Bonjour, depuis quelques jours déjà mon ordinateur bug. Lors du démarrage ou même après, il est très lent lors des chargements d'icônes, la barre de démarrage est inaccessible et je reçois des alertes me disant que mon antivirus (F-Secure Pack Sécurité SFR) s'est désactivé puis il se réactive et rebelote. Et lorsque je veux aller sur internet le chargement de la page devient impossible dès lors que je reçois le premier message d'avertissement me disant que mon antivirus s'est désactivé. Et aussi parfois l'ordinateur se fige complètement et si je redémarre il bug toujours. L'antivirus détecte aucun virus mais je pense bien le contraire. Aussi, j'ai déjà essayé plusieurs tentative de récupération à une date antérieure (restauration système), et allumé en mode débogage etc... mais rien n'y fait. En mode sans échec, il fonctionne correctement, j'ai remarqué aucun bug. Si vous pouvez m'aidez car je manque d'inspiration et de connaissance pour régler ce problème. Merci d'avance! Configuration: Windows 7 / Safari 535.2

Ordinateur qui bloque quasi-totalement

Réponse 21 / 49

Utilisateur anonyme

je peux avoir le rapport comme demandé ?

Réponse 22 / 49

delikatesse9

Bonsoir, désolé du retard.
Quand je fais le scan, le rapport ne se génère pas je ne sais pas pourquoi. J'ai bien suivi vos manoeuvre. Je ré-essaye de suite peut-être que j'ai loupé quelque chose

Réponse 23 / 49

delikatesse9

J'ai retenté et il n'y a pas de rapport qui se génère. Au moment où il se termine, je reçois un message qui me dit qu'il n'y a rien de trouver etc...

Réponse 24 / 49

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

salut la personne qui t aidait a été bannie

fait moi un topo des soucis actuels

Réponse 25 / 49

delikatesse9

Bonjour juju666, en fait mon ordinateur lorsque je l'allume en mode normal, il commence déjà à buger l'antivirus se désactive puis se réactive. Si je lance un programme il ne se lance pas directement. Et la au bout de 2 minutes il bloque carrément. Avant je pouvais aller sur internet et dès que l'antivirus se désactivait et se ré-activait la connexion était impossible puis l'ordinateur était lent jusqu'à inutilisable.
Et aujourd'hui j'ai retenté de faire son scan avec Gmer (je suis en mode sans échec avec prise en charge réseau)
Et ça me donne ceci :

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-11-04 10:46:49
Windows 6.1.7601 Service Pack 1
Running: no7seuqn.exe

---- Files - GMER 1.0.15 ----

File C:\Program Files (x86)\SFR\Pack Sécurité\Anti-Virus\aquarius\tmp00005c8c 0 bytes
File C:\ProgramData\Microsoft\RAC\Temp\sql5179.tmp 20480 bytes
File C:\ProgramData\Microsoft\RAC\Temp\sql52B2.tmp 20480 bytes

---- EOF - GMER 1.0.15 ----

Réponse 26 / 49

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Salut ok on va tenter quelque chose

Désactive ton antivirus le temps de l'utilisation de l'outil car l'outil est détecté à tort comme infectieux

Télécharge ForceMove de Juju666

Exécute le.
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre:

C:\ProgramData\Microsoft\RAC\Temp\*.tmp

Ferme le fichier texte. Accepte la modification par Oui.

Une infobulle t'avertira que tout sera fermé. Accepte par Ok

Poste le contenu du rapport qui s'ouvrira à terme (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide

Réponse 27 / 49

delikatesse9

En mode sans échec j'ai pas accès à l'antivirus.
Je fais ça de suite !

