A l'aide!!toujours infecté par toolkillproc.3
sebastien070375
Messages postés
58
Statut
Membre
-
sebastien070375 Messages postés 58 Statut Membre -
sebastien070375 Messages postés 58 Statut Membre -
Bonjour,
Je n'ai toujours aucune proposition concrête pour virer ce virus.
J'ai un PC portable sous windows vista edition familiale premium et je suis infecté par Toolkillproc.3
Je ne peut plus accéder à mon bureau, ni en mode sans échec, infecté lui aussi.
Je ne sais plus quoi faire!!!
merci
Je n'ai toujours aucune proposition concrête pour virer ce virus.
J'ai un PC portable sous windows vista edition familiale premium et je suis infecté par Toolkillproc.3
Je ne peut plus accéder à mon bureau, ni en mode sans échec, infecté lui aussi.
Je ne sais plus quoi faire!!!
merci
A voir également:
- A l'aide!!toujours infecté par toolkillproc.3
- Ai suite 3 - Télécharger - Optimisation
- Picasa 3 - Télécharger - Albums photo
- Photorecit 3 - Télécharger - Visionnage & Diaporama
- +33 3 - Forum Mobile
- Samsung kies galaxy tab 3 ✓ - Forum Mobile
96 réponses
Salut,
J'ai fait comme tu m'as dit et tout vérifié au niveau des lignes recopiées.
voici le rapport:
Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-18-12-2011-15-17-30.txt
Run by Admin Parents at 18/12/2011 15:17:30
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Logiciel(s) ==========
SUPPRIME pdfforge Toolbar v1.1.1
ABSENT Uninstall Process: c:\progra~1\condui~1\conduitengineuninstall.exe
ABSENT Uninstall Process: c:\windows\freecorder\uninstall.exe
SUPPRIME Freecorder Toolbar
========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}]
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Freecorder4.1]
SUPPRIME Key: HKCU\Software\AppDataLow\Software\PriceGong
SUPPRIME Key: HKCU\Software\AppDataLow\Software\pdfforge
SUPPRIME Key: HKLM\Software\Search Settings
SUPPRIME Key: HKLM\Software\pdfforge
SUPPRIME CLSID MPSK: {e6fdf105-db4b-11df-a243-001e3390c9f4}
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\lowregistry\search settings
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4ef8be6a-899c-4196-94e7-297c5f7a203e}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
ABSENT Key: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\a6eb8fe4c9986914497e92c7f5a702e3
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\a6eb8fe4c9986914497e92c7f5a702e3
ABSENT Key: CLSID BHO: {1392b8d2-5c05-419f-a8f6-b9f15a596612}
ABSENT Key: CLSID BHO: {30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKCU\Software\AppDataLow\Software\Conduit
ABSENT Key: HKCU\Software\AppDataLow\Software\Freecorder
ABSENT Key: HKCU\Software\AppDataLow\Software\conduitEngine
ABSENT Key: HKCU\Software\AppDataLow\Toolbar
SUPPRIME Key: HKCU\Software\Ask&Record
ABSENT Key: HKLM\Software\Freecorder
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
SUPPRIME Key: HKLM\Software\Classes\Conduit.Engine
SUPPRIME Key: HKLM\Software\Classes\Toolbar.CT1060933
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
ABSENT Key: HKLM\Software\Classes\CLSID\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\a6eb8fe4c9986914497e92c7f5a702e3
ABSENT Key: HKCU\Software\Ask&Record
ABSENT Key: HKLM\Software\conduitEngine
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D}
ABSENT URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612}
ABSENT Toolbar: {1392b8d2-5c05-419f-a8f6-b9f15a596612}
ABSENT Toolbar: {30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0
========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\pdfforge Toolbar
SUPPRIME Folder: c:\program files\mozilla firefox\extensions\search@searchsettings.com
SUPPRIME Folder: C:\Program Files\Conduit
SUPPRIME Folder: C:\Program Files\ConduitEngine
ABSENT C:\Program Files\Freecorder
========== Fichier(s) ==========
ABSENT File: c:\program files\pdfforge toolbar\searchsettings.dll
ABSENT Folder/File: c:\program files\pdfforge toolbar
ABSENT File: c:\program files\freecorder\tbfree.dll
SUPPRIME File: c:\program files\conduitengine\conduitengine.dll
ABSENT File: c:\program files\conduitengine\conduitengine.dll
ABSENT Folder/File: c:\program files\conduit
ABSENT Folder/File: c:\program files\conduitengine
ABSENT Folder/File: c:\program files\freecorder
========== Récapitulatif ==========
39 : Clé(s) du Registre
6 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Dossier(s)
8 : Fichier(s)
4 : Logiciel(s)
End of clean in 00mn 49s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 18/12/2011 15:17:30 [5386]
J'ai fait comme tu m'as dit et tout vérifié au niveau des lignes recopiées.
