Sujet Précédent Sujet Suivant

Virus récalcitrant...

Fermé
Vince65 - 28 oct. 2011 à 23:04
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 3 nov. 2011 à 08:14
Bonjour,

J'ai depuios deux jours un virus actif sur mon PC. Après avoir fait tourner différents anti-virus (dans un ordre un peu aléatoire...) ça va un peu mieux mais le virus se réactive dès que j'essaye d'accéder à une page web spécifique (Forum VeloVert).

J'aurai donc bien besoin d'un avis d'expert pour m'aider à m'en sortir.

D'avance Merci.

Pour commencer j'ai fait tourner ZHPDiag, voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijJ5Z9Ua1.txt

Je continue la procédure et poste les rapports suivants MalwareBytes Anti-Malware et Kaspersky.

A Bientôt.

Vincent


A voir également:

37 réponses

  • 1
  • 2
Réponse 1 / 37
VINCE65
28 oct. 2011 à 23:50
La suite, le rapport de Malwarebytes:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8037

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/10/2011 23:21:30
mbam-log-2011-10-28 (23-21-30).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 188035
Temps écoulé: 3 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 2 / 37
VINCE65
29 oct. 2011 à 08:44
Bonjour,

Voici le rapport de "trojan killer", mais toujours pas moyen de me débarrasser des mauvais éléments:

EP: 00
SEC:


----- C:\Program Files (x86)\ZHPDiag\catchme.exe ---- General
Backdoor.Win32.Rbot
MD5: F3A37421DBD1AAA36558C97572C91C5A:147456
EP: 60 BE 15 40 43 00 8D BE EB CF FC FF 57 83 CD FF EB 10 90 90 90 90 90 90 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 00 00 00 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 0B
SEC:
:E0000080:00000000000000000000000000000000:0
:E0000040:0E5752D795AC09A5E948F81C300AD7E5:145920
.rsrc:C0000040:A6E8753A260050B97629EE8C9D6FF12A:1024


----- C:\Program Files (x86)\ZHPDiag\mbrcheck.exe ---- General
W32/Heuristic-210!Eldorado!L
MD5: CB2D120A4B72422A8141192831B1F500:80384
EP: B8 10 FF 42 00 50 64 FF 35 00 00 00 00 64 89 25 00 00 00 00 33 C0 89 08 50 45 43 6F 6D 70 61 63 74 32 00 0E 8A 64 29 31 D5 6E C6 76 05 6C 03 C1 DB CD 76 5A 3A BA 24 01 EB A2 48 4C 43 17 F4 01 EC
SEC:
.text:E0000020:2D4319A457859B1051CB433FA04F4F47:74752
.rsrc:E0000020:89E40FEC384DEEE581960E46AD85984D:4096
.reloc:C0000040:6A1C23B85A2BF7C1E4FD47449D2F7135:512


----- C:\Program Files (x86)\ZHPDiag\pv.exe ---- General
PUA.IRC-Client.mIRC-37
MD5: 5DAF7081A4BB112FA3F1915819330A3E:61440
EP: 6A 18 68 E8 CC 40 00 E8 DE 30 00 00 BF 94 00 00 00 8B C7 E8 8A FD FF FF 89 65 E8 8B F4 89 3E 56 FF 15 B4 B0 40 00 8B 4E 10 89 0D A8 F0 40 00 8B 46 04 A3 B4 F0 40 00 8B 56 08 89 15 B8 F0 40 00 8B
SEC:
.text:60000020:FD8B005BAAA8FD407A16A86AE7BF6FD1:40960
.rdata:40000040:18574039C04ED538D215CD454905B623:12288
.data:C0000040:98D05DFCF4D6F6FE762B76135E560C73:4096