Réponse 28 / 49

delikatesse9

Voici le rapport

########## ForceMove de Juju666
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666
Windows 7 Home Premium [7601.17640.amd64fre.win7sp1_gdr.110622-1506]
Démarrage à 11:31:07

##### Arrêt des processus
ArrÛtÚ : PID 1232 'explorer.exe'

##### Fichiers|Dossiers

Absent !!! : "C:\ProgramData\Microsoft\RAC\Temp\*.tmp "

########## Terminé avec succès à 11:31:38

########## ( EOF )

Réponse 29 / 49

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Mouarf ça fonctionne pas ;o)

'ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :

:Files
C:\ProgramData\Microsoft\RAC\Temp\*.tmp

:commands
[emptytemp]

▶ Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.

▶ Copie/colle la totalité du rapport dans ta prochaine réponse.

Réponse 30 / 49

delikatesse9

Je ne sais pas où trouver le rapport ?

Réponse 31 / 49

delikatesse9

Je ne sais pas si c'est le rapport rapport correspondant, je l'ai trouvé dans
_OTL puis MovedFiles

All processes killed
========== FILES ==========
File\Folder C:\ProgramData\Microsoft\RAC\Temp\*.tmp not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Fikret
->Temp folder emptied: 11113263 bytes
->Temporary Internet Files folder emptied: 1250363 bytes
->Java cache emptied: 1455161 bytes
->FireFox cache emptied: 33843247 bytes
->Google Chrome cache emptied: 196102790 bytes
->Flash cache emptied: 506 bytes

User: Invité
->Temp folder emptied: 344175373 bytes
->Temporary Internet Files folder emptied: 79230968 bytes
->Flash cache emptied: 41893 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 52130 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 636,00 mb

OTL by OldTimer - Version 3.2.31.0 log created on 11042011_114420

Réponse 32 / 49

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

ok ok ! on va lui faire sa fête autrement !!!

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.</gras>
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu

Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix

Réponse 33 / 49

delikatesse9

Lorsqu'il redémarre, je le laisse s'allumer en mode normal (ça risque de bugger). Ou je l'allume en mode sans échec ?

Réponse 34 / 49

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

en normal, on verra :>

Réponse 35 / 49

delikatesse9

Ils me disent que mon pack sécurité est activé ? Je n'arrive pas à le désactiver surtout qu'il n'est pas lancé et lorsque je veux l'ouvrir rien ne se passe. Je continue quand même ?

Réponse 36 / 49

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

oui.

Réponse 37 / 49

delikatesse9

Voilà le rapport :