voici le rapport:
Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-18-12-2011-15-17-30.txt
Run by Admin Parents at 18/12/2011 15:17:30
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Logiciel(s) ==========
SUPPRIME pdfforge Toolbar v1.1.1
ABSENT Uninstall Process: c:\progra~1\condui~1\conduitengineuninstall.exe
ABSENT Uninstall Process: c:\windows\freecorder\uninstall.exe
SUPPRIME Freecorder Toolbar
========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}]
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Freecorder4.1]
SUPPRIME Key: HKCU\Software\AppDataLow\Software\PriceGong
SUPPRIME Key: HKCU\Software\AppDataLow\Software\pdfforge
SUPPRIME Key: HKLM\Software\Search Settings
SUPPRIME Key: HKLM\Software\pdfforge
SUPPRIME CLSID MPSK: {e6fdf105-db4b-11df-a243-001e3390c9f4}
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\lowregistry\search settings
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4ef8be6a-899c-4196-94e7-297c5f7a203e}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
ABSENT Key: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\a6eb8fe4c9986914497e92c7f5a702e3
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\a6eb8fe4c9986914497e92c7f5a702e3
ABSENT Key: CLSID BHO: {1392b8d2-5c05-419f-a8f6-b9f15a596612}
ABSENT Key: CLSID BHO: {30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKCU\Software\AppDataLow\Software\Conduit
ABSENT Key: HKCU\Software\AppDataLow\Software\Freecorder
ABSENT Key: HKCU\Software\AppDataLow\Software\conduitEngine
ABSENT Key: HKCU\Software\AppDataLow\Toolbar
SUPPRIME Key: HKCU\Software\Ask&Record
ABSENT Key: HKLM\Software\Freecorder
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
SUPPRIME Key: HKLM\Software\Classes\Conduit.Engine
SUPPRIME Key: HKLM\Software\Classes\Toolbar.CT1060933
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
ABSENT Key: HKLM\Software\Classes\CLSID\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\a6eb8fe4c9986914497e92c7f5a702e3
ABSENT Key: HKCU\Software\Ask&Record
ABSENT Key: HKLM\Software\conduitEngine
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D}
ABSENT URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612}
ABSENT Toolbar: {1392b8d2-5c05-419f-a8f6-b9f15a596612}
ABSENT Toolbar: {30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0
========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\pdfforge Toolbar
SUPPRIME Folder: c:\program files\mozilla firefox\extensions\search@searchsettings.com
SUPPRIME Folder: C:\Program Files\Conduit
SUPPRIME Folder: C:\Program Files\ConduitEngine
ABSENT C:\Program Files\Freecorder
========== Fichier(s) ==========
ABSENT File: c:\program files\pdfforge toolbar\searchsettings.dll
ABSENT Folder/File: c:\program files\pdfforge toolbar
ABSENT File: c:\program files\freecorder\tbfree.dll
SUPPRIME File: c:\program files\conduitengine\conduitengine.dll
ABSENT File: c:\program files\conduitengine\conduitengine.dll
ABSENT Folder/File: c:\program files\conduit
ABSENT Folder/File: c:\program files\conduitengine
ABSENT Folder/File: c:\program files\freecorder
========== Récapitulatif ==========
39 : Clé(s) du Registre
6 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Dossier(s)
8 : Fichier(s)
4 : Logiciel(s)
End of clean in 00mn 49s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 18/12/2011 15:17:30 [5386]
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lorsque je vais voir le rapport sur le site et que je clique sur desinfection voici ce qui apparait en rouge :Détection Heuristique => O51 - MPSK:{4cc6180a-35b2-11e0-a6c5-001e3390c9f4}\AutoRun\command. (...) -- C:\Windows\system32\D:\NoLimit.exe (.not file.)
si ça peut t'aider à résoudre mon problème !!
merci
si ça peut t'aider à résoudre mon problème !!
merci
Bonjour,
relance ZHPFix avec ces lignes
====
Que se passe-t-il si tu essayes de redémarrer en mode normal ?