----- C:\Program Files (x86)\ZHPDiag\subinacl.exe ---- General
Trojan.Win32.Spy
ProdVer: 5.2.3790.1180
FileVer: 5.2.3790.1180
Name : Microsoft® Windows® Operating System
Company: Microsoft Corporation
NAC: 34DD9102B48A6D2A8091D468E3540CBE:57
MD5: 53CDBB093B0AEE9FD6CF1CBD25A95077:290304
EP: 6A 28 68 C8 B9 01 01 E8 21 04 00 00 66 81 3D 00 00 00 01 4D 5A 75 27 A1 3C 00 00 01 8D 80 00 00 00 01 81 38 50 45 00 00 75 14 0F B7 48 18 81 F9 0B 01 00 00 74 21 81 F9 0B 02 00 00 74 06 83 65 E4
SEC:
.text:60000020:B38131ECEB3847B38E6ACDA70581C625:281088
.data:C0000040:002EB47C94542BD15B02093E2ADAA7C9:4096
.rsrc:40000040:7D136C30F388A3086EF137D99F1636EE:4096


Scan completed!

Scan result: 9 detected items
Scan completed in: Scan completed in 10 minute(s) 10 sec.
Files were scanned: 12121
0
Réponse 3 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 oct. 2011 à 08:59
slt

trojan killer considère zhpdiag comme infectieux, ce qui n'est pas le cas, c'est donc ce que l'on appèlle un faux positif


tu a mis bandoo qui est néfaste utilise adwcleaner pour le supprimer et colle nous le rappour de suppression

en regardant ce lien
http://www.commentcamarche.net/faq/31908-desinstaller-la-barre-searchqu-bandoo-chercheus
0
Réponse 4 / 37
VINCE65
29 oct. 2011 à 23:37
Bonsoir,

Merci de ta réponse, voici le rapport de suppression:


# AdwCleaner v1.315 - Rapport créé le 29/10/2011 à 23:33:25
# Mis à jour le 27/10/11 à 14h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : Vincent - VINCENT_FLOCH (Droits Limités)
# Exécuté depuis : C:\Users\Vincent\Desktop\Nouveau dossier\adwcleaner0.exe
# Option [Suppression]


***** [KillNav] *****

# iexplore.exe [PID:4996] -> Tué

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1317 octets] - [29/10/2011 23:33:07]
AdwCleaner[S1].txt - [1335 octets] - [29/10/2011 23:33:25]

*************************

Dossier Temporaire : 1 dossier(s)et 3 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [1554 octets] ##########
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 oct. 2011 à 08:43
ok



colle le rapport avec nod 32 en ligne ici: antivirus en ligne


lance delfix pour supprimer ce qui a été utilisé


ensuite vérifie si trojan killer trouve encore des infections


a plus
0
Réponse 6 / 37
VINCE65
30 oct. 2011 à 11:24
Bonjour,

Voici le rapport de nod 32:

C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\Application Updater\ApplicationUpdater.exe.vir une variante probable de Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe.vir une variante de Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine
C:\Program Files (x86)\GridinSoft Trojan Killer\trojankiller.exe une variante de Win32/1AntiVirus application nettoyé par suppression - mis en quarantaine
C:\Users\Vincent\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\2b17ed1-560b8c3c Java/Exploit.Agent.NAO cheval de troie supprimé - mis en quarantaine
C:\Users\Vincent\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\3f4cc92a-6d140953 Java/Exploit.Agent.NAO cheval de troie supprimé - mis en quarantaine
C:\Windows\Installer\13e198.msi une variante de Win32/Adware.Toolbar.Dealio application supprimé - mis en quarantaine


Je continiue avec DELFIX & trojan killer
0
VINCE65
30 oct. 2011 à 12:14
Voici le rapport de trojan killer, il détecte toujours de pb:

GridinSoft Trojan Killer v.2.1.1.0
Report file date: 30/10/2011 11:39:05

Scanning for 429789 virus strains and unwanted programs.

