Virus récalcitrant...

Vince65 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

J'ai depuios deux jours un virus actif sur mon PC. Après avoir fait tourner différents anti-virus (dans un ordre un peu aléatoire...) ça va un peu mieux mais le virus se réactive dès que j'essaye d'accéder à une page web spécifique (Forum VeloVert).

J'aurai donc bien besoin d'un avis d'expert pour m'aider à m'en sortir.

D'avance Merci.

Pour commencer j'ai fait tourner ZHPDiag, voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijJ5Z9Ua1.txt

Je continue la procédure et poste les rapports suivants MalwareBytes Anti-Malware et Kaspersky.

A Bientôt.

Vincent

37 réponses

  • 1
  • 2
Résumé de la discussion

Infection détectée sur un PC Windows 7 où le virus se réactive lors de l'accès à une page web précise, malgré le passage de plusieurs antivirus dans un ordre variable.
Plusieurs outils spécialisés ont été utilisés, tels ZHPDiag, Trojan Killer, OTM et RogueKiller, et des éléments malveillants comme unacev2.dll ont été localisés dans System32 et dans le dossier WinRAR, avec des rapports détaillés.
Les démarches ont inclus la désactivation puis la réactivation de la restauration système, la suppression des points et des fichiers suspects via MoveIt et scripts, et des vérifications répétées qui ont conduit à une amélioration notable.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. VINCE65
     
    La suite, le rapport de Malwarebytes:

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8037

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    28/10/2011 23:21:30
    mbam-log-2011-10-28 (23-21-30).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 188035
    Temps écoulé: 3 minute(s), 0 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  2. VINCE65
     
    Bonjour,

    Voici le rapport de "trojan killer", mais toujours pas moyen de me débarrasser des mauvais éléments:

    EP: 00
    SEC:

    ----- C:\Program Files (x86)\ZHPDiag\catchme.exe ---- General
    Backdoor.Win32.Rbot
    MD5: F3A37421DBD1AAA36558C97572C91C5A:147456
    EP: 60 BE 15 40 43 00 8D BE EB CF FC FF 57 83 CD FF EB 10 90 90 90 90 90 90 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 00 00 00 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 0B
    SEC:
    :E0000080:00000000000000000000000000000000:0
    :E0000040:0E5752D795AC09A5E948F81C300AD7E5:145920
    .rsrc:C0000040:A6E8753A260050B97629EE8C9D6FF12A:1024

    ----- C:\Program Files (x86)\ZHPDiag\mbrcheck.exe ---- General
    W32/Heuristic-210!Eldorado!L
    MD5: CB2D120A4B72422A8141192831B1F500:80384
    EP: B8 10 FF 42 00 50 64 FF 35 00 00 00 00 64 89 25 00 00 00 00 33 C0 89 08 50 45 43 6F 6D 70 61 63 74 32 00 0E 8A 64 29 31 D5 6E C6 76 05 6C 03 C1 DB CD 76 5A 3A BA 24 01 EB A2 48 4C 43 17 F4 01 EC
    SEC:
    .text:E0000020:2D4319A457859B1051CB433FA04F4F47:74752
    .rsrc:E0000020:89E40FEC384DEEE581960E46AD85984D:4096
    .reloc:C0000040:6A1C23B85A2BF7C1E4FD47449D2F7135:512

    ----- C:\Program Files (x86)\ZHPDiag\pv.exe ---- General
    PUA.IRC-Client.mIRC-37
    MD5: 5DAF7081A4BB112FA3F1915819330A3E:61440
    EP: 6A 18 68 E8 CC 40 00 E8 DE 30 00 00 BF 94 00 00 00 8B C7 E8 8A FD FF FF 89 65 E8 8B F4 89 3E 56 FF 15 B4 B0 40 00 8B 4E 10 89 0D A8 F0 40 00 8B 46 04 A3 B4 F0 40 00 8B 56 08 89 15 B8 F0 40 00 8B
    SEC:
    .text:60000020:FD8B005BAAA8FD407A16A86AE7BF6FD1:40960
    .rdata:40000040:18574039C04ED538D215CD454905B623:12288
    .data:C0000040:98D05DFCF4D6F6FE762B76135E560C73:4096