===
Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_CURRENT_USER\Software\uew83jecdiqn
Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).
Ferme le registre et ouvre l'explorateur Windows.
Clique droit sur le fichier et choisis Modifier.
Le bloc-notes s'ouvre avec le contenu de la clé.
Copie le dans ta réponse.
relance ZHPFix avec ces lignes
[HKLM\Software\SOFTWARE]
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load]
O44 - LFC:[MD5.0639A16106D769FC47B35727DF6AB1EE] - 13/12/2011 - 22:42:03 ---A- . (...) -- C:\Windows\system32\tmp.reg [3222]
O51 - MPSK:{4cc6180a-35b2-11e0-a6c5-001e3390c9f4}\AutoRun\command. (...) -- C:\Windows\system32\D:\NoLimit.exe (.not file.)
[HKCU\Software\AppDataLow\Software\toolbar]
====
Que se passe-t-il si tu essayes de redémarrer en mode normal ?
===
Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_CURRENT_USER\Software\uew83jecdiqn
Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).
Ferme le registre et ouvre l'explorateur Windows.
Clique droit sur le fichier et choisis Modifier.
Le bloc-notes s'ouvre avec le contenu de la clé.
Copie le dans ta réponse.
Salut,
J'ai ouvert ZHPfix en tant qu'administrateur, j'ai collé les lignes que tu m'as donné puis nettoyé; le résultats est le même en mode normal : je ne peux pas accéder au bureau ("bienvenue") avant d'entrer sur le bureau tourne... mais ya rien.
Tu me demandes d'accéder au registre. Comme je te l'ai dit, je ne suis pas du tout expert en informatique; peux tu détailler la façon de procéder??
Merci encore pour ton aide!!
J'ai ouvert ZHPfix en tant qu'administrateur, j'ai collé les lignes que tu m'as donné puis nettoyé; le résultats est le même en mode normal : je ne peux pas accéder au bureau ("bienvenue") avant d'entrer sur le bureau tourne... mais ya rien.
Tu me demandes d'accéder au registre. Comme je te l'ai dit, je ne suis pas du tout expert en informatique; peux tu détailler la façon de procéder??
Merci encore pour ton aide!!
Re,
le rapport de ZHPFix ?
===
Pour ouvrir le registre :
démarrer, tous les programmes, accessoires, Exécuter
tu tapes regedit dans la zone de saisie puis OK.
Après, tu utilises les + et les - pour te déplacer (comme pour l'Explorateur).
===
En mode normal, Ctrl Alt Suppr ouvre le Gestionnaire des tâches ?
Si oui, fais Fichier, Nouvelle tâche et tape explorer.exe.
Il se passe quoi ?
le rapport de ZHPFix ?
===
Pour ouvrir le registre :
démarrer, tous les programmes, accessoires, Exécuter
tu tapes regedit dans la zone de saisie puis OK.
Après, tu utilises les + et les - pour te déplacer (comme pour l'Explorateur).
===
En mode normal, Ctrl Alt Suppr ouvre le Gestionnaire des tâches ?
Si oui, fais Fichier, Nouvelle tâche et tape explorer.exe.
Il se passe quoi ?
Excuse!! voici le rapport avec ZHPFix après nettoyage avec les lignes que tu m'as donné:
Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre :
Run by Admin Parents at 19/12/2011 15:04:19
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\SOFTWARE
ABSENT Key: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
ABSENT CLSID MPSK: {4cc6180a-35b2-11e0-a6c5-001e3390c9f4}
ABSENT Key: HKCU\Software\AppDataLow\Software\toolbar
========== Fichier(s) ==========
ABSENT File: c:\windows\system32\tmp.reg
========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Fichier(s)
End of clean in 00mn 00s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 18/12/2011 15:17:30 [5438]
C:\ZHP\ZHPFix[R2].txt - 19/12/2011 14:10:23 [911]
C:\ZHP\ZHPFix[R3].txt - 19/12/2011 15:04:19 [901]
Je fais la suite !!
Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre :
Run by Admin Parents at 19/12/2011 15:04:19
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\SOFTWARE
ABSENT Key: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
ABSENT CLSID MPSK: {4cc6180a-35b2-11e0-a6c5-001e3390c9f4}
ABSENT Key: HKCU\Software\AppDataLow\Software\toolbar
========== Fichier(s) ==========
ABSENT File: c:\windows\system32\tmp.reg
========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Fichier(s)
End of clean in 00mn 00s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 18/12/2011 15:17:30 [5438]
C:\ZHP\ZHPFix[R2].txt - 19/12/2011 14:10:23 [911]
C:\ZHP\ZHPFix[R3].txt - 19/12/2011 15:04:19 [901]
Je fais la suite !!
Voilà ce qui se passe avec le registre et explorateur windows:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\uew83jecdiqn]
"knkd"=dword:00000001
"id"="49.22"
"ready"=dword:00000001
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\uew83jecdiqn]
"knkd"=dword:00000001
"id"="49.22"
"ready"=dword:00000001
Re,
OK
En mode normal, Ctrl Alt Suppr ouvre le Gestionnaire des tâches ?
Si oui, fais Fichier, Nouvelle tâche et tape explorer.exe.
Il se passe quoi ?
OK
En mode normal, Ctrl Alt Suppr ouvre le Gestionnaire des tâches ?
Si oui, fais Fichier, Nouvelle tâche et tape explorer.exe.
Il se passe quoi ?
Impossible d'accéder au mode normal
j'arrive sur la page ou je dois choisir la session; j'ai beau cliquer rien ne se passe j'ai essayer de faire ctrl alt sup rien ne se passe...
Il est plutôt virulent ce virus!!!
j'arrive sur la page ou je dois choisir la session; j'ai beau cliquer rien ne se passe j'ai essayer de faire ctrl alt sup rien ne se passe...
Il est plutôt virulent ce virus!!!
Re,
relance RogueKiller avec l'option 4 et poste le rapport.
Essaye de nouveau de démarrer en mode normal.
relance RogueKiller avec l'option 4 et poste le rapport.
Essaye de nouveau de démarrer en mode normal.
voici le rapport avec roguekiller option 4:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Admin Parents [Droits d'admin]
Mode: Proxy RAZ -- Date : 19/12/2011 17:34:10
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (172.16.0.1:3128) -> DELETED
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Admin Parents [Droits d'admin]
Mode: Proxy RAZ -- Date : 19/12/2011 17:34:10
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (172.16.0.1:3128) -> DELETED
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
jai fait ce que tu mas dit mais je ne peux plus acceder a internet il me dit que iexplore a ete supprime je ne peux pas tenvoyer le rapport
salut
je peux me reconnecter sur internet (j'ai redémarré tjs en mode sans echec)
voici le rapport de combofix:
ComboFix 11-12-19.01 - Admin Parents 19/12/2011 18:55:48.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1915.1252 [GMT 1:00]
Lancé depuis: c:\utilisateurs\Admin Parents\Downloads\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-11-19 au 2011-12-19 ))))))))))))))))))))))))))))))))))))
.
.
2011-12-19 17:58 . 2011-12-19 17:58 -------- d-----w- c:\utilisateurs\Admin Parents\AppData\Local\temp
2011-12-19 17:58 . 2011-12-19 17:58 -------- d-----w- c:\utilisateurs\Collégien\AppData\Local\temp
2011-12-19 17:58 . 2011-12-19 17:58 -------- d-----w- c:\utilisateurs\Administrateur\AppData\Local\temp
2011-12-19 17:26 . 2011-12-19 17:26 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD0C0914-4CDD-4980-8106-4B1EF3AE1514}\offreg.dll
2011-12-18 15:35 . 2011-12-18 15:35 -------- d-----w- c:\program files\Trend Micro
2011-12-18 15:15 . 2011-12-18 15:15 -------- d-----w- C:\found.001
2011-12-18 14:34 . 2011-12-18 14:34 -------- d-----w- c:\programdata\IObit
2011-12-18 14:34 . 2011-12-18 14:34 -------- d-----w- c:\program files\IObit
2011-12-14 21:01 . 2011-12-19 14:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-12-14 20:59 . 2011-12-19 14:54 -------- d-----w- C:\ZHP
2011-12-14 20:59 . 2011-12-19 14:56 -------- d-----w- c:\program files\ZHPDiag
2011-12-14 20:02 . 2011-12-19 16:34 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-12-13 20:17 . 2011-12-13 20:17 -------- d-----w- C:\found.000
2011-12-07 15:05 . 2011-12-07 15:33 -------- d-----w- c:\utilisateurs\Admin Parents\DoctorWeb
2011-12-06 08:43 . 2011-11-21 10:47 6823496 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD0C0914-4CDD-4980-8106-4B1EF3AE1514}\mpengine.dll
2011-11-30 09:32 . 2011-11-30 09:43 -------- d-----w- C:\PRONOTE Réseau 2011
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-13 21:36 . 2010-11-08 10:37 691 ----a-w- c:\utilisateurs\Admin Parents\AppData\Roaming\GetValue.vbs