Licensed: UNREGISTERED
Windows version: Windows 7 Home Premium (version 6.1)
Username: Vincent

Starting the file scan:

Run IE: c:\program files\internet explorer\iexplore.exe
Hijack.InternetExplorer - fixed
Startup collected
BHO plugins collected
Service collected
ActiveX collected
Files collected
Scanning process...
----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
fakeOptimizer.x.SystemRestore
MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
fakeOptimizer.x.SystemRestore
MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
Rogue.FakeAV.Win32h.SystemRestore
MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
fakeavx.systemrestore
MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
fakeavx.systemrestore
MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
EP: 00
SEC:


----- C:\Windows\System32\unacev2.dll ---- General
not-a-virus.AdWare.Win32.BadBar
ProdVer: 2.1.1.0
FileVer: 2.1.1.0
Name : UNACE - ACE extraction freeware component
Company: ACE Compression Software
NAC: 439F338E8640C27496B1CFA5D655E139:65
MD5: 7FE66F3BD9CBB998D56EF60D511FF06F:75264
EP: E9 F1 00 00 00 43 6F 70 79 72 69 67 68 74 20 62 79 20 41 43 45 20 43 6F 6D 70 72 65 73 73 69 6F 6E 20 53 6F 66 74 77 61 72 65 20 28 31 39 39 38 2D 32 30 30 30 29 2E 20 55 89 E5 83 7D 0C 01 0F 85
SEC:
AUTO:60000020:DE1325A3F181275443052A2E94BE75EE:59904
.idata:C0000040:E308640F7B7B520DF851D4DE20948717:3584
DGROUP:C0000040:E37892D8391173DD249A107A1AFD3C50:4096
.bss:C0000080:7FE66F3BD9CBB998D56EF60D511FF06F:75264
.edata:40000040:63829F8097F0F9DE3AD97FE2A1C57F2D:512
.reloc:42000040:541994EE83FF8FE75B94D78F352A4EB7:4608
.rsrc:40000040:4B0E33936F7E575759DF27050DFAA089:1536


Scan completed!

Scan result: 4 detected items
Scan completed in: Scan completed in 8 minute(s) 1 sec.
Files were scanned: 12153
0
Réponse 7 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 oct. 2011 à 18:51
supprime manuellement ce fichier en gras


C:\Windows\System32\unacev2.dll

----------

puis désactive ta restauration puis redemarre ton pc puis réactive là
et crées un nouveau point de restauration

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

-----------

ensuite refais trojan killer



a plus
0
Réponse 8 / 37
VINCE65
30 oct. 2011 à 20:30
Bonsoir,

Je ne trouve pas le fichier en question à l'adresse indiquée par Trojan Killer

Mais en effectuant une recherche sur tout le PC, je le trouve aux adresses suivantes:
C:\Windows\SysWOW64\unacev2.dll
&
C:\Program Files (x86)\WinRAR\Formats\unacev2.dll


Je supprime quand même? Je ne vourdrais pas faire de conneries...

Merci.

a+
0
Réponse 9 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 oct. 2011 à 21:56
non analyse les sur le site virus total ici

https://www.virustotal.com/gui/

et colle les rapports obtenus
0
Réponse 10 / 37
VINCE65
30 oct. 2011 à 22:37
Voici le rapport pour le fichier situé dans C:\Windows\SysWOW64\unacev2.dll:

AhnLab-V3 2011.10.30.00 2011.10.30 -
AntiVir 7.11.16.202 2011.10.30 -
Antiy-AVL 2.0.3.7 2011.10.30 -
Avast 6.0.1289.0 2011.10.30 -
AVG 10.0.0.1190 2011.10.30 -
BitDefender 7.2 2011.10.30 -
ByteHero 1.0.0.1 2011.09.23 -
CAT-QuickHeal 11.00 2011.10.29 -
ClamAV 0.97.3.0 2011.10.29 -
Commtouch 5.3.2.6 2011.10.30 -
Comodo 10608 2011.10.30 -
DrWeb 5.0.2.03300 2011.10.30 -
Emsisoft 5.1.0.11 2011.10.30 -
eSafe 7.0.17.0 2011.10.30 -
eTrust-Vet 36.1.8645 2011.10.28 -
F-Prot 4.6.5.141 2011.10.30 -
F-Secure 9.0.16440.0 2011.10.30 -
Fortinet 4.3.370.0 2011.10.30 -
GData 22 2011.10.30 -
Ikarus T3.1.1.107.0 2011.10.30 -
Jiangmin 13.0.900 2011.10.30 -
K7AntiVirus 9.116.5354 2011.10.29 -
Kaspersky 9.0.0.837 2011.10.30 -
McAfee 5.400.0.1158 2011.10.30 -
McAfee-GW-Edition 2010.1D 2011.10.30 -
Microsoft 1.7801 2011.10.30 -
NOD32 6588 2011.10.30 -
Norman 6.07.13 2011.10.30 -
nProtect 2011-10-30.01 2011.10.30 -
Panda 10.0.3.5 2011.10.30 -
PCTools 8.0.0.5 2011.10.30 -
Prevx 3.0 2011.10.30 -
Rising 23.81.04.01 2011.10.28 -
Sophos 4.70.0 2011.10.30 -
SUPERAntiSpyware 4.40.0.1006 2011.10.29 -
Symantec 20111.2.0.82 2011.10.30 -
TheHacker 6.7.0.1.336 2011.10.30 -
TrendMicro 9.500.0.1008 2011.10.30 -
TrendMicro-HouseCall 9.500.0.1008 2011.10.30 -
VBA32 3.12.16.4 2011.10.25 -
VIPRE 10915 2011.10.30 -
ViRobot 2011.10.29.4745 2011.10.30 -
VirusBuster 14.1.38.0 2011.10.30 -


Et le second rapport pour le fichier situé dans C:\Program Files (x86)\WinRAR\Formats\unacev2.dll
AhnLab-V3 2011.10.30.00 2011.10.30 -
AntiVir 7.11.16.202 2011.10.30 -
Antiy-AVL 2.0.3.7 2011.10.30 -
Avast 6.0.1289.0 2011.10.30 -
AVG 10.0.0.1190 2011.10.30 -
BitDefender 7.2 2011.10.30 -
ByteHero 1.0.0.1 2011.09.23 -
CAT-QuickHeal 11.00 2011.10.29 -
ClamAV 0.97.3.0 2011.10.29 -
Commtouch 5.3.2.6 2011.10.30 -
Comodo 10608 2011.10.30 -
DrWeb 5.0.2.03300 2011.10.30 -
Emsisoft 5.1.0.11 2011.10.30 -
eSafe 7.0.17.0 2011.10.30 -
eTrust-Vet 36.1.8645 2011.10.28 -
F-Prot 4.6.5.141 2011.10.30 -
F-Secure 9.0.16440.0 2011.10.30 -
Fortinet 4.3.370.0 2011.10.30 -
GData 22 2011.10.30 -
Ikarus T3.1.1.107.0 2011.10.30 -
Jiangmin 13.0.900 2011.10.30 -
K7AntiVirus 9.116.5354 2011.10.29 -
Kaspersky 9.0.0.837 2011.10.30 -
McAfee 5.400.0.1158 2011.10.30 -
McAfee-GW-Edition 2010.1D 2011.10.30 -
Microsoft 1.7801 2011.10.30 -
NOD32 6588 2011.10.30 -
Norman 6.07.13 2011.10.30 -
nProtect 2011-10-30.01 2011.10.30 -
Panda 10.0.3.5 2011.10.30 -
PCTools 8.0.0.5 2011.10.30 -
Prevx 3.0 2011.10.30 -
Rising 23.81.04.01 2011.10.28 -
Sophos 4.70.0 2011.10.30 -
SUPERAntiSpyware 4.40.0.1006 2011.10.29 -
Symantec 20111.2.0.82 2011.10.30 -
TheHacker 6.7.0.1.336 2011.10.30 -
TrendMicro 9.500.0.1008 2011.10.30 -
TrendMicro-HouseCall 9.500.0.1008 2011.10.30 -
VBA32 3.12.16.4 2011.10.25 -
VIPRE 10915 2011.10.30 -
ViRobot 2011.10.29.4745 2011.10.30 -
VirusBuster 14.1.38.0 2011.10.30 -
0
Réponse 11 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
31 oct. 2011 à 00:04
télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.