    ----- C:\Program Files (x86)\ZHPDiag\subinacl.exe ---- General
    Trojan.Win32.Spy
    ProdVer: 5.2.3790.1180
    FileVer: 5.2.3790.1180
    Name : Microsoft® Windows® Operating System
    Company: Microsoft Corporation
    NAC: 34DD9102B48A6D2A8091D468E3540CBE:57
    MD5: 53CDBB093B0AEE9FD6CF1CBD25A95077:290304
    EP: 6A 28 68 C8 B9 01 01 E8 21 04 00 00 66 81 3D 00 00 00 01 4D 5A 75 27 A1 3C 00 00 01 8D 80 00 00 00 01 81 38 50 45 00 00 75 14 0F B7 48 18 81 F9 0B 01 00 00 74 21 81 F9 0B 02 00 00 74 06 83 65 E4
    SEC:
    .text:60000020:B38131ECEB3847B38E6ACDA70581C625:281088
    .data:C0000040:002EB47C94542BD15B02093E2ADAA7C9:4096
    .rsrc:40000040:7D136C30F388A3086EF137D99F1636EE:4096

    Scan completed!

    Scan result: 9 detected items
    Scan completed in: Scan completed in 10 minute(s) 10 sec.
    Files were scanned: 12121
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    trojan killer considère zhpdiag comme infectieux, ce qui n'est pas le cas, c'est donc ce que l'on appèlle un faux positif

    tu a mis bandoo qui est néfaste utilise adwcleaner pour le supprimer et colle nous le rappour de suppression

    en regardant ce lien
    http://www.commentcamarche.net/faq/31908-desinstaller-la-barre-searchqu-bandoo-chercheus
    0
  4. VINCE65
     
    Bonsoir,

    Merci de ta réponse, voici le rapport de suppression:

    # AdwCleaner v1.315 - Rapport créé le 29/10/2011 à 23:33:25
    # Mis à jour le 27/10/11 à 14h par Xplode
    # Système d'exploitation : Windows 7 Home Premium (64 bits)
    # Nom d'utilisateur : Vincent - VINCENT_FLOCH (Droits Limités)
    # Exécuté depuis : C:\Users\Vincent\Desktop\Nouveau dossier\adwcleaner0.exe
    # Option [Suppression]

    ***** [KillNav] *****

    # iexplore.exe [PID:4996] -> Tué

    ***** [Processus] *****

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
    Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
    Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
    Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
    Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
    Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.7600.16385

    [OK] Le registre ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [1317 octets] - [29/10/2011 23:33:07]
    AdwCleaner[S1].txt - [1335 octets] - [29/10/2011 23:33:25]

    *************************

    Dossier Temporaire : 1 dossier(s)et 3 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S1].txt - [1554 octets] ##########
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    colle le rapport avec nod 32 en ligne ici: antivirus en ligne

    lance delfix pour supprimer ce qui a été utilisé

    ensuite vérifie si trojan killer trouve encore des infections

    a plus
    0
  7. VINCE65
     
    Bonjour,

    Voici le rapport de nod 32:

    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\Application Updater\ApplicationUpdater.exe.vir une variante probable de Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe.vir une variante de Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
    C:\Program Files (x86)\GridinSoft Trojan Killer\trojankiller.exe une variante de Win32/1AntiVirus application nettoyé par suppression - mis en quarantaine
    C:\Users\Vincent\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\2b17ed1-560b8c3c Java/Exploit.Agent.NAO cheval de troie supprimé - mis en quarantaine
    C:\Users\Vincent\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\3f4cc92a-6d140953 Java/Exploit.Agent.NAO cheval de troie supprimé - mis en quarantaine
    C:\Windows\Installer\13e198.msi une variante de Win32/Adware.Toolbar.Dealio application supprimé - mis en quarantaine

    Je continiue avec DELFIX & trojan killer
    0
    1. VINCE65
       
      Voici le rapport de trojan killer, il détecte toujours de pb:

      GridinSoft Trojan Killer v.2.1.1.0
      Report file date: 30/10/2011 11:39:05

      Scanning for 429789 virus strains and unwanted programs.