2011-12-13 21:36 . 2010-11-08 10:37 35 ----a-w- c:\utilisateurs\Admin Parents\AppData\Roaming\SetValue.bat
2011-11-28 18:01 . 2010-11-04 08:45 41184 ----a-w- c:\windows\avastSS.scr
2011-11-28 18:01 . 2010-11-04 08:45 199816 ----a-w- c:\windows\system32\aswBoot.exe
2011-11-28 17:53 . 2011-05-10 15:57 435032 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-11-28 17:53 . 2010-11-04 08:45 314456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-11-28 17:52 . 2010-11-04 08:45 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-11-28 17:52 . 2010-11-04 08:45 52952 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-11-28 17:52 . 2010-11-04 08:45 55128 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-11-28 17:51 . 2010-11-04 08:45 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-11-08 15:15 . 2011-11-08 15:15 0 ----a-w- c:\utilisateurs\Admin Parents\AppData\Local\BIT965D.tmp
2011-10-18 01:43 . 2011-10-18 01:43 181432 ----a-w- c:\windows\system32\drivers\ssudserd.sys
2011-10-18 01:43 . 2011-10-18 01:43 78136 ----a-w- c:\windows\system32\drivers\ssudbus.sys
2011-10-18 01:43 . 2011-10-18 01:43 181432 ----a-w- c:\windows\system32\drivers\ssudmdm.sys
2011-10-03 04:06 . 2010-08-31 13:24 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-09-23 13:20 . 2011-09-23 13:20 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-09-23 11:46 . 2011-05-31 08:51 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-20 21:02 . 2011-11-09 09:09 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-11-28 18:01 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-04-24 430080]
"orangeinside"="c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\one\OrangeInside.exe" [2011-01-26 858624]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1348904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-25 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-25 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-25 145944]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-05-09 716800]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"Freecorder FLV Service"="c:\program files\Freecorder\FLVSrvc.exe" [BU]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [BU]
.
c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [N/A]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Redémarrer les cartes Flash.lnk - c:\program files\TOSHIBA\FlashCards\TfcRst.exe [2007-5-18 108664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-09-07 22:58 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2008-04-29 09:33 417792 ----a-w- c:\program files\Camera Assistant Software for Toshiba\traybar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hyperappel de l'Encyclopédie Universelle Larousse]
c:\program files\Larousse\Encyclopédie Universelle Larousse 2009\bin\Hyperappel.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
2008-06-24 09:06 509816 ----a-w- c:\program files\TOSHIBA\SmoothView\SmoothView.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPwrMain]
2008-01-17 15:27 431456 ----a-w- c:\program files\TOSHIBA\Power Saver\TPwrMain.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3125935643-4172350627-2469547718-1003]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3125935643-4172350627-2469547718-1005]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3125935643-4172350627-2469547718-500]
"EnableNotificationsRef"=dword:00000001
.
R0 vxuefsi;vxuefsi;c:\windows\System32\drivers\onbcqu.sys [x]
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-11-28 55128]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 136176]
R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2008-01-21 21504]
R2 msav;Moon Secure Antivirus Core;c:\program files\Moon Secure Antivirus\msavcore.exe [x]
R2 Orange update Core Service;Orange update Core Service;c:\program files\Orange\OrangeUpdate\Service\OUCore.exe [2011-05-20 1055872]
R2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [2008-02-06 126976]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2011-10-18 78136]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 136176]
R3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2011-10-18 181432]
R3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudserd.sys [2011-10-18 181432]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\system32\DRIVERS\rtlprot.sys [2007-04-23 25896]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-19 7168]
S3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\system32\DRIVERS\RTL8187B.sys [2007-12-26 290304]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HsfXAudioService REG_MULTI_SZ HsfXAudioService
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'
.
2011-12-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 11:45]
.
2011-12-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 11:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://r.orange.fr/r/Ohome_portail?ref=O_OI_defaultPage
IE: ajouter cette page à vos favoris Orange - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
IE: envoyer le texte sélectionné par sms - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
IE: envoyer par sms - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
IE: envoyer un mail - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
IE: orange.fr - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
IE: rechercher le texte sélectionné - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
IE: traduire la page - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\translate_html\translate.html
IE: traduire le texte sélectionné - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\translateSelectedText_html\translateSelectedText.html
Trusted Zone: orange.fr\logicielsgratuits
TCP: DhcpNameServer = 192.168.1.1
DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} - hxxp://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
WebBrowser-{1392B8D2-5C05-419F-A8F6-B9F15A596612} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-19 18:58
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i????????@????P?a?x?a???a???a??
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-12-19 19:00:15
ComboFix-quarantined-files.txt 2011-12-19 18:00
.
Avant-CF: 11 379 732 480 octets libres
Après-CF: 11 225 358 336 octets libres
.
- - End Of File - - 85CB628199CD521344EE14E4C40C6277
je peux me reconnecter sur internet (j'ai redémarré tjs en mode sans echec)
voici le rapport de combofix:
ComboFix 11-12-19.01 - Admin Parents 19/12/2011 18:55:48.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.1915.1252 [GMT 1:00]
Lancé depuis: c:\utilisateurs\Admin Parents\Downloads\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-11-19 au 2011-12-19 ))))))))))))))))))))))))))))))))))))
.
.
2011-12-19 17:58 . 2011-12-19 17:58 -------- d-----w- c:\utilisateurs\Admin Parents\AppData\Local\temp
2011-12-19 17:58 . 2011-12-19 17:58 -------- d-----w- c:\utilisateurs\Collégien\AppData\Local\temp
2011-12-19 17:58 . 2011-12-19 17:58 -------- d-----w- c:\utilisateurs\Administrateur\AppData\Local\temp
2011-12-19 17:26 . 2011-12-19 17:26 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD0C0914-4CDD-4980-8106-4B1EF3AE1514}\offreg.dll
2011-12-18 15:35 . 2011-12-18 15:35 -------- d-----w- c:\program files\Trend Micro
2011-12-18 15:15 . 2011-12-18 15:15 -------- d-----w- C:\found.001
2011-12-18 14:34 . 2011-12-18 14:34 -------- d-----w- c:\programdata\IObit
2011-12-18 14:34 . 2011-12-18 14:34 -------- d-----w- c:\program files\IObit
2011-12-14 21:01 . 2011-12-19 14:56 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-12-14 20:59 . 2011-12-19 14:54 -------- d-----w- C:\ZHP
2011-12-14 20:59 . 2011-12-19 14:56 -------- d-----w- c:\program files\ZHPDiag
2011-12-14 20:02 . 2011-12-19 16:34 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-12-13 20:17 . 2011-12-13 20:17 -------- d-----w- C:\found.000
2011-12-07 15:05 . 2011-12-07 15:33 -------- d-----w- c:\utilisateurs\Admin Parents\DoctorWeb
2011-12-06 08:43 . 2011-11-21 10:47 6823496 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD0C0914-4CDD-4980-8106-4B1EF3AE1514}\mpengine.dll
2011-11-30 09:32 . 2011-11-30 09:43 -------- d-----w- C:\PRONOTE Réseau 2011
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-13 21:36 . 2010-11-08 10:37 691 ----a-w- c:\utilisateurs\Admin Parents\AppData\Roaming\GetValue.vbs
2011-12-13 21:36 . 2010-11-08 10:37 35 ----a-w- c:\utilisateurs\Admin Parents\AppData\Roaming\SetValue.bat
2011-11-28 18:01 . 2010-11-04 08:45 41184 ----a-w- c:\windows\avastSS.scr
2011-11-28 18:01 . 2010-11-04 08:45 199816 ----a-w- c:\windows\system32\aswBoot.exe
2011-11-28 17:53 . 2011-05-10 15:57 435032 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-11-28 17:53 . 2010-11-04 08:45 314456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-11-28 17:52 . 2010-11-04 08:45 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-11-28 17:52 . 2010-11-04 08:45 52952 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-11-28 17:52 . 2010-11-04 08:45 55128 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-11-28 17:51 . 2010-11-04 08:45 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-11-08 15:15 . 2011-11-08 15:15 0 ----a-w- c:\utilisateurs\Admin Parents\AppData\Local\BIT965D.tmp
2011-10-18 01:43 . 2011-10-18 01:43 181432 ----a-w- c:\windows\system32\drivers\ssudserd.sys
2011-10-18 01:43 . 2011-10-18 01:43 78136 ----a-w- c:\windows\system32\drivers\ssudbus.sys
2011-10-18 01:43 . 2011-10-18 01:43 181432 ----a-w- c:\windows\system32\drivers\ssudmdm.sys
2011-10-03 04:06 . 2010-08-31 13:24 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-09-23 13:20 . 2011-09-23 13:20 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-09-23 11:46 . 2011-05-31 08:51 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-20 21:02 . 2011-11-09 09:09 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-11-28 18:01 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-04-24 430080]
"orangeinside"="c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\one\OrangeInside.exe" [2011-01-26 858624]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1348904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-25 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-25 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-25 145944]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-05-09 716800]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"Freecorder FLV Service"="c:\program files\Freecorder\FLVSrvc.exe" [BU]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [BU]
.