:processes
explorer.exe
:files
C:\Windows\System32\unacev2.dll
:commands
[purity]
[emptytemp]
[start explorer]



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

____________________

relance delfix et choisi l'option de suppression puis désinstalle le

____________________

----------

puis désactive ta restauration puis redemarre ton pc puis réactive là
et crées un nouveau point de restauration

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

-----------

ensuite refais trojan killer

vérifie ensuite que tout est ok
0
Réponse 12 / 37
VINCE65
31 oct. 2011 à 00:17
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
DllUnregisterServer procedure not found in C:\Windows\System32\unacev2.dll
C:\Windows\System32\unacev2.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41044 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Vincent
->Temp folder emptied: 3643 bytes
->Temporary Internet Files folder emptied: 83970700 bytes
->Java cache emptied: 953384 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 2875299 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 188145 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13270 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68044 bytes
RecycleBin emptied: 5884 bytes

Total Files Cleaned = 84,00 mb


OTM by OldTimer - Version 3.1.19.0 log created on 10312011_000858

Files moved on Reboot...
C:\Users\Vincent\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Vincent\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...
0
Réponse 13 / 37
VINCE65
31 oct. 2011 à 00:41
Voici le rapport de trojan killer:


GridinSoft Trojan Killer v.2.1.1.0
Report file date: 31/10/2011 00:27:52

Scanning for 430347 virus strains and unwanted programs.

Licensed: UNREGISTERED
Windows version: Windows 7 Home Premium (version 6.1)
Username: Vincent

Starting the file scan:

Run IE: c:\program files\internet explorer\iexplore.exe
Hijack.InternetExplorer - fixed
Startup collected
BHO plugins collected
Service collected
ActiveX collected
Files collected
Scanning process...
----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
fakeOptimizer.x.SystemRestore
MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
fakeOptimizer.x.SystemRestore
MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
Rogue.FakeAV.Win32h.SystemRestore
MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
fakeavx.systemrestore
MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
fakeavx.systemrestore
MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
EP: 00
SEC:


Scan completed!

Scan result: 3 detected items
Scan completed in: Scan completed in 10 minute(s) 39 sec.
Files were scanned: 12148

Il en reste toujours.... En tout cas merci beaucoup de ton aide.

a+
0
Réponse 14 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
31 oct. 2011 à 08:38
désactive ta restauration puis redemarre ton pc puis réactive là
et crées un nouveau point de restauration

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

-----------

ensuite refais trojan killer
0
Réponse 15 / 37
VINCE65
31 oct. 2011 à 09:20
Salut,

C'est toujours pareil, cf rapport ci-dessous.

J'ai désactivé la restauration, supprimer les points de restauration précédent, puis rédémarrer et fait tourner trojan killer (sans recréer de points de restauration) et le résultat et le même.

GridinSoft Trojan Killer v.2.1.1.0
Report file date: 31/10/2011 09:00:04

Scanning for 430347 virus strains and unwanted programs.

Licensed: UNREGISTERED
Windows version: Windows 7 Home Premium (version 6.1)
Username: Vincent

Starting the file scan:

Run IE: c:\program files\internet explorer\iexplore.exe
Hijack.InternetExplorer - fixed
Startup collected
BHO plugins collected
Service collected
ActiveX collected
Files collected
Scanning process...
----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
fakeOptimizer.x.SystemRestore
MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
fakeOptimizer.x.SystemRestore
MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
Rogue.FakeAV.Win32h.SystemRestore
MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\system restore.lnk ---- General
fakeavx.systemrestore
MD5: CC58F901CC2A8C1850BA34BC36F9D998:700
EP: 00
SEC:


----- C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\system restore\uninstall system restore.lnk ---- General
fakeavx.systemrestore
MD5: D4EDFE92CD03D695674E7C66BE0910E0:772
EP: 00
SEC:


Scan completed!