      Licensed: UNREGISTERED
      Windows version: Windows 7 Home Premium (version 6.1)
      Username: Vincent

      Starting the file scan:

      Run IE: c:\program files\internet explorer\iexplore.exe
      Hijack.InternetExplorer - fixed
      Startup collected
      BHO plugins collected
      Service collected
      ActiveX collected
      Files collected
      Scanning process...
      ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
      fakeOptimizer.x.SystemRestore
      MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
      EP: 00
      SEC:


      ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
      fakeOptimizer.x.SystemRestore
      MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
      EP: 00
      SEC:


      ----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
      Rogue.FakeAV.Win32h.SystemRestore
      MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
      EP: 00
      SEC:


      ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
      fakeavx.systemrestore
      MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
      EP: 00
      SEC:


      ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
      fakeavx.systemrestore
      MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
      EP: 00
      SEC:


      ----- C:\Windows\System32\unacev2.dll ---- General
      not-a-virus.AdWare.Win32.BadBar
      ProdVer: 2.1.1.0
      FileVer: 2.1.1.0
      Name : UNACE - ACE extraction freeware component
      Company: ACE Compression Software
      NAC: 439F338E8640C27496B1CFA5D655E139:65
      MD5: 7FE66F3BD9CBB998D56EF60D511FF06F:75264
      EP: E9 F1 00 00 00 43 6F 70 79 72 69 67 68 74 20 62 79 20 41 43 45 20 43 6F 6D 70 72 65 73 73 69 6F 6E 20 53 6F 66 74 77 61 72 65 20 28 31 39 39 38 2D 32 30 30 30 29 2E 20 55 89 E5 83 7D 0C 01 0F 85
      SEC:
      AUTO:60000020:DE1325A3F181275443052A2E94BE75EE:59904
      .idata:C0000040:E308640F7B7B520DF851D4DE20948717:3584
      DGROUP:C0000040:E37892D8391173DD249A107A1AFD3C50:4096
      .bss:C0000080:7FE66F3BD9CBB998D56EF60D511FF06F:75264
      .edata:40000040:63829F8097F0F9DE3AD97FE2A1C57F2D:512
      .reloc:42000040:541994EE83FF8FE75B94D78F352A4EB7:4608
      .rsrc:40000040:4B0E33936F7E575759DF27050DFAA089:1536


      Scan completed!

      Scan result: 4 detected items
      Scan completed in: Scan completed in 8 minute(s) 1 sec.
      Files were scanned: 12153
      0
  8. VINCE65
     
    Bonsoir,

    Je ne trouve pas le fichier en question à l'adresse indiquée par Trojan Killer

    Mais en effectuant une recherche sur tout le PC, je le trouve aux adresses suivantes:
    C:\Windows\SysWOW64\unacev2.dll
    &
    C:\Program Files (x86)\WinRAR\Formats\unacev2.dll

    Je supprime quand même? Je ne vourdrais pas faire de conneries...

    Merci.

    a+
    0
  9. VINCE65
     
    Voici le rapport pour le fichier situé dans C:\Windows\SysWOW64\unacev2.dll:

    AhnLab-V3 2011.10.30.00 2011.10.30 -
    AntiVir 7.11.16.202 2011.10.30 -
    Antiy-AVL 2.0.3.7 2011.10.30 -
    Avast 6.0.1289.0 2011.10.30 -
    AVG 10.0.0.1190 2011.10.30 -
    BitDefender 7.2 2011.10.30 -
    ByteHero 1.0.0.1 2011.09.23 -
    CAT-QuickHeal 11.00 2011.10.29 -
    ClamAV 0.97.3.0 2011.10.29 -
    Commtouch 5.3.2.6 2011.10.30 -
    Comodo 10608 2011.10.30 -
    DrWeb 5.0.2.03300 2011.10.30 -
    Emsisoft 5.1.0.11 2011.10.30 -
    eSafe 7.0.17.0 2011.10.30 -
    eTrust-Vet 36.1.8645 2011.10.28 -
    F-Prot 4.6.5.141 2011.10.30 -
    F-Secure 9.0.16440.0 2011.10.30 -
    Fortinet 4.3.370.0 2011.10.30 -
    GData 22 2011.10.30 -
    Ikarus T3.1.1.107.0 2011.10.30 -
    Jiangmin 13.0.900 2011.10.30 -
    K7AntiVirus 9.116.5354 2011.10.29 -
    Kaspersky 9.0.0.837 2011.10.30 -
    McAfee 5.400.0.1158 2011.10.30 -
    McAfee-GW-Edition 2010.1D 2011.10.30 -
    Microsoft 1.7801 2011.10.30 -
    NOD32 6588 2011.10.30 -
    Norman 6.07.13 2011.10.30 -
    nProtect 2011-10-30.01 2011.10.30 -
    Panda 10.0.3.5 2011.10.30 -
    PCTools 8.0.0.5 2011.10.30 -
    Prevx 3.0 2011.10.30 -
    Rising 23.81.04.01 2011.10.28 -
    Sophos 4.70.0 2011.10.30 -
    SUPERAntiSpyware 4.40.0.1006 2011.10.29 -
    Symantec 20111.2.0.82 2011.10.30 -
    TheHacker 6.7.0.1.336 2011.10.30 -
    TrendMicro 9.500.0.1008 2011.10.30 -
    TrendMicro-HouseCall 9.500.0.1008 2011.10.30 -
    VBA32 3.12.16.4 2011.10.25 -
    VIPRE 10915 2011.10.30 -
    ViRobot 2011.10.29.4745 2011.10.30 -
    VirusBuster 14.1.38.0 2011.10.30 -

    Et le second rapport pour le fichier situé dans C:\Program Files (x86)\WinRAR\Formats\unacev2.dll
    AhnLab-V3 2011.10.30.00 2011.10.30 -
    AntiVir 7.11.16.202 2011.10.30 -
    Antiy-AVL 2.0.3.7 2011.10.30 -
    Avast 6.0.1289.0 2011.10.30 -
    AVG 10.0.0.1190 2011.10.30 -
    BitDefender 7.2 2011.10.30 -
    ByteHero 1.0.0.1 2011.09.23 -
    CAT-QuickHeal 11.00 2011.10.29 -
    ClamAV 0.97.3.0 2011.10.29 -
    Commtouch 5.3.2.6 2011.10.30 -
    Comodo 10608 2011.10.30 -
    DrWeb 5.0.2.03300 2011.10.30 -
    Emsisoft 5.1.0.11 2011.10.30 -
    eSafe 7.0.17.0 2011.10.30 -
    eTrust-Vet 36.1.8645 2011.10.28 -
    F-Prot 4.6.5.141 2011.10.30 -
    F-Secure 9.0.16440.0 2011.10.30 -
    Fortinet 4.3.370.0 2011.10.30 -
    GData 22 2011.10.30 -
    Ikarus T3.1.1.107.0 2011.10.30 -
    Jiangmin 13.0.900 2011.10.30 -
    K7AntiVirus 9.116.5354 2011.10.29 -
    Kaspersky 9.0.0.837 2011.10.30 -
    McAfee 5.400.0.1158 2011.10.30 -
    McAfee-GW-Edition 2010.1D 2011.10.30 -
    Microsoft 1.7801 2011.10.30 -
    NOD32 6588 2011.10.30 -
    Norman 6.07.13 2011.10.30 -
    nProtect 2011-10-30.01 2011.10.30 -
    Panda 10.0.3.5 2011.10.30 -
    PCTools 8.0.0.5 2011.10.30 -
    Prevx 3.0 2011.10.30 -
    Rising 23.81.04.01 2011.10.28 -
    Sophos 4.70.0 2011.10.30 -
    SUPERAntiSpyware 4.40.0.1006 2011.10.29 -
    Symantec 20111.2.0.82 2011.10.30 -
    TheHacker 6.7.0.1.336 2011.10.30 -
    TrendMicro 9.500.0.1008 2011.10.30 -
    TrendMicro-HouseCall 9.500.0.1008 2011.10.30 -
    VBA32 3.12.16.4 2011.10.25 -
    VIPRE 10915 2011.10.30 -
    ViRobot 2011.10.29.4745 2011.10.30 -
    VirusBuster 14.1.38.0 2011.10.30 -
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTM
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

    double-clique sur OTM.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.


