Core10k.exe

daddycork -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
Bonjour,

J'ai exécutépar erreur un petit logiciel sur mon PC, Corek10.,exe, et je pense que c'est un virus : lorsqu'il s'est exécuté, rien ne s'est vraiment passé à part le fait que mon écran a clignoté. Comment puis-je savoir si mon ordi est infecté ?

Merci de votre aide

Dadc

23 réponses

  • 1
  • 2
  1. daddycork
     
    Yaurait-il quelqu'un pour m'aider svp ?
    1
  2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,

    Nous allons effectuer un diagnostic de ton PC:
    *Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    * Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
    Si indisponible, tu peux essayer avec l'un de ces liens:
    http://ww38.toofiles.com/fr/documents-upload.html
    https://www.terafiles.net/
    https://www.casimages.com/
    http://pjjoint.malekal.com/

    * Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    Rends toi sur pjjoint.malekal.com
    * Clique sur le bouton Parcourir
    * Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
    * Clique sur le bouton Envoyer
    * Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

    * Copie le lien dans ta prochaine réponse.

    @+
    _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    1
  3. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    1/
    Télécharge AdwCleaner (merci à Xplode)
    Lance AdwCleaner
    Clique sur le bouton [ Suppression ]
    Patiente...
    Poste le rapport qui apparait en fin de recherche.
    Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

    2/ Ensuite
    * Télécharge de AD-Remover sur ton Bureau.
    http://security-domain.be/download/AD-Remover.html

    /!\ Ferme toutes applications en cours /!\

    - Double sur l'icône Ad-remover située sur ton Bureau.
    -Pour vista/Seven : clique avec le bouton droit de la souris et choisis « exécuter en tant qu'administrateur »
    - Sur la page, clique sur le bouton « chercher »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

    @+
    1
  4. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    1/
    Lance AD-Remover puis clique sur "Désinstaller"

    2/
    /!\ ATTENTION : cette analyse peut durer quelques heures /!\

    * Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.malwarebytes.com/mwb-download/
    * Lance Malwarebytes' Anti-Malware
    * Fais la mise à jour
    * Clique dans l'onglet "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    *Vérifie que toutes les lignes sont cochées
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

    * Copie/colle le rapport dans le prochain message

    Remarque :
    - S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

    @+
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    Fais attention aux cracks et aux keygens c'est illégal! ...

    Tu peux lire : Les dangers des cracks

    ===================================
    1/
    Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag

    2/
    Comment se comporte ton PC maintenant ?

    @+
    1
  7. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    On va vérifier tous :-)

    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    * Lance le

    * Une fenêtre apparait : clique sur "Disable"

    * Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    ===================================================

    Attention, avant de commencer, lit attentivement la procédure

    ********************************************************

    /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

    * Fais un clic droit sur ce lien, enregistre le dans ton bureau
    Voici Aide combofix

    * /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


    *Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    ** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    *En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    ** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    *Note : Le rapport se trouve également là : C:\ComboFix.txt

    @+

    _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    1
  8. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
    O43 - CFD: 16/01/2012 - 23:56:24 - [0] --HAD- C:\Users\Sebastien\AppData\Local\r7B70lmGHum
    O51 - MPSK:{7b441240-327e-11e1-8e67-806e6f6e6963}\AutoRun\command. (.Apple Computer, Inc. - Setup Launcher.) -- E:\setup.exe


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur le bouton GO

    Copie/Colle le rapport à l'écran dans ton prochain message.

    @+
    1
  9. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Relance Malwarebytes et poste le rapport stp

    @+
    1
  10. daddycork
     
    Bonjour,

    Et merci de ta réponse et de ton aide.

    Voici le lien :

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120116_q14t13u147x12
    0
  11. daddycork
     
    Ok je te poste ça ce soir après le boulot

    Merci encore
    0
    1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      D'accord ...
      0
  12. daddycork
     
    # AdwCleaner v1.406 - Rapport créé le 16/01/2012 à 22:07:07
    # Mis à jour le 09/01/2012 par Xplode
    # Système d'exploitation : Windows 7 Professional (64 bits)
    # Nom d'utilisateur : Sebastien - SEBASTIEN-PC (Administrateur)
    # Exécuté depuis : C:\Users\Sebastien\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Sebastien\AppData\Local\Conduit
    Dossier Supprimé : C:\Users\Sebastien\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Program Files (x86)\Conduit

    ***** [Registre] *****

    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
    Clé Supprimée : HKLM\SOFTWARE\Conduit
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

    ***** [Registre (x64)] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.7600.16385

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Google Chrome v16.0.912.75

    Fichier : C:\Users\Sebastien\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Supprimée : "default_title": "uTorrentBar_FR Community Toolbar",
    Supprimée : "name": "uTorrentBar_FR",

    *************************

    AdwCleaner[S1].txt - [1933 octets] - [16/01/2012 22:07:07]

    *************************

    Dossier Temporaire : 25 dossier(s) et 95 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S1].txt - [2155 octets] ##########
    0
  13. daddycork
     
    Et voilà poiur le second !