Scan result: 3 detected items
Scan completed in: Scan completed in 10 minute(s) 11 sec.
Files were scanned: 12148
0
Réponse 16 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 31/10/2011 à 13:52
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 17 / 37
VINCE65
31 oct. 2011 à 17:15
Salut,

Voici le rapport:

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\windows\system32\DRIVERS\o2flash.exe
c:\program files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
c:\program files (x86)\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe
c:\program files\TOSHIBA\HDMICtrlMan\HCMSoundChanger.exe
.
**************************************************************************
.
Heure de fin: 2011-10-31 16:58:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-31 15:58
.
Avant-CF: 185 958 817 792 octets libres
Après-CF: 185 832 067 072 octets libres
.
- - End Of File - - 3027F51DF8F72F0C598F9EF0F33408C6
0
VINCE65
31 oct. 2011 à 17:28
Je viens de refaire tourner trojan killer: il en reste encore, mais ça va mieux! Voici le rapport:

GridinSoft Trojan Killer v.2.1.1.0
Report file date: 31/10/2011 17:17:48

Scanning for 431000 virus strains and unwanted programs.

Licensed: UNREGISTERED
Windows version: Windows 7 Home Premium (version 6.1)
Username: Vincent

Starting the file scan:

Hijack.EnableLUA - fixed
Startup collected
BHO plugins collected
Service collected
ActiveX collected
Files collected
Scanning process...
----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
Rogue.FakeAV.Win32h.SystemRestore
MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
EP: 00
SEC:


Scan completed!

Scan result: 1 detected items
Scan completed in: Scan completed in 7 minute(s) 56 sec.
Files were scanned: 12148
0
Réponse 18 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
31 oct. 2011 à 17:32
il faudrait le rapport entier de combofix

puis

colle un rapport avec rogue killer option 2


puis

télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.




:processes
explorer.exe
:files
C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk :commands
[purity]
[emptytemp]
[start explorer]



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

____________________

A Plus
0
Réponse 19 / 37
adrien
31 oct. 2011 à 17:58
j'ai eu exactement le même souci avec les mêmes symtomes: à partir de l'accès à velovert, virus très méchant qui m'a tué le MBR et le registre sur 2 ordis différents, l'un est reparti comme en 14 grace à la restauration Vista, mais l'autre sous Xp a nécessité 2 jours de boulot et n'est toujours pas sécurisé à 100% , je sais pas ce que c'est que cette merde, mais elle est bien méchante
0
VINCE65
31 oct. 2011 à 18:41
Je ne te le fait pas dire!!

Ca fait presque une semaine que je galère... J'ai commencé par suivre les instructions d'un post de ce forum... sans le suivre jusqu'au bout parce que tout semblait être revenu comme avant.Mais il a suffit que j'essaye d'accéder à nouveau à vélovert et là..... tout c'est emballé, avast m'a bien signalé qu'il y avait un problème mais n'a pas pu le contenir!

Heureusement qu'il y a des forums comme celui-ci (que je découvre d'ailleurs), car pour un novice comme moi, se dépatouiller d'un pb comme celui là c'est mission impossible!
0
Réponse 20 / 37
VINCE65
31 oct. 2011 à 18:24
Voici le rapport complet de combofix, enfin je pense:

ComboFix 11-10-30.03 - Vincent 31/10/2011 16:43:46.1.2 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.4061.2721 [GMT 1:00]
Lancé depuis: c:\users\Vincent\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Restore
c:\users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Restore\System Restore.lnk
c:\users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Restore\Uninstall System Restore.lnk
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-28 au 2011-10-31 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-31 15:51 . 2011-10-31 15:51 69000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4B9BE15C-F1BB-4858-921A-10EF335CC48E}\offreg.dll
2011-10-31 15:49 . 2011-10-31 15:49 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-10-31 07:59 . 2011-10-31 08:22 -------- d-----w- c:\windows\89A072791DB3485AB1DF584DF86774B9.TMP
2011-10-30 08:06 . 2011-10-30 10:25 -------- d-----w- c:\program files (x86)\ESET
2011-10-30 07:26 . 2011-10-31 08:22 -------- d-----w- C:\sh4ldr
2011-10-30 07:26 . 2011-10-30 07:26 -------- d-----w- c:\program files\Enigma Software Group
2011-10-28 22:23 . 2011-10-28 22:23 -------- d-----w- c:\users\Vincent\AppData\Roaming\thecleaner
2011-10-28 22:22 . 2011-10-28 22:24 -------- d-----w- c:\program files (x86)\The Cleaner
2011-10-28 22:09 . 2006-06-19 11:01 69632 ----a-w- c:\windows\SysWow64\ztvcabinet.dll
2011-10-28 22:09 . 2006-05-25 13:52 162304 ----a-w- c:\windows\SysWow64\ztvunrar36.dll
2011-10-28 22:09 . 2005-08-25 23:50 77312 ----a-w- c:\windows\SysWow64\ztvunace26.dll
2011-10-28 22:09 . 2003-02-02 18:06 153088 ----a-w- c:\windows\SysWow64\UNRAR3.dll
2011-10-28 22:08 . 2011-10-28 22:09 -------- d-----w- c:\program files (x86)\Trojan Remover
2011-10-28 22:08 . 2011-10-28 22:08 -------- d-----w- c:\users\Vincent\AppData\Roaming\Simply Super Software
2011-10-28 22:08 . 2011-10-28 22:08 -------- d-----w- c:\programdata\Simply Super Software
2011-10-28 21:46 . 2011-10-31 08:37 -------- d-----w- c:\program files (x86)\GridinSoft Trojan Killer
2011-10-28 21:06 . 2011-10-28 21:06 -------- d-----w- c:\program files\CCleaner
2011-10-28 20:49 . 2011-10-28 20:50 -------- d-----w- C:\ZHP
2011-10-28 17:58 . 2011-10-07 04:16 8570192 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4B9BE15C-F1BB-4858-921A-10EF335CC48E}\mpengine.dll
2011-10-27 21:47 . 2009-06-30 08:37 33800 ----a-w- c:\windows\system32\drivers\pavboot64.sys
2011-10-27 21:47 . 2011-10-27 21:47 -------- d-----w- c:\program files (x86)\Panda Security
2011-10-27 21:41 . 2011-10-27 21:41 -------- d-----w- c:\users\Vincent\AppData\Roaming\vlc
2011-10-27 21:41 . 2011-10-27 21:41 -------- d-----w- c:\users\Vincent\AppData\Local\Ilivid Player
2011-10-27 20:55 . 2011-10-27 20:55 -------- d-----w- c:\users\Vincent\AppData\Local\PackageAware
2011-10-27 19:35 . 2011-08-31 15:00 25416 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-10-26 20:52 . 2011-10-26 20:52 -------- d-----w- c:\users\Vincent\AppData\Roaming\Malwarebytes
2011-10-26 20:52 . 2011-10-26 20:52 -------- d-----w- c:\programdata\Malwarebytes
2011-10-26 20:52 . 2011-10-27 19:35 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2011-10-25 18:47 . 2011-08-15 05:08 6144 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2011-10-25 18:47 . 2011-08-15 04:25 6144 ----a-w- c:\program files (x86)\Internet Explorer\iecompat.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-06 20:45 . 2011-03-25 06:03 41184 ----a-w- c:\windows\avastSS.scr
2011-09-06 20:45 . 2010-01-03 15:23 199304 ----a-w- c:\windows\SysWow64\aswBoot.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-08-12 6203296]
"tcactive"="c:\program files (x86)\The Cleaner\tcap.exe" [2011-09-13 4768848]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ToshibaServiceStation"="c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2009-08-17 1294136]
"TRCMan"="c:\program files (x86)\TOSHIBA\TRCMan\TRCMan.exe" [2009-07-21 701752]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"TkBellExe"="c:\program files (x86)\Common Files\Real\Update_OB\realsched.exe" [2010-05-11 202256]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-02-23 3451496]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"TrojanScanner"="c:\program files (x86)\Trojan Remover\Trjscan.exe" [2011-05-18 1233856]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-08-12 6203296]
.