    :processes
    explorer.exe
    :files
    C:\Windows\System32\unacev2.dll
    :commands
    [purity]
    [emptytemp]
    [start explorer]


    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTM\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ____________________

    relance delfix et choisi l'option de suppression puis désinstalle le

    ____________________

    ----------

    puis désactive ta restauration puis redemarre ton pc puis réactive là
    et crées un nouveau point de restauration

    https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

    -----------

    ensuite refais trojan killer

    vérifie ensuite que tout est ok
    0
  11. VINCE65
     
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== FILES ==========
    DllUnregisterServer procedure not found in C:\Windows\System32\unacev2.dll
    C:\Windows\System32\unacev2.dll moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrator

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 41044 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Public

    User: Vincent
    ->Temp folder emptied: 3643 bytes
    ->Temporary Internet Files folder emptied: 83970700 bytes
    ->Java cache emptied: 953384 bytes
    ->Apple Safari cache emptied: 0 bytes
    ->Flash cache emptied: 2875299 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 188145 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 13270 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68044 bytes
    RecycleBin emptied: 5884 bytes

    Total Files Cleaned = 84,00 mb

    OTM by OldTimer - Version 3.1.19.0 log created on 10312011_000858

    Files moved on Reboot...
    C:\Users\Vincent\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    C:\Users\Vincent\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
    0
  12. VINCE65
     
    Voici le rapport de trojan killer:

    GridinSoft Trojan Killer v.2.1.1.0
    Report file date: 31/10/2011 00:27:52

    Scanning for 430347 virus strains and unwanted programs.

    Licensed: UNREGISTERED
    Windows version: Windows 7 Home Premium (version 6.1)
    Username: Vincent

    Starting the file scan:

    Run IE: c:\program files\internet explorer\iexplore.exe
    Hijack.InternetExplorer - fixed
    Startup collected
    BHO plugins collected
    Service collected
    ActiveX collected
    Files collected
    Scanning process...
    ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
    fakeOptimizer.x.SystemRestore
    MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
    EP: 00
    SEC:

    ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
    fakeOptimizer.x.SystemRestore
    MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
    EP: 00
    SEC:

    ----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
    Rogue.FakeAV.Win32h.SystemRestore
    MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
    EP: 00
    SEC:

    ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
    fakeavx.systemrestore
    MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
    EP: 00
    SEC:

    ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
    fakeavx.systemrestore
    MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
    EP: 00
    SEC:

    Scan completed!

    Scan result: 3 detected items
    Scan completed in: Scan completed in 10 minute(s) 39 sec.
    Files were scanned: 12148

    Il en reste toujours.... En tout cas merci beaucoup de ton aide.

    a+
    0
  13. VINCE65
     
    Salut,

    C'est toujours pareil, cf rapport ci-dessous.

    J'ai désactivé la restauration, supprimer les points de restauration précédent, puis rédémarrer et fait tourner trojan killer (sans recréer de points de restauration) et le résultat et le même.

    GridinSoft Trojan Killer v.2.1.1.0
    Report file date: 31/10/2011 09:00:04

    Scanning for 430347 virus strains and unwanted programs.

    Licensed: UNREGISTERED
    Windows version: Windows 7 Home Premium (version 6.1)
    Username: Vincent

    Starting the file scan:

    Run IE: c:\program files\internet explorer\iexplore.exe
    Hijack.InternetExplorer - fixed
    Startup collected
    BHO plugins collected
    Service collected
    ActiveX collected
    Files collected
    Scanning process...
    ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
    fakeOptimizer.x.SystemRestore
    MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
    EP: 00
    SEC:

    ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
    fakeOptimizer.x.SystemRestore
    MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
    EP: 00
    SEC:

    ----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
    Rogue.FakeAV.Win32h.SystemRestore
    MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
    EP: 00
    SEC:

    ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
    fakeavx.systemrestore
    MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
    EP: 00
    SEC:

    ----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
    fakeavx.systemrestore
    MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
    EP: 00
    SEC:

    Scan completed!

    Scan result: 3 detected items
    Scan completed in: Scan completed in 10 minute(s) 11 sec.
    Files were scanned: 12148
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
  15. VINCE65
     
    Salut,

    Voici le rapport:

    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\AVAST Software\Avast\AvastSvc.exe
    c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files (x86)\Bonjour\mDNSResponder.exe
    c:\windows\system32\DRIVERS\o2flash.exe
    c:\program files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
    c:\program files (x86)\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe
    c:\program files\TOSHIBA\HDMICtrlMan\HCMSoundChanger.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-10-31 16:58:37 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-10-31 15:58
    .
    Avant-CF: 185 958 817 792 octets libres
    Après-CF: 185 832 067 072 octets libres
    .
    - - End Of File - - 3027F51DF8F72F0C598F9EF0F33408C6
    0
    1. VINCE65
       
      Je viens de refaire tourner trojan killer: il en reste encore, mais ça va mieux! Voici le rapport:

      GridinSoft Trojan Killer v.2.1.1.0
      Report file date: 31/10/2011 17:17:48

      Scanning for 431000 virus strains and unwanted programs.

      Licensed: UNREGISTERED
      Windows version: Windows 7 Home Premium (version 6.1)
      Username: Vincent

      Starting the file scan:

      Hijack.EnableLUA - fixed
      Startup collected
      BHO plugins collected
      Service collected
      ActiveX collected
      Files collected
      Scanning process...
      ----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
      Rogue.FakeAV.Win32h.SystemRestore
      MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
      EP: 00
      SEC:


      Scan completed!

      Scan result: 1 detected items
      Scan completed in: Scan completed in 7 minute(s) 56 sec.
      Files were scanned: 12148
      0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il faudrait le rapport entier de combofix

    puis

    colle un rapport avec rogue killer option 2

    puis

    télécharge OTM
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

    double-clique sur OTM.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.

    :processes
    explorer.exe
    :files
    C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTM\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ____________________

    A Plus
    0
  17. adrien
     
    j'ai eu exactement le même souci avec les mêmes symtomes: à partir de l'accès à velovert, virus très méchant qui m'a tué le MBR et le registre sur 2 ordis différents, l'un est reparti comme en 14 grace à la restauration Vista, mais l'autre sous Xp a nécessité 2 jours de boulot et n'est toujours pas sécurisé à 100% , je sais pas ce que c'est que cette merde, mais elle est bien méchante
    0
    1. VINCE65
       
      Je ne te le fait pas dire!!

      Ca fait presque une semaine que je galère... J'ai commencé par suivre les instructions d'un post de ce forum... sans le suivre jusqu'au bout parce que tout semblait être revenu comme avant.Mais il a suffit que j'essaye d'accéder à nouveau à vélovert et là..... tout c'est emballé, avast m'a bien signalé qu'il y avait un problème mais n'a pas pu le contenir!

      Heureusement qu'il y a des forums comme celui-ci (que je découvre d'ailleurs), car pour un novice comme moi, se dépatouiller d'un pb comme celui là c'est mission impossible!
      0
  18. VINCE65
     
    Voici le rapport complet de combofix, enfin je pense:

    ComboFix 11-10-30.03 - Vincent 31/10/2011 16:43:46.1.2 - x64
    Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.4061.2721 [GMT 1:00]
    Lancé depuis: c:\users\Vincent\Desktop\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
    SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Restore
    c:\users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Restore\System Restore.lnk
    c:\users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Restore\Uninstall System Restore.lnk
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-09-28 au 2011-10-31 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-10-31 15:51 . 2011-10-31 15:51 69000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4B9BE15C-F1BB-4858-921A-10EF335CC48E}\offreg.dll
    2011-10-31 15:49 . 2011-10-31 15:49 -------- d-----w- c:\users\Default\AppData\Local\temp
    2011-10-31 07:59 . 2011-10-31 08:22 -------- d-----w- c:\windows\89A072791DB3485AB1DF584DF86774B9.TMP
    2011-10-30 08:06 . 2011-10-30 10:25 -------- d-----w- c:\program files (x86)\ESET
    2011-10-30 07:26 . 2011-10-31 08:22 -------- d-----w- C:\sh4ldr
    2011-10-30 07:26 . 2011-10-30 07:26 -------- d-----w- c:\program files\Enigma Software Group
    2011-10-28 22:23 . 2011-10-28 22:23 -------- d-----w- c:\users\Vincent\AppData\Roaming\thecleaner
    2011-10-28 22:22 . 2011-10-28 22:24 -------- d-----w- c:\program files (x86)\The Cleaner
    2011-10-28 22:09 . 2006-06-19 11:01 69632 ----a-w- c:\windows\SysWow64\ztvcabinet.dll
    2011-10-28 22:09 . 2006-05-25 13:52 162304 ----a-w- c:\windows\SysWow64\ztvunrar36.dll
    2011-10-28 22:09 . 2005-08-25 23:50 77312 ----a-w- c:\windows\SysWow64\ztvunace26.dll
    2011-10-28 22:09 . 2003-02-02 18:06 153088 ----a-w- c:\windows\SysWow64\UNRAR3.dll
    2011-10-28 22:08 . 2011-10-28 22:09 -------- d-----w- c:\program files (x86)\Trojan Remover
    2011-10-28 22:08 . 2011-10-28 22:08 -------- d-----w- c:\users\Vincent\AppData\Roaming\Simply Super Software
    2011-10-28 22:08 . 2011-10-28 22:08 -------- d-----w- c:\programdata\Simply Super Software
    2011-10-28 21:46 . 2011-10-31 08:37 -------- d-----w- c:\program files (x86)\GridinSoft Trojan Killer
    2011-10-28 21:06 . 2011-10-28 21:06 -------- d-----w- c:\program files\CCleaner
    2011-10-28 20:49 . 2011-10-28 20:50 -------- d-----w- C:\ZHP
    2011-10-28 17:58 . 2011-10-07 04:16 8570192 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4B9BE15C-F1BB-4858-921A-10EF335CC48E}\mpengine.dll
    2011-10-27 21:47 . 2009-06-30 08:37 33800 ----a-w- c:\windows\system32\drivers\pavboot64.sys
    2011-10-27 21:47 . 2011-10-27 21:47 -------- d-----w- c:\program files (x86)\Panda Security
    2011-10-27 21:41 . 2011-10-27 21:41 -------- d-----w- c:\users\Vincent\AppData\Roaming\vlc
    2011-10-27 21:41 . 2011-10-27 21:41 -------- d-----w- c:\users\Vincent\AppData\Local\Ilivid Player
    2011-10-27 20:55 . 2011-10-27 20:55 -------- d-----w- c:\users\Vincent\AppData\Local\PackageAware
    2011-10-27 19:35 . 2011-08-31 15:00 25416 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-10-26 20:52 . 2011-10-26 20:52 -------- d-----w- c:\users\Vincent\AppData\Roaming\Malwarebytes
    2011-10-26 20:52 . 2011-10-26 20:52 -------- d-----w- c:\programdata\Malwarebytes
    2011-10-26 20:52 . 2011-10-27 19:35 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2011-10-25 18:47 . 2011-08-15 05:08 6144 ----a-w- c:\program files\Internet Explorer\iecompat.dll
    2011-10-25 18:47 . 2011-08-15 04:25 6144 ----a-w- c:\program files (x86)\Internet Explorer\iecompat.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-09-06 20:45 . 2011-03-25 06:03 41184 ----a-w- c:\windows\avastSS.scr
    2011-09-06 20:45 . 2010-01-03 15:23 199304 ----a-w- c:\windows\SysWow64\aswBoot.exe
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-08-12 6203296]
    "tcactive"="c:\program files (x86)\The Cleaner\tcap.exe" [2011-09-13 4768848]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "ToshibaServiceStation"="c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2009-08-17 1294136]
    "TRCMan"="c:\program files (x86)\TOSHIBA\TRCMan\TRCMan.exe" [2009-07-21 701752]
    "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
    "TkBellExe"="c:\program files (x86)\Common Files\Real\Update_OB\realsched.exe" [2010-05-11 202256]
    "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
    "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-02-23 3451496]
    "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-04-14 421160]
    "TrojanScanner"="c:\program files (x86)\Trojan Remover\Trjscan.exe" [2011-05-18 1233856]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-08-12 6203296]
    .
    c:\users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
    .
    c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-17 135664]
    R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-17 135664]
    R3 nmwcdx64;Nokia USB Phone Parent;c:\windows\system32\drivers\ccdcmbx64.sys [x]
    R3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-08-17 51512]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot64.sys [x]
    S0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\DRIVERS\thpdrv.sys [x]
    S0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\DRIVERS\Thpevm.SYS [x]
    S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS\tos_sps64.sys [x]
    S1 aswSnx;aswSnx; [x]
    S1 aswSP;aswSP; [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
    S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe [2009-08-10 248688]
    S2 ConfigFree Gadget Service;ConfigFree Gadget Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFProcSRVC.exe [2009-07-14 42368]
    S2 ConfigFree Service;ConfigFree Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
    S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe [2009-08-25 116104]
    S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2009-08-27 251760]
    S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]
    S3 hidshim;Service for HID-KMDF Shim layer;c:\windows\system32\DRIVERS\hidshim.sys [x]
    S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [x]
    S3 nuvotoncir;Nuvoton IR Transceiver;c:\windows\system32\DRIVERS\nuvotoncir.sys [x]
    S3 nuvotonhidcir;Nuvoton HID CIR Receiver;c:\windows\system32\DRIVERS\nuvotonhidcir.sys [x]
    S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
    S3 O2MDGRDR;O2MDGRDR;c:\windows\system32\DRIVERS\o2mdgx64.sys [x]
    S3 O2SDGRDR;O2SDGRDR;c:\windows\system32\DRIVERS\o2sdgx64.sys [x]
    S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
    S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [x]
    S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [x]
    S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-08-03 137560]
    S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-08-04 826224]
    .
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-17 02:22]
    .
    2011-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-17 02:22]
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2011-02-23 15:04 134384 ------w- c:\program files\AVAST Software\Avast\ashShA64.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ThpSrv"="c:\windows\system32\thpsrv" [X]
    "Toshiba TEMPRO"="c:\program files (x86)\Toshiba TEMPRO\TemproTray.exe" [2009-08-25 1050000]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-23 16334368]
    "cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" [2009-07-20 503864]
    "TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2009-08-03 709976]
    "Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2009-09-10 134032]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x1
    .
    ------- Examen supplémentaire -------
    .
    uLocal Page = c:\windows\SysWOW64\blank.htm
    uStart Page = hxxp://www.google.com/
    mLocal Page = c:\windows\SysWOW64\blank.htm
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
    TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
    DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.2.0/GarminAxControl.CAB
    DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://109.2.227.210:4000/activex/AMC.cab
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-10 - (no file)
    Wow6432Node-HKLM-Run-TUSBSleepChargeSrv - %ProgramFiles(x86)%\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe
    SafeBoot-mcmscsvc
    SafeBoot-MCODS
    Toolbar-10 - (no file)
    HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe
    HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
    HKLM-Run-HSON - c:\program files (x86)\TOSHIBA\TBS\HSON.exe
    HKLM-Run-00TCrdMain - c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe
    HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
    HKLM-Run-SmartFaceVWatcher - c:\program files (x86)\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
    HKLM-Run-Teco - c:\program files (x86)\TOSHIBA\TECO\Teco.exe
    HKLM-Run-HDMICtrlMan - c:\program files (x86)\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe
    HKLM-Run-TosWaitSrv - c:\program files (x86)\TOSHIBA\TPHM\TosWaitSrv.exe
    HKLM-Run-TosNC - c:\program files (x86)\Toshiba\BulletinBoard\TosNcCore.exe
    HKLM-Run-TosReelTimeMonitor - c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
    AddRemove-Ad-Remover - c:\program files (x86)\Ad-Remover\Uninstal.exe
    .
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\AVAST Software\Avast\AvastSvc.exe
    c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files (x86)\Bonjour\mDNSResponder.exe
    c:\windows\system32\DRIVERS\o2flash.exe
    c:\program files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
    c:\program files (x86)\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe
    c:\program files\TOSHIBA\HDMICtrlMan\HCMSoundChanger.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-10-31 16:58:37 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-10-31 15:58
    .
    Avant-CF: 185 958 817 792 octets libres
    Après-CF: 185 832 067 072 octets libres
    .
    - - End Of File - - 3027F51DF8F72F0C598F9EF0F33408C6
    0
  • 1
  • 2