Problème avec System Fix Résolu/Fermé

Question

Bonjour, 

Je viens recemment d'être infecté par un truc qui me gâche la vie. En résumé :

Cause : j'ai été sur un site que j'aurais pas du et j'ai cliquer >.<

Symptome :
1 - Fenetre de System Fix qui s'ouvre, impossible de la fermer même avec Gestionnaire de tâche (qui ne s'ouvre plus d'ailleurs). Il me scanne quelque chose et me dit que y a des erreur critique sur mon ordi.
2 - une vingtaine de fenetre s'ouvre disant : problème avec votre disque dure, impossible de ....
3 - Message dans la zone de notification qui me disent plein de choses, en gros, mon PC est foutue.

Ce que j'ai déjà fait :
- Passer MWBAM : il me trouve toujours les 2 mêmes fichiers infectés, qui reviennent tout le temps (3 fois en fait)
- Passer Avira antivir : il a rien trouver.
- Fait un scanne avec Ad-remover
Log : https://pjjoint.malekal.com/files.php?id=20111214_e14f15q15g9z5
- Fait un scanne avec ZHP
Log : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111214_l9q8z9u8x7

Merci de m'aider. J'ai du démarrer en mode sans echec parce que sinon c'est trop compliquer à gérer.

Merci pour votre soutien. J'attends de vos nouvelles.

Bonne nuit !


Configuration: Windows 7 / Firefox 7.0.1

Utilisateur anonyme · Answer

bonjour,

système fix est un rogue !

lis et suis ceci :

*	Télécharge en enregistre sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html
* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe.
* Sous Vista/Seven, clique droit, lancer en tant qu'administrateur 
tu n'as qu'à cliquer dessus ou les lancer! 
* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 2 et valide 

* puis l'option 4  
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. * 
	==>S'il ne passe pas, change son nom en Winlogon.exe.<==



puis lance MBAM,


. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



@++

Azanek · Answer

Merci Electricien 69 de m'aider ^^ Alors, voici le rapport de roguekiller. __________________________________ RogueKiller V6.2.0 [12/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: Guylou [Droits d'admin] Mode: Suppression -- Date : 14/12/2011 08:25:00 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [SUSP PATH] HKUS\S-1-5-21-171825409-2794758898-2637845176-1004[...]\Run : IKMwBROEshe.exe (C:\ProgramData\IKMwBROEshe.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ --- User --- [MBR] 0d9ee0f5bd374532f655877b44e0843d [BSP] ee92ccddf702530e27932213ecc73c2e : MBR Code unknown Partition table: 0 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 2048 | Size: 26843 Mo 1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 52430848 | Size: 215046 Mo 2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 472442880 | Size: 258217 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt ______________________________________ Je lance MBAM tout de suite.

Azanek · Answer

Et voici le rapport MBAM.

_________________________

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8368

Windows 6.1.7601 Service Pack 1 (Safe Mode)
Internet Explorer 9.0.8112.16421

2011-12-14 09:15:18
mbam-log-2011-12-14 (09-15-18).txt

Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 419041
Temps écoulé: 39 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\ikmwbroeshe.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Users\Guylou\Desktop\rk_quarantine\ikmwbroeshe.exe.vir (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Users\Guylou_2\AppData\Local\Temp\1296.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Guylou_2\AppData\Local\Temp\unregmp2.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Guylou_2\AppData\Local\Temp\ze3h9nzmsr4gkx.exe.tmp (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Users\Guylou_2\AppData\LocalLow\Sun\Java\deployment\cache\6.0\59\652c3a3b-55cc1dfa (Rogue.FakeHDD) -> Quarantined and deleted successfully.

______________________


J'attends de nouvelles instructions.
Merci !

Utilisateur anonyme · Answer

relance MBAM, 

vide sa quarantaine,



*	Utilisation de ZHP Diag et ZHP FIX :

* Télécharge ZHPDiag sur ton bureau :


https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
https://www.cjoint.com/

ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Azanek · Answer

Salut,

Donc, MBAM n'avait pas de quarantaine, je pense que j'avais déjà tout supprimé avant. 

Voici le lien pour le rapport ZHPdiag.
https://www.cjoint.com/?ALpfElq88sA 

Sinon, parlons un peu des symptômes que je trouve inquiétants. 

1- J'ai un DD partitionné. Sur ma partition contenant mes documents personnel, la capacité utilisée indiquée est toujours de 149Go, mais quand j'ouvre le DD, on me dit qu'il est vide. De la même façon, mes documents, mes bibliothèque affiche vide aussi. Y a t il un risque que j'ai tout perdu ?

2- Mon interface est complètement changée : j'ai plus de zone de lancement rapide. La zone de notification n'est plus comme avant et s'étale sur toute la bar des tâches. Mon menu démarrer, y a quasiment rien qui s'affiche. Et d'autre trucs moins voyant et moins important aussi.

Est ce qu'il faut que je m'inquiète de tout ça ? Ou bien ça va revenir à la normale une fois désinfecté ?

En tout cas, merci de ton aide, j'attends de tes nouvelles.

Utilisateur anonyme · Answer

bonjour,

system fix est un rogue, non seulement il bloque le pc, de plus il modifie l'attribu des fichiers et le disque dure, en gros, il les masques !

tes fichiers sont sur ton pc, ne t'inquiette pas, on va tout récuperer  :D

lance zhpfix, c'est une icone sous forme de seringue sur ton bureau, clique sur Hiddenfix, tes fichiers vont réapparaitre  :D


?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

https://toolslib.net


Lance le, 
clique sur rechercher et poste son rapport.

Azanek · Answer

Salut Electricien,

Voici mon rapport de ZHPFix :

Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre : 
Run by Guylou at 12/15/2011 8:10:49 AM
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 1 Restauré(s) avec succès
Ma musique (My Music) : 1 Restauré(s) avec succès
Ma Video (My Video) : 1 Restauré(s) avec succès
Mes Favoris (My Favorites) : 10 Restauré(s) avec succès
Mes Documents (My Documents) : 25 Restauré(s) avec succès
Mon Bureau (My Desktop) : 20 Restauré(s) avec succès
Menu demarrer (Programs) : 7 Restauré(s) avec succès
Dossier utilisateur (AppData) : 33854 Restauré(s) avec succès
Programmes (Program Files) : 0


========== Récapitulatif ==========
33919 : Dossiers/Fichiers cachés restaurés


End of clean in 49mn AMs

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 12/15/2011 8:10:49 AM [978]


Et voici le rapport Adwcleaner :

# AdwCleaner v1.402 - Rapport créé le 15/12/2011 à 08:15:06
# Mis à jour le 11/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Guylou - GUYLOU-PC (Administrateur)
# Exécuté depuis : D:\Guylou\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\Guylou\AppData\Roaming\OpenCandy
Dossier Présent : C:\Users\Guylou\AppData\Local\OpenCandy

***** [Registre] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Registre (x64)] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v7.0.1 (fr)

Profil : 25p4lyh2.default
Fichier : C:\Users\Guylou\AppData\Roaming\Mozilla\Firefox\Profiles\25p4lyh2.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1400 octets] - [15/12/2011 08:15:06]

########## EOF - \AdwCleaner[R1].txt - [1528 octets] ##########

Utilisateur anonyme · Answer

relance Roguekiller, choisis l'option 6, poste son rapport,

Azanek · Answer

Salut Electricien, Voici le rapport de roguekiller option 6 : RogueKiller V6.2.0 [12/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Guylou [Droits d'admin] Mode: Raccourcis RAZ -- Date : 16/12/2011 00:13:32 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] CrossLoopService.exe -- C:\Users\Guylou_2\AppData\Local\CrossLoop\CrossLoopService.exe -> KILLED [TermProc] ¤¤¤ Driver: [NOT LOADED] ¤¤¤ Attributs de fichiers restaures: Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 0 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 5 / Fail 0 Mes documents: Success 0 / Fail 0 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 39204 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\CdRom1 -- 0x5 --> Skipped [G:] \Device\HarddiskVolume4 -- 0x2 --> Restored ¤¤¤ Infection : ¤¤¤ Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Utilisateur anonyme · Answer

bonjour,

est ce que tu retrouves tes fichiers?

Azanek · Answer

Salut,

Oui, les fichiers de mon DD personnel sont revenu (Documents, musiques, jeux etc ...)

Maintenant, de visible, il ne reste plus qu'à arranger l'interface de mon bureau. Ma zone de lancement rapide est encore invisible, la zone de notification aussi est aussi un peu bugguée. Ainsi que le menu démarrer qui affiche pas tout.

J'ai remis manuellement mes options pour le menu démarrer et il a retrouver son interface.

Utilisateur anonyme · Answer

bonjour,

on continue le nettoyage :


*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 

	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Azanek · Answer

Et voilà.
Est ce normal que ça a durer plus de 1h10 ? C'était indiqué 10 minutes dans programme.

__________________________________

ComboFix 11-12-16.03 - Guylou 2011-12-16  15:17:33.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.2.1036.18.3561.2029 [GMT -5:00]
Lancé depuis: d:\guylou\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\SOdF8AwTGRLDPn.exe
c:\users\Guylou_2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk
c:\users\Guylou_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Fix
c:\users\Guylou_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Fix\System Fix.lnk
c:\users\Guylou_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Fix\Uninstall System Fix.lnk
d:\guylou\Desktop\System Fix.lnk
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-11-16 au 2011-12-16  ))))))))))))))))))))))))))))))))))))
.
.
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
pqtplugin7.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
pqtplugin6.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
pqtplugin5.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins
pqtplugin7.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins
pqtplugin6.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins
pqtplugin5.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins
pqtplugin4.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins
pqtplugin3.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins
pqtplugin2.dll
2012-11-04 22:42 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins
pqtplugin.dll
2012-11-04 22:41 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
pqtplugin4.dll
2012-11-04 22:41 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
pqtplugin3.dll
2012-11-04 22:41 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
pqtplugin2.dll
2012-11-04 22:41 . 2012-11-04 22:41	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
pqtplugin.dll
2011-12-16 21:08 . 2011-12-16 21:08	--------	d-----w-	c:\users\Guylou\AppData\Local	emp
2011-12-16 21:08 . 2011-12-16 21:08	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-12-16 20:11 . 2011-12-16 20:11	69000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{86685BEE-E04F-48C2-8770-50FFEBCADE56}\offreg.dll
2011-12-16 12:55 . 2011-11-21 11:40	8822856	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{86685BEE-E04F-48C2-8770-50FFEBCADE56}\mpengine.dll
2011-12-15 04:30 . 2011-10-26 05:21	43520	----a-w-	c:\windows\system32\csrsrv.dll
2011-12-15 04:30 . 2011-11-24 04:52	3145216	----a-w-	c:\windows\system32\win32k.sys
2011-12-15 04:30 . 2011-10-15 06:31	723456	----a-w-	c:\windows\system32\EncDec.dll
2011-12-15 04:30 . 2011-10-15 05:38	534528	----a-w-	c:\windows\SysWow64\EncDec.dll
2011-12-15 04:30 . 2011-11-05 05:32	2048	----a-w-	c:\windows\system32	zres.dll
2011-12-15 04:30 . 2011-11-05 04:26	2048	----a-w-	c:\windows\SysWow64	zres.dll
2011-12-14 13:33 . 2011-12-14 13:33	--------	d-----w-	c:\users\Guylou\AppData\Roaming\Malwarebytes
2011-12-14 03:50 . 2011-12-15 04:20	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-12-14 03:38 . 2011-12-15 13:10	--------	d-----w-	C:\ZHP
2011-12-14 03:38 . 2011-12-15 13:05	--------	d-----w-	c:\program files (x86)\ZHPDiag
2011-12-14 03:35 . 2011-12-14 03:36	--------	d-----w-	c:\program files (x86)\Ad-Remover
2011-12-13 07:26 . 2011-12-14 14:25	5106	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2011-12-13 02:45 . 2011-12-13 02:45	--------	d-----w-	c:\program files\iPod
2011-12-13 02:45 . 2011-12-13 07:31	--------	d-----w-	c:\program files (x86)\iTunes
2011-12-13 02:45 . 2011-12-13 07:31	--------	d-----w-	c:\program files\iTunes
2011-12-12 20:36 . 2011-12-13 07:31	--------	d-----w-	c:\program files (x86)\WMCap 5
2011-12-10 20:33 . 2011-12-10 20:33	--------	d-----w-	c:\users\Default\AppData\Local\Microsoft Help
2011-12-09 23:52 . 2011-12-09 23:52	--------	d-----w-	c:\program files (x86)\Microsoft Synchronization Services
2011-12-09 23:52 . 2011-12-09 23:52	--------	d-----w-	c:\windows\PCHEALTH
2011-12-09 23:52 . 2011-12-09 23:52	--------	d-----w-	c:\program files (x86)\Microsoft Sync Framework
2011-12-09 23:49 . 2011-12-09 23:49	--------	d-----w-	c:\program files (x86)\Microsoft Visual Studio 8
2011-12-09 23:48 . 2011-12-09 23:48	--------	d-----w-	c:\program files (x86)\Microsoft Analysis Services
2011-12-09 23:47 . 2011-12-09 23:47	--------	d-----w-	c:\users\Guylou\AppData\Local\Microsoft Help
2011-12-09 23:47 . 2011-12-09 23:47	--------	d-----w-	C:\MSOCache
2011-12-09 23:31 . 2011-12-09 23:32	--------	d-----w-	c:\users\Guylou\AppData\Roaming\SoftGrid Client
2011-12-07 22:53 . 2011-12-07 22:53	--------	d-----w-	c:\users\Guylou_2\AppData\Roaming\OpenOffice.org
2011-12-07 22:51 . 2011-12-07 22:51	--------	d-----w-	c:\program files (x86)\OpenOffice.org 3
2011-12-07 22:51 . 2011-12-07 22:51	--------	d-----w-	c:\program files (x86)\Common Files\Java
2011-12-07 22:50 . 2011-12-07 22:50	472808	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins
pdeployJava1.dll
2011-12-07 22:50 . 2011-12-07 22:50	472808	----a-w-	c:\windows\SysWow64\deployJava1.dll
2011-12-07 22:50 . 2011-12-07 22:50	--------	d-----w-	c:\program files (x86)\Java
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-14 13:18 . 2011-10-14 00:08	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-10-24 19:29 . 2011-10-24 19:29	94208	----a-w-	c:\windows\SysWow64\QuickTimeVR.qtx
2011-10-24 19:29 . 2011-10-24 19:29	69632	----a-w-	c:\windows\SysWow64\QuickTime.qts
2011-09-29 16:29 . 2011-11-09 22:17	1923952	----a-w-	c:\windows\system32\drivers	cpip.sys
2011-09-29 02:47 . 2011-09-29 02:47	270912	----a-w-	c:\windows\system32\drivers\dtsoftbus01.sys
2011-09-24 19:44 . 2011-08-17 06:32	45056	----a-w-	c:\windows\system32\acovcnt.exe
2011-09-24 16:24 . 2010-06-24 18:33	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2004-03-17 21:13 . 2004-03-17 21:13	1028368	----a-w-	c:\program files\vbrun60sp6.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-08-02 4910912]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SonicMasterTray"="c:\program files (x86)\ASUS\Sonic Focus\SonicFocusTray.exe" [2010-07-10 984400]
"ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-08-17 5732992]
"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-10-07 170624]
"HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-02 59240]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-12-08 421736]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
.
c:\users\Guylou_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Guylou\AppData\Roaming\Dropbox\bin\Dropbox.exe [N/A]
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-02 135664]
R3 BITCOMET_HELPER_SERVICE;BitComet Disk Boost Service;c:\program files (x86)\BitComet	ools\BitCometService.exe [2010-12-28 1296728]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-02 135664]
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files (x86)\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 31125880]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-10 4925184]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 tvnserver;TightVNC Server;c:\users\Guylou_2\AppData\Local\CrossLoop	vnserver.exe [2010-07-21 814080]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 amd_sata;amd_sata;c:\windows\system32\DRIVERS\amd_sata.sys [x]
S0 amd_xata;amd_xata;c:\windows\system32\DRIVERS\amd_xata.sys [x]
S1 ATKWMIACPIIO;ATKWMIACPI Driver;c:\program files (x86)\ASUS\ATK Package\ATK WMIACPI\atkwmiacpi64.sys [2011-05-26 17536]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-05-25 365568]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-03 15416]
S2 CrossLoopService;CrossLoop Service;c:\users\Guylou_2\AppData\Local\CrossLoop\CrossLoopService.exe [2011-09-07 569072]
S3 amdhub30;AMD USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\amdhub30.sys [x]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 amdxhc;AMD USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\amdxhc.sys [x]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-12-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-02 04:36]
.
2012-11-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-02 04:36]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	------w-	c:\users\Guylou_2\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	------w-	c:\users\Guylou_2\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	------w-	c:\users\Guylou_2\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	------w-	c:\users\Guylou_2\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2011-05-22 2226280]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*WerKernelReporting"="c:\windows\SYSTEM32\WerFault.exe" [2009-07-14 415232]
"*Restore"="c:\windows\System32strui.exe" [2010-11-20 296960]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://asus.msn.com
mStart Page = hxxp://asus.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Guylou\AppData\Roaming\Mozilla\Firefox\Profiles\25p4lyh2.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
Toolbar-Locked - (no file)
HKLM-Run-ETDCtrl - c:\program files (x86)\Elantech\ETDCtrl.exe
HKLM-Run-Setwallpaper - c:\programdata\SetWallpaper.cmd
AddRemove-ASUS_Screensaver - c:\windows\system32\ASUS_Screensaver.scr
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-171825409-2794758898-2637845176-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:a7,49,c1,97,9e,65,89,1c,0e,a0,5a,80,9c,1f,d3,f5,e5,f9,b8,50,f5,98,99,
   ab,19,df,01,e5,fa,86,94,ab,76,a1,ee,fe,f4,0a,45,eb,cb,34,e4,6c,b2,d0,14,47,\
"??"=hex:b7,d7,0b,e4,6e,3d,7d,e7,95,77,ff,08,7d,23,11,d9
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\Program Files (x86)\Common Files\Microsoft Shared\VSTO\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-12-16  16:31:24
ComboFix-quarantined-files.txt  2011-12-16 21:31
.
Avant-CF: 157 641 994 240 octets libres
Après-CF: 157 696 503 808 octets libres
.
- - End Of File - - 5486D85DE01166A77DB7464DA0B25215

Utilisateur anonyme · Answer

tu as du voir qu'il a bien été noté que le temps peut être doubler en cas du pc séverment infecté !


redémarre ton pc,

donne moi des nouvelles de son fonctionnement avant de continuer le nettoyage  :D

Azanek · Answer

Salut Electricien,

L'ordi en lui même marche super bien. J'ai plus rien qui s'affiche, j'ai restaurer ma barre des tâches, de lancement rapide, et de notification.

Par contre, j'utilise steam et j'ai quelque jeux qui y sont attachés. Et voilà ce qu'on me dit quand j'essaye de jouer :

C:\programme files (x86)\Steam\bin\SteamService.exe
Tentative d'opération non autorisée sur une clé de registre marquée pour suppression.

J'aimerais savoir si le nettoyage m'aurais supprimer des trucs qui fallait pas ? De la même façon, j'utilise crossloop pour dépanner à distance mes employés quand ils ont des problèmes avec leurs ordi. Et j'ai cru voir passer avec combofix la suppression du service client.

Y a il un moyen d'arranger cela ou je dois les réinstaller ?

Utilisateur anonyme · Answer

à mon avis, il faut tout désinstaller et réinstaller,

l'infection a du, au même titre que ton OS, endommagé les autres logiciels !

est ce que tu peux lancer un nouveau log de zhpdiag?

n'oublie pas de faire une mise à jour avec la flèche verte avant de lancer le scan  :D

je regarde la suite demain  :D

@ ++

Azanek · Answer

Et voilà.

A demain, merci !

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111217_x15r12c15f5z7

Utilisateur anonyme · Answer

bonjour,

?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner


Lance le, 
clique sur rechercher et poste son rapport.

Azanek · Answer

Le voici 

J'ai toujours les deux fenêtres bloc note qui s'ouvrent au démarrage avec ça dedans :
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 


# AdwCleaner v1.402 - Rapport créé le 17/12/2011 à 12:13:35
# Mis à jour le 11/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Guylou - GUYLOU-PC (Administrateur)
# Exécuté depuis : D:\Guylou\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\Guylou\AppData\Roaming\OpenCandy
Dossier Présent : C:\Users\Guylou\AppData\Local\OpenCandy

***** [Registre] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Registre (x64)] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v7.0.1 (fr)

Profil : 25p4lyh2.default
Fichier : C:\Users\Guylou\AppData\Roaming\Mozilla\Firefox\Profiles\25p4lyh2.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R2].txt - [1400 octets] - [17/12/2011 12:13:35]
AdwCleaner[R1].txt - [1523 octets] - [15/12/2011 08:15:06]

########## EOF - \AdwCleaner[R2].txt - [1588 octets] ##########

Utilisateur anonyme · Answer

bonjour,

aide toi de ceci pour dsactiver ces fenêtres :

http://translate.google.fr/...


relance ADWC, cique sur supprimer, poste son rapport

Azanek · Answer

Salut Electricien.

Donc j'ai fait Adwc. Le rapport est en bas.

Par contre, j'ai toujours une fenêtre bloc note qui s'ouvre. J'ai réussit a en enlever une, mais la deuxieme, dans user/menu démarrer, j'arrive pas à la supprimer. On me dit que j'ai pas les accès même si je me les donnes temporairement dans les paramètres de sécurité ... Est ce qu'il y a un autre moyen pour accéder à ce dossier ?

Sinon, en faisant cela dans mon ordi, je me suis rendu compte qu'il y a beaucoup de fichier desktop.ini un peu partout dans mes dossier, est ce que c'est quelque chose de normal ?

En tout cas, voici le log :

# AdwCleaner v1.402 - Rapport créé le 19/12/2011 à 08:40:32
# Mis à jour le 11/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Guylou - GUYLOU-PC (Administrateur)
# Exécuté depuis : D:\Guylou\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Guylou\AppData\Roaming\OpenCandy
Dossier Supprimé : C:\Users\Guylou\AppData\Local\OpenCandy

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Registre (x64)] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v7.0.1 (fr)

Profil : 25p4lyh2.default
Fichier : C:\Users\Guylou\AppData\Roaming\Mozilla\Firefox\Profiles\25p4lyh2.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1218 octets] - [19/12/2011 08:40:32]
AdwCleaner[R2].txt - [1583 octets] - [17/12/2011 12:13:35]
AdwCleaner[R1].txt - [1523 octets] - [15/12/2011 08:15:06]

*************************

Dossier Temporaire : 1 dossier(s)et 0 fichier(s) supprimés

########## EOF - \AdwCleaner[S1].txt - [1557 octets] ##########

Utilisateur anonyme · Answer

bonsoir,

normalement, tu dois avoir un seul fichier desktop.ini juste à la raçine !

si tu n'arrives pas à le virer en mode normal, il faut passer en mode sans echec !

Azanek · Answer

Ok,

Je vais essayer ca ce soir. Je te dirais si ca marche.

Sinon, est ce que mon ordi est clean maintenant ?

Utilisateur anonyme · Answer

pour le moment, laisse les fichiers desktop.ini de côté !


relance zhpdiag,

clique sur la flèche verte pour lancer une mise à jour,


* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
https://www.cjoint.com/ 

ou : 
http://dl.free.fr 
ou : 
http://ww38.toofiles.com/fr/documents-upload.html 
ou : 
https://www.terafiles.net/ 


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Azanek · Answer

Salut Electricien,

Désolé pour le délai, avec les fêtes et le travail, j'ai pas pu prendre le temps de m'occuper de ça.

J'ai réussi a supprimer le fichiers desktop.ini qui posait problème.

Voici le dernier rapport ZHPDiag :
https://www.cjoint.com/?BAjsEawwTtE

Utilisateur anonyme · Answer

bonsoir,

désinstalle cette version de java que tu as sur ton pc depuyis l'jout suppression de programme :

Java 6 Update 22

télécharge la dernière version sur ton pc !


donne moi des nouvelles du fonctionnement du pc pour tout finalliser  :D

Azanek · Answer

Est ce que je peux utiliser JavaRa pour faire ça ?

Utilisateur anonyme · Answer

javara n'est pas prévu pour  fonctionner avec Seven !


essaie de voir si tu arrives, sinon, il y a un autre outil :

https://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/

Azanek · Answer

Salut Electricien,

Donc voilà c'est fait.

Version de Java vérifiée
Félicitations !
Vous disposez de la version Java recommandée (Version 6 Update 30).

Mon PC va bien. J'ai plus de problèmes d'affichage depuis rogue killer.

En tout cas, ca à l'air de bien aller.

Ensuite ?

Utilisateur anonyme · Answer

bonjour,

relance MBAM, tu l'as déjà sur ton pc,


. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Azanek · Answer

Et voilà !

Désolé pour le délai encore une fois.

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.17.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Guylou_2 :: GUYLOU-PC [limité]

2012-01-17 12:20:18
mbam-log-2012-01-17 (12-20-18).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386789
Temps écoulé: 1 heure(s), 21 minute(s), 24 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCR\.pox (Rogue.FixTool) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Utilisateur anonyme · Answer

bonjour,

est ce que tu te souvent du nom de site sur le quel, tu as choppé le rogue?

casse son lien, transforme Http\....   en HxxP\..., et colle son lien ici  :D



comment va le pc ?

si tout fonctionne bien, on finalise dés mon retours de boulot  :D



@ ++

Azanek · Answer

Salut, 

Non pas du tout, je sais juste que j'ai cliqué sur un bandeau de pub sur le côté d'un forum, et ensuite j'ai cliqué sur autre chose sur cette page la. Le pire, c'est que je me suis dit que je faisais surement une bêtise. C'était un thumbmail d'un jeu vidéo qui avait l'air bien. Surement un fake. 

Sinon le PC va super bien, j'ai plus vraiment de problème.

EDIT : ah oui, j'ai comme un truc bizarre. J'ai un port HDMI que j'utilise pour brancher sur ma télé et utiliser mon PC comme lecteur DVD. Mais j'ai plus le son. Le son marche partout, sauf qu'il passe plus dans le HDMI, je sais pas si c'est du au rogue ...

Utilisateur anonyme · Answer

bonjour,
systmefix a du endommagé le pilote de ta carte son real teck !

donc, fais une mise à jour pour voir ce qu'il dit !


pour ce qui est notre affaire de désinfection :


/!\ Attention : 
de plus en plus de programmes propose l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 
	
	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur » 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 
 

Pour Windows 7 :
 
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

Azanek · Answer

Salut,

Voilà la rapport de delfix. Je fais Ccleaner juste après.

# DelFix v8.7 - Rapport créé le 23/01/2012 à 13:51:07
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Guylou - GUYLOU-PC (Administrateur)
# Exécuté depuis : D:\Guylou\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\Guylou\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\Ad-Remover
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : \AdwCleaner[R1].txt
Supprimé : \AdwCleaner[R2].txt
Supprimé : \AdwCleaner[S1].txt
Supprimé : C:\Users\Guylou\Desktop\Ad-Remover.lnk
Supprimé : C:\Users\Guylou\Desktop\Combofix.txt
Supprimé : C:\Users\Guylou\Desktop\RKreport[1].txt
Supprimé : C:\Users\Guylou\Desktop\RKreport[2].txt
Supprimé : C:\Users\Guylou\Desktop\RKreport[3].txt
Supprimé : C:\Users\Guylou\Desktop\ZHPDiag-2
Supprimé : C:\Users\Guylou\Desktop\ZHPDiag-3.txt
Supprimé : C:\Users\Guylou\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Guylou\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2047 octets] - [23/01/2012 13:51:07]

########## EOF - \DelFix[S1].txt - [2171 octets] ##########

Utilisateur anonyme · Answer

bonsoir,

ok  :D

Azanek · Answer

Salut Electricien,

Donc j'ai fait Ccleaner, et j'ai passer mon antivirus.

Il a rien trouvé.

Ensuite ?

PS : Delfix n'a pas retirer certains programmes de décontaminations sur mon bureau. Est ce normal ? (il reste : AD-R, adwcleaner, combofix, roguekiller, ZHPdiag2)

Utilisateur anonyme · Answer

bonjour,

Delfix désinstalle les programmes installés, les éxecutables que tu as enregistré sur ton bureau, tu peux les virer manuellement .



crée un nuoveau point de restauration système, ça peut servire  :D

sur ce, bon surf  ;-)

Azanek · Answer

Merci beaucoup Electricien.

Tu as été super. Et promis, je vais faire attention ou je clique.

Par contre j'aurais une dernière question.

Est ce que mon ordi est bien protégé ? Qu'est ce que je peux faire pour amélioré encore la protection pour que ça arrive plus ?

Utilisateur anonyme · Answer

pour avoir une protection optimale :

en plus de ton antivirus, 
installe un parfeu autre que celui de windows 
conserve MBAM sur ton pc.

garde les logiciels sensibles du genre Adobe et java à jour.


fais un scan de ton pc une fois par moi.

évite d'installer des barres d'outils !


n'oublie pas que la meilleur protection est celle qui se trouve entre la chaise et le clavier  :D

Problème avec System Fix

40 réponses

Discussions similaires

Newsletters