c:\users\Vincent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-17 135664]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-17 135664]
R3 nmwcdx64;Nokia USB Phone Parent;c:\windows\system32\drivers\ccdcmbx64.sys [x]
R3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-08-17 51512]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot64.sys [x]
S0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\DRIVERS\thpdrv.sys [x]
S0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\DRIVERS\Thpevm.SYS [x]
S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS\tos_sps64.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe [2009-08-10 248688]
S2 ConfigFree Gadget Service;ConfigFree Gadget Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFProcSRVC.exe [2009-07-14 42368]
S2 ConfigFree Service;ConfigFree Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe [2009-08-25 116104]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2009-08-27 251760]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]
S3 hidshim;Service for HID-KMDF Shim layer;c:\windows\system32\DRIVERS\hidshim.sys [x]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [x]
S3 nuvotoncir;Nuvoton IR Transceiver;c:\windows\system32\DRIVERS\nuvotoncir.sys [x]
S3 nuvotonhidcir;Nuvoton HID CIR Receiver;c:\windows\system32\DRIVERS\nuvotonhidcir.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
S3 O2MDGRDR;O2MDGRDR;c:\windows\system32\DRIVERS\o2mdgx64.sys [x]
S3 O2SDGRDR;O2SDGRDR;c:\windows\system32\DRIVERS\o2sdgx64.sys [x]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [x]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [x]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-08-03 137560]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-08-04 826224]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-17 02:22]
.
2011-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-01-17 02:22]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04 134384 ------w- c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"Toshiba TEMPRO"="c:\program files (x86)\Toshiba TEMPRO\TemproTray.exe" [2009-08-25 1050000]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-23 16334368]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" [2009-07-20 503864]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2009-08-03 709976]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2009-09-10 134032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\SysWOW64\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.2.0/GarminAxControl.CAB
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://109.2.227.210:4000/activex/AMC.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-10 - (no file)
Wow6432Node-HKLM-Run-TUSBSleepChargeSrv - %ProgramFiles(x86)%\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS
Toolbar-10 - (no file)
HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe
HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
HKLM-Run-HSON - c:\program files (x86)\TOSHIBA\TBS\HSON.exe
HKLM-Run-00TCrdMain - c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-SmartFaceVWatcher - c:\program files (x86)\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
HKLM-Run-Teco - c:\program files (x86)\TOSHIBA\TECO\Teco.exe
HKLM-Run-HDMICtrlMan - c:\program files (x86)\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe
HKLM-Run-TosWaitSrv - c:\program files (x86)\TOSHIBA\TPHM\TosWaitSrv.exe
HKLM-Run-TosNC - c:\program files (x86)\Toshiba\BulletinBoard\TosNcCore.exe
HKLM-Run-TosReelTimeMonitor - c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
AddRemove-Ad-Remover - c:\program files (x86)\Ad-Remover\Uninstal.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10n.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\windows\system32\DRIVERS\o2flash.exe
c:\program files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
c:\program files (x86)\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe
c:\program files\TOSHIBA\HDMICtrlMan\HCMSoundChanger.exe
.
**************************************************************************
.
Heure de fin: 2011-10-31 16:58:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-31 15:58
.
Avant-CF: 185 958 817 792 octets libres
Après-CF: 185 832 067 072 octets libres
.
- - End Of File - - 3027F51DF8F72F0C598F9EF0F33408C6
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses