0368 0796	adpu320 - ok
11:04:35.0461 0796	AFD             (3911b972b55fea0478476b2e777b29fa) C:\Windows\system32\drivers\afd.sys
11:04:35.0477 0796	AFD - ok
11:04:35.0533 0796	agp440          (ef23439cdd587f64c2c1b8825cead7d8) C:\Windows\system32\drivers\agp440.sys
11:04:35.0537 0796	agp440 - ok
11:04:35.0626 0796	aic78xx         (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys
11:04:35.0632 0796	aic78xx - ok
11:04:35.0656 0796	aliide          (90395b64600ebb4552e26e178c94b2e4) C:\Windows\system32\drivers\aliide.sys
11:04:35.0663 0796	aliide - ok
11:04:35.0686 0796	amdagp          (2b13e304c9dfdfa5eb582f6a149fa2c7) C:\Windows\system32\drivers\amdagp.sys
11:04:35.0694 0796	amdagp - ok
11:04:35.0714 0796	amdide          (0577df1d323fe75a739c787893d300ea) C:\Windows\system32\drivers\amdide.sys
11:04:35.0717 0796	amdide - ok
11:04:35.0740 0796	AmdK7           (dc487885bcef9f28eece6fac0e5ddfc5) C:\Windows\system32\drivers\amdk7.sys
11:04:35.0767 0796	AmdK7 - ok
11:04:35.0796 0796	AmdK8           (0ca0071da4315b00fc1328ca86b425da) C:\Windows\system32\drivers\amdk8.sys
11:04:35.0800 0796	AmdK8 - ok
11:04:35.0845 0796	arc             (5f673180268bb1fdb69c99b6619fe379) C:\Windows\system32\drivers\arc.sys
11:04:35.0850 0796	arc - ok
11:04:35.0899 0796	arcsas          (957f7540b5e7f602e44648c7de5a1c05) C:\Windows\system32\drivers\arcsas.sys
11:04:35.0904 0796	arcsas - ok
11:04:36.0019 0796	AsyncMac        (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys
11:04:36.0023 0796	AsyncMac - ok
11:04:36.0079 0796	atapi           (1f05b78ab91c9075565a9d8a4b880bc4) C:\Windows\system32\drivers\atapi.sys
11:04:36.0088 0796	atapi - ok
11:04:36.0134 0796	atksgt          (6e996cf8459a2594e0e9609d0e34d41f) C:\Windows\system32\DRIVERS\atksgt.sys
11:04:36.0141 0796	atksgt - ok
11:04:36.0222 0796	Beep            (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys
11:04:36.0229 0796	Beep - ok
11:04:36.0272 0796	blbdrive - ok
11:04:36.0329 0796	bowser          (35f376253f687bde63976ccb3f2108ca) C:\Windows\system32\DRIVERS\bowser.sys
11:04:36.0334 0796	bowser - ok
11:04:36.0375 0796	BrFiltLo        (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys
11:04:36.0392 0796	BrFiltLo - ok
11:04:36.0448 0796	BrFiltUp        (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys
11:04:36.0451 0796	BrFiltUp - ok
11:04:36.0534 0796	Brserid         (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys
11:04:36.0539 0796	Brserid - ok
11:04:36.0596 0796	BrSerWdm        (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys
11:04:36.0601 0796	BrSerWdm - ok
11:04:36.0665 0796	BrUsbMdm        (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys
11:04:36.0669 0796	BrUsbMdm - ok
11:04:36.0722 0796	BrUsbSer        (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys
11:04:36.0745 0796	BrUsbSer - ok
11:04:36.0847 0796	BthEnum         (6d39c954799b63ba866910234cf7d726) C:\Windows\system32\DRIVERS\BthEnum.sys
11:04:36.0851 0796	BthEnum - ok
11:04:36.0912 0796	BTHMODEM        (9a966a8e86d1771911ae34a20d11bff3) C:\Windows\system32\DRIVERS\bthmodem.sys
11:04:36.0917 0796	BTHMODEM - ok
11:04:36.0971 0796	BthPan          (5904efa25f829bf84ea6fb045134a1d8) C:\Windows\system32\DRIVERS\bthpan.sys
11:04:36.0977 0796	BthPan - ok
11:04:37.0059 0796	BTHPORT         (611ff3f2f095c8d4a6d4cfd9dcc09793) C:\Windows\system32\Drivers\BTHport.sys
11:04:37.0092 0796	BTHPORT - ok
11:04:37.0172 0796	BTHUSB          (d330803eab2a15caec7f011f1d4cb30e) C:\Windows\system32\Drivers\BTHUSB.sys
11:04:37.0178 0796	BTHUSB - ok
11:04:37.0295 0796	cdfs            (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys
11:04:37.0301 0796	cdfs - ok
11:04:37.0462 0796	cdrom           (6b4bffb9becd728097024276430db314) C:\Windows\system32\DRIVERS\cdrom.sys
11:04:37.0521 0796	cdrom - ok
11:04:37.0613 0796	circlass        (da8e0afc7baa226c538ef53ac2f90897) C:\Windows\system32\drivers\circlass.sys
11:04:37.0649 0796	circlass - ok
11:04:37.0725 0796	CLFS            (d7659d3b5b92c31e84e53c1431f35132) C:\Windows\system32\CLFS.sys
11:04:37.0731 0796	CLFS - ok
11:04:37.0843 0796	cmdide          (45201046c776ffdaf3fc8a0029c581c8) C:\Windows\system32\drivers\cmdide.sys
11:04:37.0854 0796	cmdide - ok
11:04:37.0906 0796	Compbatt        (82b8c91d327cfecf76cb58716f7d4997) C:\Windows\system32\drivers\compbatt.sys
11:04:37.0921 0796	Compbatt - ok
11:04:38.0008 0796	crcdisk         (2a213ae086bbec5e937553c7d9a2b22c) C:\Windows\system32\drivers\crcdisk.sys
11:04:38.0018 0796	crcdisk - ok
11:04:38.0066 0796	Crusoe          (22a7f883508176489f559ee745b5bf5d) C:\Windows\system32\drivers\crusoe.sys
11:04:38.0070 0796	Crusoe - ok
11:04:38.0225 0796	DfsC            (622c41a07ca7e6dd91770f50d532cb6c) C:\Windows\system32\Drivers\dfsc.sys
11:04:38.0248 0796	DfsC - ok
11:04:38.0348 0796	disk            (5d4aefc3386920236a548271f8f1af6a) C:\Windows\system32\drivers\disk.sys
11:04:38.0360 0796	disk - ok
11:04:38.0552 0796	Dot4            (4f59c172c094e1a1d46463a8dc061cbd) C:\Windows\system32\DRIVERS\Dot4.sys
11:04:38.0567 0796	Dot4 - ok
11:04:38.0678 0796	Dot4Print       (80bf3ba09f6f2523c8f6b7cc6dbf7bd5) C:\Windows\system32\DRIVERS\Dot4Prt.sys
11:04:38.0684 0796	Dot4Print - ok
11:04:38.0730 0796	dot4usb         (c55004ca6b419b6695970dfe849b122f) C:\Windows\system32\DRIVERS\dot4usb.sys
11:04:38.0735 0796	dot4usb - ok
11:04:38.0811 0796	drmkaud         (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys
11:04:38.0817 0796	drmkaud - ok
11:04:38.0884 0796	DXGKrnl         (c68ac676b0ef30cfbb1080adce49eb1f) C:\Windows\System32\drivers\dxgkrnl.sys
11:04:38.0900 0796	DXGKrnl - ok
11:04:38.0991 0796	E100B           (ac9cf17ee2ae003c98eb4f5336c38058) C:\Windows\system32\DRIVERS\e100b325.sys
11:04:38.0998 0796	E100B - ok
11:04:39.0056 0796	E1G60           (f88fb26547fd2ce6d0a5af2985892c48) C:\Windows\system32\DRIVERS\E1G60I32.sys
11:04:39.0078 0796	E1G60 - ok
11:04:39.0199 0796	Ecache          (7f64ea048dcfac7acf8b4d7b4e6fe371) C:\Windows\system32\drivers\ecache.sys
11:04:39.0206 0796	Ecache - ok
11:04:39.0303 0796	elxstor         (e8f3f21a71720c84bcf423b80028359f) C:\Windows\system32\drivers\elxstor.sys
11:04:39.0331 0796	elxstor - ok
11:04:39.0475 0796	exfat           (22b408651f9123527bcee54b4f6c5cae) C:\Windows\system32\drivers\exfat.sys
11:04:39.0482 0796	exfat - ok
11:04:39.0582 0796	ezplay          (73e701e0fa4d2fc7d22efceff276c50a) C:\Windows\system32\Drivers\ezplay.sys
11:04:39.0588 0796	ezplay - ok
11:04:39.0652 0796	fastfat         (1e9b9a70d332103c52995e957dc09ef8) C:\Windows\system32\drivers\fastfat.sys
11:04:39.0659 0796	fastfat - ok
11:04:39.0767 0796	fdc             (63bdada84951b9c03e641800e176898a) C:\Windows\system32\DRIVERS\fdc.sys
11:04:39.0771 0796	fdc - ok
11:04:39.0904 0796	FileInfo        (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys
11:04:39.0908 0796	FileInfo - ok
11:04:39.0982 0796	Filetrace       (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys
11:04:39.0987 0796	Filetrace - ok
11:04:40.0015 0796	flpydisk        (6603957eff5ec62d25075ea8ac27de68) C:\Windows\system32\DRIVERS\flpydisk.sys
11:04:40.0036 0796	flpydisk - ok
11:04:40.0073 0796	FltMgr          (01334f9ea68e6877c4ef05d3ea8abb05) C:\Windows\system32\drivers\fltmgr.sys
11:04:40.0082 0796	FltMgr - ok
11:04:40.0119 0796	Fs_Rec          (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys
11:04:40.0127 0796	Fs_Rec - ok
11:04:40.0175 0796	gagp30kx        (4e1cd0a45c50a8882616cae5bf82f3c5) C:\Windows\system32\drivers\gagp30kx.sys
11:04:40.0193 0796	gagp30kx - ok
11:04:40.0259 0796	grmnusb         (6003bc70f1a8307262bd3c941bda0b7e) C:\Windows\system32\drivers\grmnusb.sys
11:04:40.0270 0796	grmnusb - ok
11:04:40.0302 0796	HdAudAddService (cb04c744be0a61b1d648faed182c3b59) C:\Windows\system32\drivers\HdAudio.sys
11:04:40.0336 0796	HdAudAddService - ok
11:04:40.0396 0796	HDAudBus        (062452b7ffd68c8c042a6261fe8dff4a) C:\Windows\system32\DRIVERS\HDAudBus.sys
11:04:40.0423 0796	HDAudBus - ok
11:04:40.0447 0796	HidBth          (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys
11:04:40.0454 0796	HidBth - ok
11:04:40.0508 0796	HidIr           (ff3160c3a2445128c5a6d9b076da519e) C:\Windows\system32\drivers\hidir.sys
11:04:40.0512 0796	HidIr - ok
11:04:40.0584 0796	HidUsb          (3c64042b95e583b366ba4e5d2450235e) C:\Windows\system32\drivers\hidusb.sys
11:04:40.0588 0796	HidUsb - ok
11:04:40.0618 0796	HpCISSs         (df353b401001246853763c4b7aaa6f50) C:\Windows\system32\drivers\hpcisss.sys
11:04:40.0623 0796	HpCISSs - ok
11:04:40.0702 0796	HTTP            (f870aa3e254628ebeafe754108d664de) C:\Windows\system32\drivers\HTTP.sys
11:04:40.0729 0796	HTTP - ok
11:04:40.0797 0796	i2omp           (324c2152ff2c61abae92d09f3cca4d63) C:\Windows\system32\drivers\i2omp.sys
11:04:40.0809 0796	i2omp - ok
11:04:41.0027 0796	i8042prt        (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys
11:04:41.0047 0796	i8042prt - ok
11:04:41.0157 0796	iaStor          (e9f704ca833bd24bfaa3b4a59707633a) C:\Windows\system32\drivers\iastor.sys
11:04:41.0160 0796	iaStor - ok
11:04:41.0271 0796	iaStorV         (c957bf4b5d80b46c5017bf0101e6c906) C:\Windows\system32\drivers\iastorv.sys
11:04:41.0281 0796	iaStorV - ok
11:04:41.0423 0796	igfx            (62f534791ae488a475a3e508d92af4cc) C:\Windows\system32\DRIVERS\igdkmd32.sys
11:04:41.0534 0796	igfx - ok
11:04:41.0622 0796	iirsp           (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys
11:04:41.0627 0796	iirsp - ok
11:04:41.0722 0796	IntcAzAudAddService (a47b2875680ad67b35c6150bd0203056) C:\Windows\system32\drivers\RTKVHDA.sys
11:04:41.0822 0796	IntcAzAudAddService - ok
11:04:41.0871 0796	intelide        (83aa759f3189e6370c30de5dc5590718) C:\Windows\system32\drivers\intelide.sys
11:04:41.0875 0796	intelide - ok
11:04:41.0935 0796	intelppm        (224191001e78c89dfa78924c3ea595ff) C:\Windows\system32\DRIVERS\intelppm.sys
11:04:41.0938 0796	intelppm - ok
11:04:41.0994 0796	IpFilterDriver  (62c265c38769b864cb25b4bcf62df6c3) C:\Windows\system32\DRIVERS\ipfltdrv.sys
11:04:41.0999 0796	IpFilterDriver - ok
11:04:42.0020 0796	IpInIp - ok
11:04:42.0054 0796	IPMIDRV         (40f34f8aba2a015d780e4b09138b6c17) C:\Windows\system32\drivers\ipmidrv.sys
11:04:42.0059 0796	IPMIDRV - ok
11:04:42.0112 0796	IPNAT           (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys
11:04:42.0118 0796	IPNAT - ok
11:04:42.0158 0796	IRENUM          (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys
11:04:42.0162 0796	IRENUM - ok
11:04:42.0203 0796	isapnp          (350fca7e73cf65bcef43fae1e4e91293) C:\Windows\system32\drivers\isapnp.sys
11:04:42.0208 0796	isapnp - ok
11:04:42.0273 0796	iScsiPrt        (232fa340531d940aac623b121a595034) C:\Windows\system32\DRIVERS\msiscsi.sys
11:04:42.0278 0796	iScsiPrt - ok
11:04:42.0372 0796	iteatapi        (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys
11:04:42.0376 0796	iteatapi - ok
11:04:42.0393 0796	iteraid         (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys
11:04:42.0397 0796	iteraid - ok
11:04:42.0444 0796	kbdclass        (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys
11:04:42.0449 0796	kbdclass - ok
11:04:42.0468 0796	kbdhid          (d2600cb17b7408b4a83f231dc9a11ac3) C:\Windows\system32\drivers\kbdhid.sys
11:04:42.0474 0796	kbdhid - ok
11:04:42.0537 0796	KLIF            (801473e19df539d69263d9d3155ff062) C:\Windows\system32\DRIVERS\klif.sys
11:04:42.0545 0796	KLIF - ok
11:04:42.0604 0796	KSecDD          (86165728af9bf72d6442a894fdfb4f8b) C:\Windows\system32\Drivers\ksecdd.sys
11:04:42.0632 0796	KSecDD - ok
11:04:42.0760 0796	lirsgt          (975b6cf65f44e95883f3855bae8cecaf) C:\Windows\system32\DRIVERS\lirsgt.sys
11:04:42.0761 0796	lirsgt - ok
11:04:42.0811 0796	lltdio          (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys
11:04:42.0816 0796	lltdio - ok
11:04:42.0869 0796	LSI_FC          (a2262fb9f28935e862b4db46438c80d2) C:\Windows\system32\drivers\lsi_fc.sys
11:04:42.0877 0796	LSI_FC - ok
11:04:42.0903 0796	LSI_SAS         (30d73327d390f72a62f32c103daf1d6d) C:\Windows\system32\drivers\lsi_sas.sys
11:04:42.0928 0796	LSI_SAS - ok
11:04:42.0958 0796	LSI_SCSI        (e1e36fefd45849a95f1ab81de0159fe3) C:\Windows\system32\drivers\lsi_scsi.sys
11:04:42.0963 0796	LSI_SCSI - ok
11:04:43.0008 0796	luafv           (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys
11:04:43.0014 0796	luafv - ok
11:04:43.0116 0796	MBAMSwissArmy - ok
11:04:43.0167 0796	megasas         (d153b14fc6598eae8422a2037553adce) C:\Windows\system32\drivers\megasas.sys
11:04:43.0171 0796	megasas - ok
11:04:43.0223 0796	Modem           (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys
11:04:43.0227 0796	Modem - ok
11:04:43.0270 0796	monitor         (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys
11:04:43.0276 0796	monitor - ok
11:04:43.0323 0796	mouclass        (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys
11:04:43.0333 0796	mouclass - ok
11:04:43.0362 0796	mouhid          (a3a6dff7e9e757db3df51a833bc28885) C:\Windows\system32\drivers\mouhid.sys
11:04:43.0380 0796	mouhid - ok
11:04:43.0471 0796	MountMgr        (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys
11:04:43.0481 0796	MountMgr - ok
11:04:43.0570 0796	mpio            (583a41f26278d9e0ea548163d6139397) C:\Windows\system32\drivers\mpio.sys
11:04:43.0584 0796	mpio - ok
11:04:43.0611 0796	mpsdrv          (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys
11:04:43.0645 0796	mpsdrv - ok
11:04:43.0793 0796	Mraid35x        (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys
11:04:43.0833 0796	Mraid35x - ok
11:04:43.0941 0796	MRxDAV          (82cea0395524aacfeb58ba1448e8325c) C:\Windows\system32\drivers\mrxdav.sys
11:04:43.0969 0796	MRxDAV - ok
11:04:44.0010 0796	mrxsmb          (1e94971c4b446ab2290deb71d01cf0c2) C:\Windows\system32\DRIVERS\mrxsmb.sys
11:04:44.0016 0796	mrxsmb - ok
11:04:44.0059 0796	mrxsmb10        (4fccb34d793b116423209c0f8b7a3b03) C:\Windows\system32\DRIVERS\mrxsmb10.sys
11:04:44.0128 0796	mrxsmb10 - ok
11:04:44.0225 0796	mrxsmb20        (c3cb1b40ad4a0124d617a1199b0b9d7c) C:\Windows\system32\DRIVERS\mrxsmb20.sys
11:04:44.0230 0796	mrxsmb20 - ok
11:04:44.0301 0796	msahci          (742aed7939e734c36b7e8d6228ce26b7) C:\Windows\system32\drivers\msahci.sys
11:04:44.0308 0796	msahci - ok
11:04:44.0351 0796	msdsm           (3fc82a2ae4cc149165a94699183d3028) C:\Windows\system32\drivers\msdsm.sys
11:04:44.0359 0796	msdsm - ok
11:04:44.0430 0796	Msfs            (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys
11:04:44.0434 0796	Msfs - ok
11:04:44.0471 0796	msisadrv        (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys
11:04:44.0476 0796	msisadrv - ok
11:04:44.0531 0796	MSKSSRV         (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys
11:04:44.0534 0796	MSKSSRV - ok
11:04:44.0584 0796	MSPCLOCK        (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys
11:04:44.0590 0796	MSPCLOCK - ok
11:04:44.0628 0796	MSPQM           (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys
11:04:44.0648 0796	MSPQM - ok
11:04:44.0685 0796	MsRPC           (b49456d70555de905c311bcda6ec6adb) C:\Windows\system32\drivers\MsRPC.sys
11:04:44.0705 0796	MsRPC - ok
11:04:44.0746 0796	mssmbios        (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys
11:04:44.0748 0796	mssmbios - ok
11:04:44.0760 0796	MSTEE           (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys
11:04:44.0774 0796	MSTEE - ok
11:04:44.0816 0796	Mup             (6a57b5733d4cb702c8ea4542e836b96c) C:\Windows\system32\Drivers\mup.sys
11:04:44.0824 0796	Mup - ok
11:04:44.0885 0796	NativeWifiP     (85c44fdff9cf7e72a40dcb7ec06a4416) C:\Windows\system32\DRIVERS
wifi.sys
11:04:44.0904 0796	NativeWifiP - ok
11:04:44.0998 0796	NDIS            (1357274d1883f68300aeadd15d7bbb42) C:\Windows\system32\drivers
dis.sys
11:04:45.0015 0796	NDIS - ok
11:04:45.0089 0796	NdisTapi        (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS
distapi.sys
11:04:45.0093 0796	NdisTapi - ok
11:04:45.0143 0796	Ndisuio         (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS
disuio.sys
11:04:45.0146 0796	Ndisuio - ok
11:04:45.0208 0796	NdisWan         (818f648618ae34f729fdb47ec68345c3) C:\Windows\system32\DRIVERS
diswan.sys
11:04:45.0214 0796	NdisWan - ok
11:04:45.0261 0796	NDProxy         (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys
11:04:45.0265 0796	NDProxy - ok
11:04:45.0328 0796	NetBIOS         (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS
etbios.sys
11:04:45.0334 0796	NetBIOS - ok
11:04:45.0357 0796	netbt           (ecd64230a59cbd93c85f1cd1cab9f3f6) C:\Windows\system32\DRIVERS
etbt.sys
11:04:45.0374 0796	netbt - ok
11:04:45.0450 0796	netr73          (271ac1312ef1dde187793183abbfa8d0) C:\Windows\system32\DRIVERS
etr73.sys
11:04:45.0475 0796	netr73 - ok
11:04:45.0514 0796	nfrd960         (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers
frd960.sys
11:04:45.0518 0796	nfrd960 - ok
11:04:45.0577 0796	Npfs            (d36f239d7cce1931598e8fb90a0dbc26) C:\Windows\system32\drivers\Npfs.sys
11:04:45.0581 0796	Npfs - ok
11:04:45.0640 0796	nsiproxy        (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers
siproxy.sys
11:04:45.0663 0796	nsiproxy - ok
11:04:45.0751 0796	Ntfs            (6a4a98cee84cf9e99564510dda4baa47) C:\Windows\system32\drivers\Ntfs.sys
11:04:45.0786 0796	Ntfs - ok
11:04:45.0832 0796	ntrigdigi       (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers
trigdigi.sys
11:04:45.0836 0796	ntrigdigi - ok
11:04:45.0881 0796	Null            (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys
11:04:45.0885 0796	Null - ok
11:04:45.0916 0796	nvraid          (e69e946f80c1c31c53003bfbf50cbb7c) C:\Windows\system32\drivers
vraid.sys
11:04:45.0921 0796	nvraid - ok
11:04:45.0941 0796	nvstor          (9e0ba19a28c498a6d323d065db76dffc) C:\Windows\system32\drivers
vstor.sys
11:04:45.0945 0796	nvstor - ok
11:04:45.0974 0796	nv_agp          (07c186427eb8fcc3d8d7927187f260f7) C:\Windows\system32\drivers
v_agp.sys
11:04:45.0988 0796	nv_agp - ok
11:04:46.0031 0796	NwlnkFlt - ok
11:04:46.0050 0796	NwlnkFwd - ok
11:04:46.0140 0796	ohci1394        (6f310e890d46e246e0e261a63d9b36b4) C:\Windows\system32\DRIVERS\ohci1394.sys
11:04:46.0143 0796	ohci1394 - ok
11:04:46.0207 0796	Parport         (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\drivers\parport.sys
11:04:46.0237 0796	Parport - ok
11:04:46.0320 0796	partmgr         (57389fa59a36d96b3eb09d0cb91e9cdc) C:\Windows\system32\drivers\partmgr.sys
11:04:46.0354 0796	partmgr - ok
11:04:46.0651 0796	Parvdm          (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\drivers\parvdm.sys
11:04:46.0689 0796	Parvdm - ok
11:04:46.0845 0796	pci             (941dc1d19e7e8620f40bbc206981efdb) C:\Windows\system32\drivers\pci.sys
11:04:46.0882 0796	pci - ok
11:04:46.0988 0796	pciide          (3b1901e401473e03eb8c874271e50c26) C:\Windows\system32\drivers\pciide.sys
11:04:47.0000 0796	pciide - ok
11:04:47.0051 0796	pcmcia          (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys
11:04:47.0070 0796	pcmcia - ok
11:04:47.0334 0796	pcouffin        (5b6c11de7e839c05248ced8825470fef) C:\Windows\system32\Drivers\pcouffin.sys
11:04:47.0339 0796	pcouffin - ok
11:04:47.0489 0796	PEAUTH          (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys
11:04:47.0607 0796	PEAUTH - ok
11:04:47.0945 0796	PptpMiniport    (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERSaspptp.sys
11:04:47.0950 0796	PptpMiniport - ok
11:04:47.0976 0796	Processor       (0e3cef5d28b40cf273281d620c50700a) C:\Windows\system32\drivers\processr.sys
11:04:47.0981 0796	Processor - ok
11:04:48.0036 0796	Ps2             (390c204ced3785609ab24e9c52054a84) C:\Windows\system32\DRIVERS\PS2.sys
11:04:48.0045 0796	Ps2 - ok
11:04:48.0115 0796	PSched          (99514faa8df93d34b5589187db3aa0ba) C:\Windows\system32\DRIVERS\pacer.sys
11:04:48.0121 0796	PSched - ok
11:04:48.0176 0796	ql2300          (ccdac889326317792480c0a67156a1ec) C:\Windows\system32\drivers\ql2300.sys
11:04:48.0205 0796	ql2300 - ok
11:04:48.0249 0796	ql40xx          (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys
11:04:48.0266 0796	ql40xx - ok
11:04:48.0314 0796	QWAVEdrv        (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys
11:04:48.0319 0796	QWAVEdrv - ok
11:04:48.0362 0796	RasAcd          (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERSasacd.sys
11:04:48.0366 0796	RasAcd - ok
11:04:48.0395 0796	Rasl2tp         (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERSasl2tp.sys
11:04:48.0400 0796	Rasl2tp - ok
11:04:48.0449 0796	RasPppoe        (509a98dd18af4375e1fc40bc175f1def) C:\Windows\system32\DRIVERSaspppoe.sys
11:04:48.0454 0796	RasPppoe - ok
11:04:48.0482 0796	RasSstp         (2005f4a1e05fa09389ac85840f0a9e4d) C:\Windows\system32\DRIVERSassstp.sys
11:04:48.0496 0796	RasSstp - ok
11:04:48.0537 0796	rdbss           (b14c9d5b9add2f84f70570bbbfaa7935) C:\Windows\system32\DRIVERSdbss.sys
11:04:48.0548 0796	rdbss - ok
11:04:48.0623 0796	RDPCDD          (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys
11:04:48.0646 0796	RDPCDD - ok
11:04:48.0684 0796	rdpdr           (e8bd98d46f2ed77132ba927fccb47d8b) C:\Windows\system32\driversdpdr.sys
11:04:48.0703 0796	rdpdr - ok
11:04:48.0731 0796	RDPENCDD        (9d91fe5286f748862ecffa05f8a0710c) C:\Windows\system32\driversdpencdd.sys
11:04:48.0779 0796	RDPENCDD - ok
11:04:48.0823 0796	RDPWD           (30bfbdfb7f95559ede971f9ddb9a00ba) C:\Windows\system32\drivers\RDPWD.sys
11:04:48.0843 0796	RDPWD - ok
11:04:48.0948 0796	RFCOMM          (6482707f9f4da0ecbab43b2e0398a101) C:\Windows\system32\DRIVERSfcomm.sys
11:04:48.0959 0796	RFCOMM - ok
11:04:49.0014 0796	rspndr          (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERSspndr.sys
11:04:49.0028 0796	rspndr - ok
11:04:49.0067 0796	sbp2port        (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys
11:04:49.0102 0796	sbp2port - ok
11:04:49.0153 0796	secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
11:04:49.0162 0796	secdrv - ok
11:04:49.0196 0796	Serenum         (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\drivers\serenum.sys
11:04:49.0215 0796	Serenum - ok
11:04:49.0252 0796	Serial          (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\drivers\serial.sys
11:04:49.0268 0796	Serial - ok
11:04:49.0374 0796	sermouse        (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys
11:04:49.0389 0796	sermouse - ok
11:04:49.0505 0796	sffdisk         (103b79418da647736ee95645f305f68a) C:\Windows\system32\drivers\sffdisk.sys
11:04:49.0582 0796	sffdisk - ok
11:04:49.0631 0796	sffp_mmc        (8fd08a310645fe872eeec6e08c6bf3ee) C:\Windows\system32\drivers\sffp_mmc.sys
11:04:49.0673 0796	sffp_mmc - ok
11:04:49.0708 0796	sffp_sd         (9cfa05fcfcb7124e69cfc812b72f9614) C:\Windows\system32\drivers\sffp_sd.sys
11:04:49.0725 0796	sffp_sd - ok
11:04:49.0756 0796	sfloppy         (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys
11:04:49.0768 0796	sfloppy - ok
11:04:49.0831 0796	sisagp          (d2a595d6eebeeaf4334f8e50efbc9931) C:\Windows\system32\drivers\sisagp.sys
11:04:49.0848 0796	sisagp - ok
11:04:49.0872 0796	SiSRaid2        (cedd6f4e7d84e9f98b34b3fe988373aa) C:\Windows\system32\drivers\sisraid2.sys
11:04:49.0880 0796	SiSRaid2 - ok
11:04:49.0908 0796	SiSRaid4        (df843c528c4f69d12ce41ce462e973a7) C:\Windows\system32\drivers\sisraid4.sys
11:04:49.0929 0796	SiSRaid4 - ok
11:04:49.0979 0796	SLEE_15_DRIVER  (40c0e715e1ebb2d1990c7d79cc0d79e3) C:\Windows\system32\drivers\Sleen15.sys
11:04:49.0984 0796	SLEE_15_DRIVER - ok
11:04:50.0049 0796	Smb             (7b75299a4d201d6a6533603d6914ab04) C:\Windows\system32\DRIVERS\smb.sys
11:04:50.0054 0796	Smb - ok
11:04:50.0120 0796	spldr           (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys
11:04:50.0130 0796	spldr - ok
11:04:50.0194 0796	sptd            (d390675b8ce45e5fb359338e5e649329) C:\Windows\system32\Drivers\sptd.sys
11:04:50.0194 0796	Suspicious file (NoAccess): C:\Windows\system32\Drivers\sptd.sys. md5: d390675b8ce45e5fb359338e5e649329
11:04:50.0198 0796	sptd ( LockedFile.Multi.Generic ) - warning
11:04:50.0198 0796	sptd - detected LockedFile.Multi.Generic (1)
11:04:50.0251 0796	srv             (41987f9fc0e61adf54f581e15029ad91) C:\Windows\system32\DRIVERS\srv.sys
11:04:50.0370 0796	srv - ok
11:04:50.0432 0796	srv2            (ff33aff99564b1aa534f58868cbe41ef) C:\Windows\system32\DRIVERS\srv2.sys
11:04:50.0446 0796	srv2 - ok
11:04:50.0516 0796	srvnet          (7605c0e1d01a08f3ecd743f38b834a44) C:\Windows\system32\DRIVERS\srvnet.sys
11:04:50.0536 0796	srvnet - ok
11:04:50.0838 0796	swenum          (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys
11:04:50.0859 0796	swenum - ok
11:04:50.0983 0796	Symc8xx         (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys
11:04:51.0048 0796	Symc8xx - ok
11:04:51.0143 0796	Sym_hi          (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys
11:04:51.0175 0796	Sym_hi - ok
11:04:51.0448 0796	Sym_u3          (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys
11:04:51.0500 0796	Sym_u3 - ok
11:04:51.0745 0796	Tcpip           (2756186e287139310997090797e0182b) C:\Windows\system32\drivers	cpip.sys
11:04:51.0851 0796	Tcpip - ok
11:04:52.0071 0796	Tcpip6          (2756186e287139310997090797e0182b) C:\Windows\system32\DRIVERS	cpip.sys
11:04:52.0090 0796	Tcpip6 - ok
11:04:52.0288 0796	tcpipreg        (608c345a255d82a6289c2d468eb41fd7) C:\Windows\system32\drivers	cpipreg.sys
11:04:52.0290 0796	tcpipreg - ok
11:04:52.0342 0796	TDPIPE          (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers	dpipe.sys
11:04:52.0397 0796	TDPIPE - ok
11:04:52.0498 0796	TDTCP           (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers	dtcp.sys
11:04:52.0548 0796	TDTCP - ok
11:04:52.0599 0796	tdx             (76b06eb8a01fc8624d699e7045303e54) C:\Windows\system32\DRIVERS	dx.sys
11:04:52.0617 0796	tdx - ok
11:04:52.0719 0796	TermDD          (3cad38910468eab9a6479e2f01db43c7) C:\Windows\system32\DRIVERS	ermdd.sys
11:04:52.0733 0796	TermDD - ok
11:04:52.0832 0796	TrueSight       (4bfab463e1d1f20dfa83a04a9698934d) c:\windows\system32\drivers\TrueSight.sys
11:04:52.0858 0796	TrueSight - ok
11:04:52.0958 0796	tssecsrv        (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS	ssecsrv.sys
11:04:52.0962 0796	tssecsrv - ok
11:04:53.0044 0796	tunmp           (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS	unmp.sys
11:04:53.0052 0796	tunmp - ok
11:04:53.0113 0796	tunnel          (300db877ac094feab0be7688c3454a9c) C:\Windows\system32\DRIVERS	unnel.sys
11:04:53.0120 0796	tunnel - ok
11:04:53.0152 0796	uagp35          (c3ade15414120033a36c0f293d4a4121) C:\Windows\system32\drivers\uagp35.sys
11:04:53.0157 0796	uagp35 - ok
11:04:53.0211 0796	udfs            (d9728af68c4c7693cb100b8441cbdec6) C:\Windows\system32\DRIVERS\udfs.sys
11:04:53.0229 0796	udfs - ok
11:04:53.0283 0796	uliagpkx        (75e6890ebfce0841d3291b02e7a8bdb0) C:\Windows\system32\drivers\uliagpkx.sys
11:04:53.0289 0796	uliagpkx - ok
11:04:53.0318 0796	uliahci         (3cd4ea35a6221b85dcc25daa46313f8d) C:\Windows\system32\drivers\uliahci.sys
11:04:53.0329 0796	uliahci - ok
11:04:53.0350 0796	UlSata          (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys
11:04:53.0356 0796	UlSata - ok
11:04:53.0384 0796	ulsata2         (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys
11:04:53.0390 0796	ulsata2 - ok
11:04:53.0427 0796	umbus           (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys
11:04:53.0434 0796	umbus - ok
11:04:53.0489 0796	usbccgp         (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys
11:04:53.0494 0796	usbccgp - ok
11:04:53.0513 0796	usbcir          (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys
11:04:53.0521 0796	usbcir - ok
11:04:53.0583 0796	usbehci         (79e96c23a97ce7b8f14d310da2db0c9b) C:\Windows\system32\DRIVERS\usbehci.sys
11:04:53.0588 0796	usbehci - ok
11:04:53.0611 0796	usbhub          (4673bbcb006af60e7abddbe7a130ba42) C:\Windows\system32\DRIVERS\usbhub.sys
11:04:53.0629 0796	usbhub - ok
11:04:53.0674 0796	usbohci         (38dbc7dd6cc5a72011f187425384388b) C:\Windows\system32\drivers\usbohci.sys
11:04:53.0678 0796	usbohci - ok
11:04:53.0718 0796	usbprint        (e75c4b5269091d15a2e7dc0b6d35f2f5) C:\Windows\system32\DRIVERS\usbprint.sys
11:04:53.0727 0796	usbprint - ok
11:04:53.0795 0796	usbscan         (a508c9bd8724980512136b039bba65e9) C:\Windows\system32\DRIVERS\usbscan.sys
11:04:53.0803 0796	usbscan - ok
11:04:53.0829 0796	USBSTOR         (be3da31c191bc222d9ad503c5224f2ad) C:\Windows\system32\DRIVERS\USBSTOR.SYS
11:04:53.0831 0796	USBSTOR - ok
11:04:53.0878 0796	usbuhci         (814d653efc4d48be3b04a307eceff56f) C:\Windows\system32\DRIVERS\usbuhci.sys
11:04:53.0885 0796	usbuhci - ok
11:04:53.0933 0796	vga             (7d92be0028ecdedec74617009084b5ef) C:\Windows\system32\DRIVERS\vgapnp.sys
11:04:53.0938 0796	vga - ok
11:04:53.0985 0796	VgaSave         (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys
11:04:53.0989 0796	VgaSave - ok
11:04:54.0017 0796	viaagp          (045d9961e591cf0674a920b6ba3ba5cb) C:\Windows\system32\drivers\viaagp.sys
11:04:54.0023 0796	viaagp - ok
11:04:54.0048 0796	ViaC7           (56a4de5f02f2e88182b0981119b4dd98) C:\Windows\system32\drivers\viac7.sys
11:04:54.0055 0796	ViaC7 - ok
11:04:54.0075 0796	viaide          (fd2e3175fcada350c7ab4521dca187ec) C:\Windows\system32\drivers\viaide.sys
11:04:54.0079 0796	viaide - ok
11:04:54.0117 0796	volmgr          (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys
11:04:54.0123 0796	volmgr - ok
11:04:54.0176 0796	volmgrx         (23e41b834759917bfd6b9a0d625d0c28) C:\Windows\system32\drivers\volmgrx.sys
11:04:54.0196 0796	volmgrx - ok
11:04:54.0254 0796	volsnap         (147281c01fcb1df9252de2a10d5e7093) C:\Windows\system32\drivers\volsnap.sys
11:04:54.0282 0796	volsnap - ok
11:04:54.0353 0796	Vsdatant        (d488df6dcf74b3582845f8f7d5f6fca8) C:\Windows\system32\DRIVERS\vsdatant.sys
11:04:54.0370 0796	Vsdatant - ok
11:04:54.0447 0796	vsmraid         (d984439746d42b30fc65a4c3546c6829) C:\Windows\system32\drivers\vsmraid.sys
11:04:54.0456 0796	vsmraid - ok
11:04:54.0501 0796	WacomPen        (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys
11:04:54.0505 0796	WacomPen - ok
11:04:54.0552 0796	Wanarp          (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
11:04:54.0557 0796	Wanarp - ok
11:04:54.0567 0796	Wanarpv6        (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
11:04:54.0570 0796	Wanarpv6 - ok
11:04:54.0611 0796	Wd              (afc5ad65b991c1e205cf25cfdbf7a6f4) C:\Windows\system32\drivers\wd.sys
11:04:54.0615 0796	Wd - ok
11:04:54.0672 0796	Wdf01000        (b6f0a7ad6d4bd325fbcd8bac96cd8d96) C:\Windows\system32\drivers\Wdf01000.sys
11:04:54.0690 0796	Wdf01000 - ok
11:04:54.0837 0796	WmiAcpi         (701a9f884a294327e9141d73746ee279) C:\Windows\system32\drivers\wmiacpi.sys
11:04:54.0857 0796	WmiAcpi - ok
11:04:54.0956 0796	WpdUsb          (de9d36f91a4df3d911626643debf11ea) C:\Windows\system32\DRIVERS\wpdusb.sys
11:04:54.0977 0796	WpdUsb - ok
11:04:55.0044 0796	ws2ifsl         (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys
11:04:55.0067 0796	ws2ifsl - ok
11:04:55.0231 0796	WUDFRd          (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys
11:04:55.0240 0796	WUDFRd - ok
11:04:55.0349 0796	ZTEusbmdm6k     (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbmdm6k.sys
11:04:55.0359 0796	ZTEusbmdm6k - ok
11:04:55.0404 0796	ZTEusbnmea      (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbnmea.sys
11:04:55.0410 0796	ZTEusbnmea - ok
11:04:55.0439 0796	ZTEusbser6k     (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbser6k.sys
11:04:55.0445 0796	ZTEusbser6k - ok
11:04:55.0469 0796	ZTEusbvoice     (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbvoice.sys
11:04:55.0476 0796	ZTEusbvoice - ok
11:04:55.0518 0796	MBR (0x1B8)     (8913823ff508ccf109db74b636c301da) \Device\Harddisk0\DR0
11:04:55.0551 0796	\Device\Harddisk0\DR0 - ok
11:04:55.0557 0796	Boot (0x1200)   (1dab8a0cf729d33b8d6893a75bd04e64) \Device\Harddisk0\DR0\Partition0
11:04:55.0558 0796	\Device\Harddisk0\DR0\Partition0 - ok
11:04:55.0569 0796	Boot (0x1200)   (77b385b02f211471d681d343e5360f5f) \Device\Harddisk0\DR0\Partition1
11:04:55.0570 0796	\Device\Harddisk0\DR0\Partition1 - ok
11:04:55.0574 0796	============================================================
11:04:55.0574 0796	Scan finished
11:04:55.0574 0796	============================================================
11:04:55.0603 3320	Detected object count: 1
11:04:55.0603 3320	Actual detected object count: 1
11:05:21.0060 3320	sptd ( LockedFile.Multi.Generic ) - skipped by user
11:05:21.0060 3320	sptd ( LockedFile.Multi.Generic ) - User select action: Skip 
11:05:25.0429 1088	Deinitialize success

Fish66 · Answer

Re,

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

Le rapport à l'héberger (comme tu as fait pour le rapport ZHPDiag)


@+

sdj33 · Answer

Re,

Voici le rapport pre_scan :

http://www.cijoint.fr/cjlink.php?file=cj201110/cijUPQwkk5.txt


Voici également le rapport avgremover, que je n'avais pas posté :

http://www.cijoint.fr/cjlink.php?file=cj201110/cijo2Knt0b.txt

Fish66 · Answer

Re,

Avant d'utiliser ComboFix : 

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : 

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix 

. Télécharge Defogger (de jpshortstuff) sur ton Bureau 

. Lance le 

Une fenêtre apparait : clique sur "Disable" 

. Fais redémarrer l'ordinateur si l'outil te le demande 

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

Attention, avant de commencer, lit attentivement la procédure 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\ 

? Fais un clic droit sur ce lien, enregistre le dans ton bureau 

Voici Aide combofix 


* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\ 
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven) 

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets internet) 

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

 *En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

*Note : Le rapport se trouve également là : C:\ComboFix.txt

sdj33 · Answer

Re,

Ca ne m'a pas demandé d'installer une console de récupération mais ça a tenté automatiquement de créer un point de restauration. Je ne sais pas si ça a réussi, est-ce embêtant?

Il n'a pas redémarré tout seul, j'ai dû le faire car plus rien ne répondait (dès que je cliquais sur une icône ça me disait "registre manquant" un truc du genre). Depuis que j'ai redémarré, ça ne me le fait plus. 

Rien d'anormal??

Voici le rapport :

ComboFix 11-10-15.03 - marie 15/10/2011  16:08:48.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.1015.355 [GMT 2:00]
Lancé depuis: c:\users\marie\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Windows Live Messenger .lnk
c:\users\marie\AppData\Roaming\4A06.055
c:\users\marie\AppData\Roaming\inst.exe
c:\users\marie\ia_remove.sh0281.tmp
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-09-15 au 2011-10-15  ))))))))))))))))))))))))))))))))))))
.
.
2011-10-15 14:24 . 2011-10-15 14:25	--------	d-----w-	c:\users\marie\AppData\Local	emp
2011-10-15 14:24 . 2011-10-15 14:24	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-10-15 13:54 . 2011-10-15 13:54	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{C59E0F76-CB88-4729-A7A7-F6352D7D16E0}\offreg.dll
2011-10-15 13:17 . 2011-10-15 13:29	--------	d-----w-	C:\Kill'em
2011-10-14 19:03 . 2011-10-14 19:03	--------	d-----w-	C:\UsbFix
2011-10-14 08:07 . 2011-09-12 23:14	7269712	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{C59E0F76-CB88-4729-A7A7-F6352D7D16E0}\mpengine.dll
2011-10-13 18:01 . 2011-08-31 15:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-10-13 18:01 . 2011-10-13 18:02	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-10-13 17:48 . 2011-10-13 19:17	--------	d-----w-	c:\users\marie\AppData\Roaming\54A06
2011-10-13 12:51 . 2011-10-13 14:52	111744	----a-w-	c:\windows\system32\drivers\TrueSight.sys
2011-10-13 12:44 . 2011-10-13 20:35	0	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-10-13 12:31 . 2011-10-14 07:50	--------	d-----w-	C:\ZHP
2011-10-13 12:30 . 2011-10-13 20:35	--------	d-----w-	c:\program files\ZHPDiag
2011-10-13 08:28 . 2011-08-25 16:14	238080	----a-w-	c:\windows\system32\oleacc.dll
2011-10-13 08:28 . 2011-08-25 16:15	555520	----a-w-	c:\windows\system32\UIAutomationCore.dll
2011-10-13 08:28 . 2011-08-25 16:14	563712	----a-w-	c:\windows\system32\oleaut32.dll
2011-10-13 08:28 . 2011-08-25 13:31	4096	----a-w-	c:\windows\system32\oleaccrc.dll
2011-10-11 13:42 . 2011-10-13 19:17	--------	d-----w-	c:\program files\54A06
2011-10-11 13:42 . 2011-10-13 19:17	--------	d-----w-	c:\users\marie\AppData\Roaming\20554
2011-09-29 13:58 . 2011-09-29 13:58	--------	d-----w-	c:\program files\Common Files\HP
2011-09-19 17:38 . 2011-10-10 19:05	--------	d-----w-	c:\users\marie\AppData\Local\Solid State Networks
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-30 11:40 . 2011-07-03 08:23	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-10 08:41 . 2011-05-11 05:45	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BTBFirstRun"="c:\program files\Hewlett-Packard\SDP\hprun.exe" [2006-11-14 20480]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2006-09-28 65536]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 3784704]
"SSS2007 File Redirection Starter"="c:\program files\Steganos Security Suite 2007\fredirstarter.exe" [2007-05-15 53248]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-25 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-25 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-25 133656]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-02-25 37888]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-03-31 982408]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
.
c:\users\marie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^NkvMon.exe.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NkvMon.exe.lnk
backup=c:\windows\pss\NkvMon.exe.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 HotKeys]
2007-05-21 09:11	25088	----a-w-	c:\program files\Steganos Security Suite 2007\SteganosHotKeyService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2007 PasswordManagerFFAutoFill]
2007-05-21 09:11	21504	----a-w-	c:\program files\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter
"ehTray.exe"=c:\windows\ehome\ehTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
"KBD"=c:\hp\KBD\KBD.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 SatSrv;Steganos AntiTheft;c:\windows\system32\SatSrv.exe [2006-12-05 184320]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\Drivers\pcouffin.sys [2008-02-01 47360]
R3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [2011-10-13 111744]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-10-09 105088]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-01-29 685816]
S1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\Sleen15.sys [2007-02-21 11:33 80232]
S3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;c:\windows\system32\DRIVERS
etr73.sys [2008-02-26 493568]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\
FF - prefs.js: browser.startup.homepage - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=71&bd=Pavilion&pf=desktop
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 59535
FF - prefs.js: network.proxy.type - 4
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-15 16:25
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-226889588-1243383199-3135563048-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-10-15  16:37:58
ComboFix-quarantined-files.txt  2011-10-15 14:37
.
Avant-CF: 82 420 400 128 octets libres
Après-CF: 82 326 978 560 octets libres
.
Current=1 Default=1 Failed=0 LastKnownGood=98 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98
- - End Of File - - 37AF4A11ECE5A3DFE10FA0D901DD02AF

Fish66 · Answer

Re,
1/
Désinstalle tes versions d'adobe reader, on va réinstaller la dernière version

2/

Pour bien vérifier que le  fichier ci-dessous est  infecté rend toi sur ce site

Virus Total

Colle directement le chemin du  fichier  dans l'espace "Parcourir" :


C:\Users\marie\AppData\Roaming\pcouffin.sys     




* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation

actuelle : en cours d'analyse" est affiché.

* Il est possible que le fichier soit mis en file d'attente en raison d'un grand

nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser

la page.

* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine

réponse.

Fait de la même facon le fichier :

C:\Windows\sleen1564.sys 


@+

sdj33 · Answer

Re,

1. J'ai désinstallé adobe reader. Faut-il également que je désinstalle :
  - adobe download manager
  - adobe flashplayer 10 activex
  - adobe flashplayer 10 plugin ??


2. Voici les liens :

Pour pcouffin.sys : http://www.virustotal.com/file-scan/report.html?id=db57dfd02c18461b1b383df759730ffee9c7fa8577e1679fd4740a590303ee79-1318693903

Pour sleen1564.sys : http://www.virustotal.com/file-scan/report.html?id=7385a7ab7825b366f581a8e70d25b1b46c9ff135ed98aebfd364e50d826b4ddd-1318694583

Fish66 · Answer

Re,

Pour les autres on va faire leur mise à jour après...

=======================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________

Kill::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"WinampAgent"=-
"HP Software Update"=-
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring"=DWORD:00000000
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=DWORD:00000000

file::
C:\Windows\dhp05093.dat
C:\Users\marie\AppData\Roaming\4A06.055

folder::
C:\028383cc8af8a2b9bcf3f2
C:\4bcfcdf94a8993937a5692de
C:\77cf8557b0df46fcf50e710b6300841e
C:\Users\marie\AppData\Roaming\20554
C:\Users\marie\AppData\Roaming\54A06
C:\Program Files\54A06

ADS::
C:\Users\marie\AppData\Local\Temp
C:\ProgramData\TEMP

attrib::
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer 


@+

sdj33 · Answer

Re,

Un nouveau bug plutôt embêtant est apparu : je suis connectée en wifi sur ma box, et les 2 écrans dans la barre des tâches ont la croix rouge, comme si je n'avais pas de réseau. Quand je passe la souris dessus, il y a eu un message du genre problème de connexion non reconnue liée au serveur. Je ne peux plus te donner le message exact car il ne veut plus s'afficher (ça lag et bug complètement quand je passe/clique sur les écrans).

Que dois-je faire pour que ça revienne à la normale?


Voici le rapport :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.92 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 08/10/2011 | 14.00 Par g3n-h@ckm@n
Utilisateur : marie (Administrateurs)
Ordinateur : PC-DE-MARIE
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 7.0.6002.18005
Mozilla Firefox : 7.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill::

Script : 20:12:55

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\Windows\dhp05093.dat
Absent : C:\Users\marie\AppData\Roaming\4A06.055

¤

Supprimé : C:\028383cc8af8a2b9bcf3f2
Supprimé : C:\4bcfcdf94a8993937a5692de
Supprimé : C:\77cf8557b0df46fcf50e710b6300841e
Supprimé : C:\Users\marie\AppData\Roaming\20554
Supprimé : C:\Users\marie\AppData\Roaming\54A06
Supprimé : C:\Program Files\54A06

¤

Alternate Data Streams :

C:\ProgramData\TEMP : Deleted :53DF59D1:$DATA  
C:\ProgramData\TEMP : Deleted :CB0AACC9:$DATA  

¤

Disques externes : 21 Objets réattribués
Disque Local : 9 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 15 Objets réattribués
Music : 2 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 12 Objets réattribués
Links : 0 Objets réattribués
Searches : 0 Objets réattribués
Contacts : 0 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 2 Objets réattribués
Windows : 59 Objets réattribués
StartMenu : 2 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 70 Objets réattribués

¤


explorer.exe -> Processus redémarré

Fin : 20:22:32

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

Fish66 · Answer

Re,

Essais maintenant d'utiliser un autre navigateur pour voir ce qui se passe!

sdj33 · Answer

Re,

Ca ne change rien : j'ai une connexion (enfin pour l'instant) mais l'icône avec les deux écrans reste avec la croix rouge (à la place de la petite Terre).

Que dois-je faire??

Fish66 · Answer

Re,

Est ce que tu peux envoyer une capture d'écran stp ?

sdj33 · Answer

Re,

Voici la capture d'écran ! 

http://nsa21.casimages.com/img/2011/10/15/111015102237512600.jpg

Fish66 · Answer

Re, 

On va essayer une autre chose : 

Utilise une autre session de ton PC, si tu n'as pas,  tu peux créer une autre et fais un test si le même problème existe! 

@+ 
_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

sdj33 · Answer

Re,

J'ai créé une nouvelle session mais elle ne charge pas de bureau... tout ce que j'ai c'est un écran bleu et ma souris. Je suis obligée de faire control + alt + suppr pour la fermer et revenir sur ma session.

Le problème initial (problème d'exécution du serveur !) persiste.

juju666 · Answer

Bonjour,

Tu as un logiciel qui gère ta connexion internet ? 
Si oui désinstalle-le pour voir si le message disparait.

~~

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

&#9654 &#9654 Désactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "exécuter en tant qu'administrateur"

&#9654 clique sur l'onglet rootkit, lances le scan

&#9654 Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

sdj33 · Answer

Bonjour juju666,

Merci de m'aider.

Je n'ai plus de logiciel gérant ma connexion internet. Je l'ai désinstallé il y a quelques semaines.

Le problème d'icône n'a toujours pas disparu et a commencé quand j'ai fait travailler prescript hier.

Voici le rapport gmer :

http://www.cijoint.fr/cjlink.php?file=cj201110/cijBmH64tI.txt

juju666 · Answer

Réinstalle le logiciel qui gérait ça ?

sdj33 · Answer

Le problème c'est que je ne sais pas où peut se trouver le CD d'installation. Puis c'était une interface plutôt inutile, c'est pourquoi je l'ai désinstallée.

C'est exactement le problème décrit ici : https://forums.commentcamarche.net/forum/affich-4203261-erreur-d-execution-du-serveur-sous-vis

J'ai essayé la solution donnée mais ça n'a pas fonctionné pour moi.

Est-ce qu'il y a quelque chose dans la commande que j'ai tapée dans prescript qui explique ce problème??

L'un de vous deux peut-il me dire ce que je dois faire par la suite?

Merci

juju666 · Answer

Comment s'appelle le logiciel?

sdj33 · Answer

Il ne s'agissait que du CD d'installation sfr/neufbox fourni avec la box, ce n'était qu'une interface qui ne servait à rien.

Je me connecte en wifi et ne passait pas par l'interface pour me connecter ou me déconnecter.

Bref, vraiment rien de génial, c'est pour ça que je l'ai désinstallé. Surtout, je n'avais pas ce problème avant de taper la commande dans prescript, alors même que j'avais désinstallé l'interface.

juju666 · Answer

bizarre ...

donc tu as essayé sfc /scannow ? 
et nesth int ip reset all ?

sdj33 · Answer

J'ai fait verifyonly et vu qu'aucune erreur n'a été détectée je n'ai pas fait scannow. 

Puis j'ai tapé nesth.... et redémarré mais ça n'a rien changé.

juju666 · Answer

Réinstalle le truc sfr puis désinstalle le.

sdj33 · Answer

Ca n'a rien changé. J'ai même cru avoir tout fait sauter niveau connexion mais heureusement en redémarrant le wifi est revenu.

Arrgh je suis condamnée à rester avec une icône faussée et ce message inquiétant (statut de la connexion inconnu échec de l'exécution du serveur) ???

juju666 · Answer

mmmh c'est bizarre ça ...

sdj33 · Answer

Oui, très embêtant surtout :// Surtout que je ne sais pas ce que je dois faire !

juju666 · Answer

je t'avoue que moi non plus sur ce coup là ^^

Télécharge HijackThis : http://www.trendmicro.com/ftp/products/hijackthis/HijackThis.exe

Lance-le, clic sur Do a system scan and save logfile
ça va aller très vite et le rapport s'ouvrira dans le bloc note.

Colle ici le morceau avec les lignes 04

sdj33 · Answer

Salut,

Fish66, tu es toujours là?!

juju666, voici le rapport :

O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SSS2007 File Redirection Starter] "C:\Program Files\Steganos Security Suite 2007\fredirstarter.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [BTBFirstRun] C:\Program Files\Hewlett-Packard\SDP\hprun.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-21-226889588-1243383199-3135563048-1000\..\Run: [BTBFirstRun] C:\Program Files\Hewlett-Packard\SDP\hprun.exe (User '?')
O4 - HKUS\S-1-5-21-226889588-1243383199-3135563048-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
O4 - S-1-5-21-226889588-1243383199-3135563048-1000 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User '?')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

juju666 · Answer

Bizarre ça ne se lance pas via une clé run.

Tu peux relancer hijackthis, cliquer sur Do a system scan only et cocher cette ligne :

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

Ensuite clique sur Fix Checked

~~

Ouvre ZHPDiag, coche tout au tournevis vert et clique sur la loupe.

Une fois terminé héberge le rapport sur cijoint.fr ou pjjoint.malekal.com

sdj33 · Answer

Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201110/cij1tU9QD9.txt

juju666 · Answer

Il est pas visible sur les rapports ce truc :/

sdj33 · Answer

Arrgh !

Est-ce qu'il n'y a pas quelque chose dans la manip que m'a dit de faire Fish66 qui expliquerait ce problème? Car ça me le fait depuis que j'ai rentré dans prescript la manip suivante :

Kill::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"WinampAgent"=-
"HP Software Update"=-
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring"=DWORD:00000000
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=DWORD:00000000

file::
C:\Windows\dhp05093.dat
C:\Users\marie\AppData\Roaming\4A06.055

folder::
C:\028383cc8af8a2b9bcf3f2
C:\4bcfcdf94a8993937a5692de
C:\77cf8557b0df46fcf50e710b6300841e
C:\Users\marie\AppData\Roaming\20554
C:\Users\marie\AppData\Roaming\54A06
C:\Program Files\54A06

ADS::
C:\Users\marie\AppData\Local\Temp
C:\ProgramData\TEMP

attrib:: 

Qu'en penses-tu?

juju666 · Answer

Mmmmh non je ne vois pas en quoi ça aurait pu faire revenir ce truc ...

sdj33 · Answer

C'est à s'arracher les cheveux ce truc :( Maintenant je n'ai plus de virus (ça c'est cool, merci à Fish66) mais j'ai un gros bug :(

juju666 · Answer

je suis un piti peu dépassé :)

sdj33 · Answer

Bonne nouvelle j'ai réussi à résoudre le truc en tapant une commande dans cmd.exe ! C'est revenu à la normale, icône avec la Terre et tout !! :)

D'après les derniers rapports, vois-tu encore des traces de virus? Ou penses-tu que mon ordi est clean?

Merci

juju666 · Answer

C est clean, mais on va finaliser :

Procédure d'optimisation/d'entretien/de prévention   

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa) 

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7) 

=> Configuration en vidéo ( merci gen-hackman ) 

&#9654 clique sur "Clean" 

&#9654 L''outil va faire son scan puis son nettoyage 

&#9654 à la fin du rapport tu auras une ligne comme ca : 

Total space cleaned: 8140878 bytes 

&#9654 transmets juste cette ligne , le reste importe peu  

------ 

&#9654 télécharge et installe Ccleaner 

&#9654 double-clique sur le fichier pour lancer l''installation  

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »  

&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé  
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures " 
&#9654 &#9654 cliques sur nettoyeur  
&#9654 cliques sur windows et dans la colonne avancé  
&#9654 coches la première case "vieilles données du perfetch"  
&#9654 cliques sur analyse une fois l''analyse terminé  
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs " 
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"  
&#9654 il te demande de sauvegarder ==> OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK  
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"  
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch"  
&#9654 tu peux fermer Ccleaner  

------  

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système. 

------ 

Défragmente tes disques dur : 
Télécharge Deffragler, et défragmente tes disques.  

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm 

------  

&#9654 Maintiens tes logiciels à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

&#9654 idem pour les Mises à jour Windows :  

Il est très important de maintenir son OS à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ... 

&#9654 Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/ 


&#9654 Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat. 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l''application    

&#9654 &#9654 Met à jour les logiciels Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge et exécute Delfix sur ton bureau

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter. 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus 
------  

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d'autres questions,
Sur le fonctionnement des malwares
Ou comment tu t'es fait infecté
N'hésites pas.
On se quitte si le rapport DelFix est ok... 

@+

sdj33 · Answer

J'en suis à l'étape defrag, c'est très long ;) 

Je voulais poster la ligne PureRa mais comme j'ai redémarré l'ordinateur je ne trouve plus le rapport, je ne sais pas vraiment s'il s'est enregistré automatiquement avant le redémarrage? Si ce n'est pas le cas je ne l'ai pas fait :/

Je n'aurai pas accès à mon PC pendant quelques jours, j'essaie de poster le rapport DelFix si j'ai le temps de le faire d'ici là, sinon je le ferai en fin de semaine.

Merci !

juju666 · Answer

Pas de soucis! :)

sdj33 · Answer

Salut,

Voilà j'ai suivi la procédure ! Voici le rapport delfix :

Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2964 octets] - [22/10/2011 00:00:41]

########## EOF - C:\DelFix[S1].txt - [3088 octets] ##########

Encore un grand merci !

Juste une question : fish66 m'a dit que zonealarm n'était pas un antivirus mais un pare-feu. Il m'a conseillé de télécharger Avira ou Microsoft security essentials. Est-ce qu'il y en a un qui serait plus performant que l'autre?

Aurais-tu un autre pare-feu à me conseiller? Zonealarm est pas mal mais alors qu'est-ce qu'il est lent, notamment dans les mises à jour ! Ca rame tellement au démarrage que je dois bien attendre 15 minutes !

juju666 · Answer

Salut ;)

Bah en antivirus gratuit il t'a cité les 2 meilleurs ;)

Franchement un pare feu .... ça dépend de l'usage du pc, je ne crois pas qu'on pare)feu spécifique te soit nécessaire, celui de windows devrait faire le travail !

sdj33 · Answer

Ok, merci !

Une dernière question : au démarrage de mon ordi j'ai toujours le même message : "hprun a cessé de fonctionner"

Une idée d'où ça pourrait venir et d'un moyen d'empêcher l'affichage de ce message à chaque démarrage?

Merci ! :)

juju666 · Answer

télécharge HijackThis
Lance le et clique sur Do a system and save logfile

Colle ici les lignes qui commencent par 04

Deb21 · Answer

Bonjour,
Je crois que je viens d'être infectée par ce virus et je galère ... ^^
J'ai Avira comme Antivirus et il ne veut plus démarrer ni faire de scan ...
J'ai besoin d'aide

sdj33 · Answer

Salut,

Deb21 : je pense qu'il serait plus judicieux que tu ouvres un nouveau thread pour éviter des croisements de posts, merci :)

juju666 : voici les lignes :

O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SSS2007 File Redirection Starter] "C:\Program Files\Steganos Security Suite 2007\fredirstarter.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [BTBFirstRun] C:\Program Files\Hewlett-Packard\SDP\hprun.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-21-226889588-1243383199-3135563048-1000\..\Run: [BTBFirstRun] C:\Program Files\Hewlett-Packard\SDP\hprun.exe (User '?')
O4 - HKUS\S-1-5-21-226889588-1243383199-3135563048-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
O4 - S-1-5-21-226889588-1243383199-3135563048-1000 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User '?')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Secunia PSI Tray.lnk = C:\Program Files\Secunia\PSI\psi_tray.exe

juju666 · Answer

Salut :)

Ouvre Hijackthis, clique sur Do a system scan only
Coche les lignes suivantes : 

O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe 
O4 - HKUS\S-1-5-21-226889588-1243383199-3135563048-1000\..\Run: [BTBFirstRun] C:\Program Files\Hewlett-Packard\SDP\hprun.exe (User '?') 

Clique sur "Fix checked!" 

Redémarre le PC.

Toujours le message d'erreur ? :-)

sdj33 · Answer

Non ça ne le fait plus !

Super !!! 

Encore merci pour tout, vraiment :)

juju666 · Answer

Ouah chui un piti génie :D mdr ^^

A bientôt, sois prudent sur le net ça regorge de trucs louches ^^

Virus de redirection Google !

75 réponses

Discussions similaires

Newsletters