c:\utilisateurs\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [N/A]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Redémarrer les cartes Flash.lnk - c:\program files\TOSHIBA\FlashCards\TfcRst.exe [2007-5-18 108664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-09-07 22:58 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2008-04-29 09:33 417792 ----a-w- c:\program files\Camera Assistant Software for Toshiba\traybar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hyperappel de l'Encyclopédie Universelle Larousse]
c:\program files\Larousse\Encyclopédie Universelle Larousse 2009\bin\Hyperappel.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
2008-06-24 09:06 509816 ----a-w- c:\program files\TOSHIBA\SmoothView\SmoothView.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPwrMain]
2008-01-17 15:27 431456 ----a-w- c:\program files\TOSHIBA\Power Saver\TPwrMain.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3125935643-4172350627-2469547718-1003]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3125935643-4172350627-2469547718-1005]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3125935643-4172350627-2469547718-500]
"EnableNotificationsRef"=dword:00000001
.
R0 vxuefsi;vxuefsi;c:\windows\System32\drivers\onbcqu.sys [x]
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-11-28 55128]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 136176]
R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2008-01-21 21504]
R2 msav;Moon Secure Antivirus Core;c:\program files\Moon Secure Antivirus\msavcore.exe [x]
R2 Orange update Core Service;Orange update Core Service;c:\program files\Orange\OrangeUpdate\Service\OUCore.exe [2011-05-20 1055872]
R2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [2008-02-06 126976]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2011-10-18 78136]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 136176]
R3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2011-10-18 181432]
R3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudserd.sys [2011-10-18 181432]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\system32\DRIVERS\rtlprot.sys [2007-04-23 25896]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-19 7168]
S3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\system32\DRIVERS\RTL8187B.sys [2007-12-26 290304]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HsfXAudioService REG_MULTI_SZ HsfXAudioService
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'
.
2011-12-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 11:45]
.
2011-12-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 11:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://r.orange.fr/r/Ohome_portail?ref=O_OI_defaultPage
IE: ajouter cette page à vos favoris Orange - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
IE: envoyer le texte sélectionné par sms - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
IE: envoyer par sms - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
IE: envoyer un mail - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
IE: orange.fr - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
IE: rechercher le texte sélectionné - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
IE: traduire la page - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\translate_html\translate.html
IE: traduire le texte sélectionné - c:\utilisateurs\Admin Parents\AppData\Roaming\Orange\OrangeInside\src\translateSelectedText_html\translateSelectedText.html
Trusted Zone: orange.fr\logicielsgratuits
TCP: DhcpNameServer = 192.168.1.1
DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} - hxxp://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
WebBrowser-{1392B8D2-5C05-419F-A8F6-B9F15A596612} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-19 18:58
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i????????@????P?a?x?a???a???a??
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-12-19 19:00:15
ComboFix-quarantined-files.txt 2011-12-19 18:00
.
Avant-CF: 11 379 732 480 octets libres
Après-CF: 11 225 358 336 octets libres
.
- - End Of File - - 85CB628199CD521344EE14E4C40C6277