ComboFix 11-11-04.02 - Fikret 04/11/2011 13:07:27.1.2 - x64 NETWORK
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4094.3029 [GMT 1:00]
Lancé depuis: c:\users\Fikret\Desktop\delikatesse9.exe
AV: Pack Sécurité SFR 9.12 *Enabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
FW: Pack Sécurité SFR 9.12 *Enabled* {2D7AC0A6-6241-D774-E168-461178D9686C}
SP: Pack Sécurité SFR 9.12 *Enabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\esupport\eDriver\Software\ASUS\MultiFrame\XP32_Vista32_Vista64_Win7_32_Win7_64_1.0.0021\Desktop_.ini
c:\programdata\FullRemove.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-10-04 au 2011-11-04 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-04 12:12 . 2011-11-04 12:12 -------- d-----w- c:\users\Invité\AppData\Local\temp
2011-11-04 12:12 . 2011-11-04 12:12 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-11-04 10:44 . 2011-11-04 10:44 -------- d-----w- C:\_OTL
2011-11-04 10:31 . 2011-11-04 10:31 -------- d-----w- C:\ForceMove
2011-11-02 13:21 . 2011-11-02 13:21 -------- d-----w- c:\program files\Defraggler
2011-11-01 14:09 . 2011-05-10 13:10 253888 ----a-w- c:\windows\system32\aswBoot.exe
2011-11-01 12:34 . 2011-11-01 15:33 -------- d-----w- c:\programdata\AVAST Software
2011-11-01 12:34 . 2011-11-01 12:34 -------- d-----w- c:\program files\AVAST Software
2011-10-29 19:24 . 2011-10-29 19:24 -------- d-----w- c:\program files (x86)\Common Files\Java
2011-10-29 19:21 . 2011-10-07 04:16 8570192 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{BDB51AEA-CEC8-499D-BA08-5657E0C671B7}\mpengine.dll
2011-10-29 13:28 . 2011-10-29 13:28 -------- d-----w- c:\users\Fikret\AppData\Local\Nokia
2011-10-29 13:28 . 2011-10-29 13:30 -------- d-----w- c:\programdata\PC Suite
2011-10-29 13:28 . 2011-10-29 13:30 -------- d-----w- c:\users\Fikret\AppData\Roaming\PC Suite
2011-10-29 13:26 . 2011-11-01 22:08 -------- d-----w- c:\program files (x86)\Common Files\Nokia
2011-10-29 13:25 . 2011-11-01 22:14 -------- d-----w- c:\program files (x86)\PC Connectivity Solution
2011-10-29 13:17 . 2011-11-01 22:14 -------- d-----w- c:\program files (x86)\Nokia
2011-10-29 13:17 . 2011-10-29 13:17 -------- d-----w- c:\programdata\NokiaInstallerCache
2011-10-24 18:45 . 2011-08-27 05:37 331776 ----a-w- c:\windows\system32\oleacc.dll
2011-10-24 18:45 . 2011-08-27 04:26 233472 ----a-w- c:\windows\SysWow64\oleacc.dll
2011-10-24 18:45 . 2011-08-27 04:26 571904 ----a-w- c:\windows\SysWow64\oleaut32.dll
2011-10-24 18:45 . 2011-08-27 05:37 861696 ----a-w- c:\windows\system32\oleaut32.dll
2011-10-24 18:19 . 2011-10-24 18:21 -------- d-----w- c:\users\Fikret\AppData\Local\Diagnostics
2011-10-24 17:11 . 2011-10-24 17:11 -------- d-----w- C:\CYDELogs
2011-10-24 17:10 . 2011-10-24 18:06 -------- d-----w- C:\CAT-Logs
2011-10-20 17:08 . 2011-10-24 18:29 -------- d-----w- c:\users\Fikret\AppData\Local\Solid State Networks
2011-10-15 09:07 . 2011-05-24 17:14 270720 ------w- c:\windows\system32\MpSigStub.exe
2011-10-14 10:21 . 2011-10-14 10:21 -------- d-----w- c:\windows\Sun
2011-10-13 22:00 . 2011-10-13 22:00 -------- d-----w- c:\users\Fikret\AppData\Roaming\Malwarebytes
2011-10-13 22:00 . 2011-10-13 22:00 -------- d-----w- c:\programdata\Malwarebytes
2011-10-13 22:00 . 2011-10-13 22:37 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2011-10-13 22:00 . 2011-08-31 15:00 25416 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-10-12 10:44 . 2011-09-06 03:03 3138048 ----a-w- c:\windows\system32\win32k.sys
2011-10-12 10:44 . 2011-08-17 05:26 613888 ----a-w- c:\windows\system32\psisdecd.dll
2011-10-12 10:44 . 2011-08-17 04:19 75776 ----a-w- c:\windows\SysWow64\psisrndr.ax
2011-10-12 10:44 . 2011-08-17 04:24 465408 ----a-w- c:\windows\SysWow64\psisdecd.dll
2011-10-12 10:44 . 2011-08-17 05:25 108032 ----a-w- c:\windows\system32\psisrndr.ax
2011-10-12 10:07 . 2011-10-12 10:08 -------- d-----w- c:\users\Fikret\AppData\Local\{6B16C045-CFBD-4AC8-A09F-E6DA24BDF410}
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-17 10:11 . 2011-05-17 15:02 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-10-03 03:06 . 2011-01-26 11:23 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll
2011-08-17 09:48 . 2010-11-17 23:08 42672 ----a-w- c:\windows\SysWow64\drivers\fsbts.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"UpdateLBPShortCut"="c:\program files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"UpdateP2GoShortCut"="c:\program files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-31 102400]
"ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-02-04 7350912]
"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-01-05 170624]
"HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
"F-Secure Manager"="c:\program files (x86)\SFR\Pack Sécurité\Common\FSM32.EXE" [2009-11-18 201128]
"F-Secure TNB"="c:\program files (x86)\SFR\Pack Sécurité\FSGUI\TNBUtil.exe" [2011-08-23 1655464]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
FancyStart daemon.lnk - c:\windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe [2010-7-26 12862]
SRS Premium Sound.lnk - c:\windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut5_21C7B668029A47458B27645FE6E4A715.exe [2010-7-26 156952]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files (x86)\SFR\Pack Sécurité\HIPS\drivers\fshs.sys [2009-11-18 59784]
R1 FSES;F-Secure Email Scanning Driver;c:\windows\system32\drivers\fses.sys [x]
R1 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [x]
R1 fsvista;F-Secure Vista Support Driver;c:\program files (x86)\SFR\Pack Sécurité\Anti-Virus\minifilter\fsvista.sys [2009-11-18 16768]
R2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [x]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
R2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-03 15416]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-26 135664]
R3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
R3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 dc3d;Pilote de détection des périphériques Microsoft Hardware;c:\windows\system32\DRIVERS\dc3d.sys [x]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files (x86)\SFR\Pack Sécurité\Anti-Virus\minifilter\fsgk.sys [2011-09-08 198808]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files (x86)\SFR\Pack Sécurité\ORSP Client\fsorsp.exe [2011-05-23 61088]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-26 135664]
R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2009-07-14 27136]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [x]
R3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\DRIVERS\s0017bus.sys [x]
R3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0017mdfl.sys [x]
R3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0017mdm.sys [x]
R3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0017mgmt.sys [x]
R3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\DRIVERS\s0017nd5.sys [x]
R3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0017obex.sys [x]
R3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\DRIVERS\s0017unic.sys [x]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2011-11-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-26 16:13]
.
2011-11-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-26 16:13]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
2009-11-26 05:49 70656 ----a-w- c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{64174815-8D98-4CE6-8646-4C039977D808}"
[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
2009-11-26 05:49 70656 ----a-w- c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS WebStorage"="c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2010-03-16 1754448]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-01-18 324608]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2010-07-21 2327952]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdcBase.exe" [2007-05-31 660360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://asus.msn.com
mLocal Page = c:\windows\system32\blank.htm
LSP: c:\program files (x86)\SFR\Pack Se9,curite9,\FSPS\program\FSLSP.DLL
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Fikret\AppData\Roaming\Mozilla\Firefox\Profiles\x9vj84kn.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: network.proxy.ftp - 194.254.215.11
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - 80.82.231.11
FF - prefs.js: network.proxy.gopher_port - 80
FF - prefs.js: network.proxy.http - 194.254.215.11
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 194.254.215.11
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 194.254.215.11
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 4
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Toolbar-Locked - (no file)
WebBrowser-{1C491116-C175-45E1-A570-6FB14FEA8B7B} - (no file)
WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
HKLM-Run-ETDWare - c:\program files (x86)\Elantech\ETDCtrl.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1688627392-321143970-175856784-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11c_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11c_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Windows CE Services]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-11-04 13:15:49
ComboFix-quarantined-files.txt 2011-11-04 12:15
.
Avant-CF: 47 613 505 536 octets libres
Après-CF: 47 389 421 568 octets libres
.
- - End Of File - - F3A18FFD90F3E3B56D20E42D1CCF5569

Réponse 38 / 49

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

envoie ce fichier sur virustotal.com :

c:\windows\system32\DRIVERS\point64.sys

Réponse 39 / 49

delikatesse9

Quand je veux l'envoyer dans la fenêtre qui s'ouvre il n'apparaît pas pourtant quand je met "choisir un fichier", "tous les fichiers" sont sélectionnés !

Réponse 40 / 49

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!

▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

SkipFix::

Suspect::
c:\windows\system32\DRIVERS\point64.sys

▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

cela va créer une archive zip, transmet la moi.

Ordinateur qui bloque quasi-totalement

49 réponses

Votre réponse

Newsletters