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 22:14:53 le 16/01/2012, Mode normal

    Microsoft Windows 7 Professionnel (X64)
    Sebastien@SEBASTIEN-PC (System manufacturer System Product Name)

    ============== RECHERCHE ==============

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.3 (fr)] ****

    HKLM_MozillaPlugins\Adobe Reader (x)
    HKLM_Extensions|{3f963a5b-e555-4543-90e2-c3908898db71} - C:\Program Files (x86)\AVG\AVG8\Firefox

    **** Google Chrome Version [16.0.912.75] ****

    Extension\paoponfhfdfnjgddpnpjkambkcgdaaib (C:\Users\Sebastien\AppData\Local\Temp\ccex.crx) (x)

    -- C:\Users\Sebastien\AppData\Local\Google\Chrome\User Data\Default --
    Preferences - default_search_provider: "Google" (Activé: true) (?)
    Preferences - homepage: hxxp://www.google.com/
    Preferences - homepage_is_newtabpage: true
    Plugin - Remoting Viewer (Activé: true) (internal-remoting-viewer) (x)
    Plugin - "Remoting Viewer" (Activé: true)
    Plugin - Native Client (Activé: true) (C:\Users\Sebastien\AppData\Local\Google\Chrome\Application\16.0.912.75\ppGoogleNaClPluginChrome.dll)
    Plugin - "Native Client" (Activé: true)
    Plugin - "Java" (Activé: true)
    Plugin - "Silverlight" (Activé: true)

    ========================================

    **** Internet Explorer Version [8.0.7600.16385] ****

    HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKCU_Main|Start Page - hxxp://www.google.fr/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
    HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 16/01/2012 22:15:19 (2548 Octet(s))

    Fin à: 22:15:49, 16/01/2012

    ============== E.O.F ==============
    0
  14. daddycork
     
    Bonsoir, voici le rapport MB

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.17.04

    Windows 7 x64 NTFS
    Internet Explorer 8.0.7600.16385
    Sebastien :: SEBASTIEN-PC [administrateur]

    17/01/2012 22:46:59
    mbam-log-2012-01-17 (22-46-59).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 571950
    Temps écoulé: 1 heure(s), 25 minute(s), 36 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 7
    C:\$Recycle.Bin\S-1-5-21-1112637658-2274952327-2016344562-1000\$RWTEE3G.EXE (Dont.Steal.Our.Software) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{388F56AB-F373-4FF1-B3F5-1435F95C6B5A}\RP80\A0012579.exe (PUP.RemoveWGA) -> Mis en quarantaine et supprimé avec succès.
    F:\Fichiers téléchargés\removewga_removewga_1.2_anglais_21437.exe (PUP.RemoveWGA) -> Mis en quarantaine et supprimé avec succès.
    F:\Logiciels\installer_cool_edit_pro.exe (PUP.SmsPay.pns) -> Mis en quarantaine et supprimé avec succès.
    F:\Logiciels\removewga.exe (PUP.RemoveWGA) -> Mis en quarantaine et supprimé avec succès.
    F:\Logiciels\Liteoom2\Adobe.Photoshop.Lightroom.v2.2.Multilingual.Incl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Mis en quarantaine et supprimé avec succès.
    F:\Logiciels\Liteoom2\Adobe.Photoshop.Lightroom.v2.2.Multilingual.Incl.Keymaker-CORE\keygen.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
    1. g3n-h@ckm@n
       
      et ben dis donc !! c'est du joli !!
      0
    2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      Bonjour GEN, je crois qu'il n'a pas utilisé Keygen pour pirater :-)
      0
  15. daddycork
     
    Ah merci pour le lien. J'avais en effet de vieux logiciels sur mon DD externe, je ne les utilise même pas. Remove Wga c'était pour mon ancien PC, avant de comprendre comment enregistrer le XP pro avec mon propre numéro de série. Le Pc se comporte bien mais comment être sur que ce n'est pas devenu un PC Zombie ou que le Core10k est bien inoffensif ?

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120119_c11v6l611h8
    0
  16. daddycork
     
    Bonsoir,

    Désolé pour la réponse tardive, je n'ai pas reçu la notification par email. Voici le rapport :

    ComboFix 12-01-21.02 - Sebastien 21/01/2012 21:24:08.1.4 - x64
    Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.8173.6377 [GMT 1:00]
    Lancé depuis: c:\users\Sebastien\Downloads\ComboFix.exe
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-12-21 au 2012-01-21 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-01-17 21:43 . 2012-01-17 21:43 -------- d-----w- c:\programdata\Malwarebytes
    2012-01-17 21:43 . 2012-01-17 21:43 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2012-01-17 21:43 . 2011-12-10 14:24 23152 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-01-16 22:50 . 2012-01-16 22:50 -------- d-----w- c:\programdata\PACE Anti-Piracy
    2012-01-16 22:50 . 2012-01-16 22:50 -------- d-----w- c:\program files (x86)\Common Files\PACE Anti-Piracy
    2012-01-16 22:49 . 2012-01-16 22:49 -------- d-----w- c:\program files (x86)\DxO Labs
    2012-01-16 21:14 . 2012-01-17 21:40 -------- d-----w- c:\program files (x86)\Ad-Remover
    2012-01-16 10:05 . 2012-01-18 23:20 -------- d-----w- C:\ZHP
    2012-01-16 10:04 . 2012-01-18 23:20 -------- d-----w- c:\program files (x86)\ZHPDiag
    2012-01-15 23:17 . 2009-05-18 12:17 34152 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
    2012-01-15 23:17 . 2008-04-17 11:12 126312 ----a-w- c:\windows\system32\GEARAspi64.dll
    2012-01-15 23:17 . 2008-04-17 11:12 107368 ----a-w- c:\windows\SysWow64\GEARAspi.dll
    2012-01-15 23:16 . 2012-01-15 23:17 -------- d-----w- c:\program files\iTunes
    2012-01-15 23:16 . 2012-01-15 23:17 -------- d-----w- c:\program files (x86)\iTunes
    2012-01-15 22:23 . 2012-01-15 22:23 -------- d-----w- c:\windows\system32\appmgmt
    2012-01-15 21:45 . 2012-01-15 22:27 -------- d-----w- c:\program files\Common Files\Adobe
    2012-01-12 17:00 . 2012-01-12 17:00 -------- d-----w- c:\windows\Downloaded Installations
    2012-01-12 17:00 . 2012-01-15 23:16 -------- d-----w- c:\program files (x86)\iPod
    2012-01-07 20:24 . 2012-01-07 20:24 -------- d-----w- c:\windows\Sun
    2012-01-07 20:23 . 2012-01-07 20:23 -------- d-----w- c:\program files (x86)\Common Files\Java
    2012-01-07 20:23 . 2011-11-10 04:54 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll
    2012-01-06 18:39 . 2012-01-06 18:39 -------- d-----r- c:\program files (x86)\Skype
    2012-01-06 18:39 . 2012-01-06 18:39 -------- d-----w- c:\programdata\Skype
    2012-01-02 20:22 . 2012-01-15 23:17 -------- dc----w- c:\windows\system32\DRVSTORE
    2012-01-02 20:21 . 2012-01-02 20:22 -------- d-----w- c:\programdata\{93E26451-CD9A-43A5-A2FA-C42392EA4001}
    2012-01-02 20:21 . 2012-01-02 20:21 -------- d-----w- c:\programdata\Apple Computer
    2012-01-02 20:21 . 2012-01-02 20:21 -------- d-----w- c:\program files (x86)\Apple Software Update
    2012-01-02 20:21 . 2012-01-02 20:21 -------- d-----w- c:\program files\Common Files\Apple
    2012-01-02 20:21 . 2012-01-02 20:21 -------- d-----w- c:\program files\Bonjour
    2012-01-02 20:21 . 2012-01-15 23:16 -------- d-----w- c:\program files (x86)\Common Files\Apple
    2012-01-02 20:21 . 2012-01-02 20:21 -------- d-----w- c:\programdata\Apple
    2011-12-31 00:17 . 2011-12-31 00:17 2306328 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll
    2011-12-31 00:17 . 2011-12-31 00:17 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
    2011-12-31 00:17 . 2011-12-31 00:17 639312 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
    2011-12-30 22:46 . 2011-12-30 22:46 -------- d-----w- c:\programdata\DAEMON Tools Lite
    2011-12-30 15:11 . 2011-12-30 15:11 -------- d-----w- c:\program files\SequoiaView
    2011-12-30 13:00 . 2006-06-19 12:01 69632 ----a-w- c:\windows\SysWow64\ztvcabinet.dll
    2011-12-30 13:00 . 2006-05-25 14:52 162304 ----a-w- c:\windows\SysWow64\ztvunrar36.dll
    2011-12-30 13:00 . 2005-08-26 00:50 77312 ----a-w- c:\windows\SysWow64\ztvunace26.dll
    2011-12-30 13:00 . 2003-02-02 19:06 153088 ----a-w- c:\windows\SysWow64\UNRAR3.dll
    2011-12-30 13:00 . 2002-03-06 00:00 75264 ----a-w- c:\windows\SysWow64\unacev2.dll
    2011-12-30 13:00 . 2011-12-30 13:00 -------- d-----w- c:\programdata\Simply Super Software
    2011-12-30 11:24 . 2012-01-02 20:21 -------- d-----w- c:\program files (x86)\Bonjour
    2011-12-30 11:20 . 2011-12-30 11:20 -------- d-----w- c:\program files (x86)\Common Files\Macrovision Shared
    2011-12-30 02:56 . 2012-01-18 11:00 -------- d-----w- C:\$AVG8.VAULT$
    2011-12-30 02:36 . 2011-12-30 02:36 -------- d-----w- c:\windows\SysWow64\drivers\avg
    2011-12-30 02:31 . 2011-12-30 02:36 12464 ----a-w- c:\windows\system32\avgrssta.dll
    2011-12-30 02:31 . 2011-12-30 02:36 133640 ----a-w- c:\windows\system32\drivers\avgtdia.sys
    2011-12-30 02:31 . 2011-12-30 02:36 427016 ----a-w- c:\windows\system32\drivers\avgldx64.sys
    2011-12-30 02:31 . 2011-12-30 02:36 33416 ----a-w- c:\windows\system32\drivers\avgmfx64.sys
    2011-12-30 02:31 . 2012-01-21 08:21 -------- d-----w- c:\windows\system32\drivers\Avg
    2011-12-30 02:31 . 2011-12-30 02:31 -------- d-----w- c:\program files (x86)\AVG
    2011-12-30 02:31 . 2011-12-30 02:31 -------- d-----w- c:\programdata\avg8
    2011-12-30 02:22 . 2011-12-30 02:22 -------- d-----w- c:\program files (x86)\uTorrent
    2011-12-30 02:17 . 2011-12-30 02:17 -------- d-----w- c:\programdata\FLEXnet
    2011-12-30 02:12 . 2007-02-20 15:04 190696 ----a-w- c:\windows\SysWow64\NPSWF32_FlashUtil.exe
    2011-12-30 02:12 . 2007-02-20 15:04 2463976 ----a-w- c:\windows\SysWow64\NPSWF32.dll
    2011-12-30 02:10 . 2011-12-30 02:10 -------- d-----w- c:\windows\SysWow64\spool
    2011-12-30 02:10 . 2011-12-30 02:10 -------- d-----w- c:\program files (x86)\Google
    2011-12-30 01:58 . 2012-01-17 21:16 -------- d-----w- c:\users\UpdatusUser
    2011-12-30 01:58 . 2011-12-30 01:58 -------- d-----w- c:\program files (x86)\NVIDIA Corporation
    2011-12-30 01:58 . 2011-12-30 01:58 -------- d-----w- c:\programdata\NVIDIA
    2011-12-30 01:58 . 2011-10-15 08:53 837952 ----a-w- c:\windows\system32\easyupdatusapiu64.dll
    2011-12-30 01:58 . 2011-10-15 08:53 5067584 ----a-w- c:\windows\system32\nvsvc64.dll
    2011-12-30 01:58 . 2011-10-15 08:53 3074368 ----a-w- c:\windows\system32\nvsvcr.dll
    2011-12-30 01:58 . 2011-10-15 08:53 222528 ----a-w- c:\windows\system32\nvmctray.dll
    2011-12-30 01:58 . 2011-10-15 08:53 1640768 ----a-w- c:\windows\system32\nvvsvc.exe
    2011-12-30 01:58 . 2011-10-15 08:53 137536 ----a-w- c:\windows\system32\nvshext.dll
    2011-12-30 01:58 . 2011-10-15 08:53 10406208 ----a-w- c:\windows\system32\nvcpl.dll
    2011-12-30 01:58 . 2011-12-30 01:58 -------- d-----w- c:\programdata\NVIDIA Corporation
    2011-12-30 01:55 . 2011-12-30 01:58 -------- d-----w- c:\program files\NVIDIA Corporation
    2011-12-30 01:38 . 2012-01-03 17:51 -------- d-----w- c:\program files (x86)\Common Files\Adobe
    2011-12-30 01:23 . 2011-12-30 01:23 -------- d-----w- c:\windows\SysWow64\RTCOM
    2011-12-30 01:23 . 2011-12-30 01:23 -------- d-----w- c:\program files\Realtek
    2011-12-30 01:23 . 2011-06-27 06:44 2604376 ----a-w- c:\windows\system32\WavesGUILib.dll
    2011-12-30 01:23 . 2009-11-24 01:55 155888 ----a-w- c:\windows\system32\SRSWOW64.dll
    2011-12-30 01:21 . 2012-01-12 17:00 -------- d--h--w- c:\program files (x86)\InstallShield Installation Information
    2011-12-30 01:21 . 2011-12-30 01:21 -------- d-----w- c:\program files (x86)\Realtek
    2011-12-30 01:21 . 2010-07-22 08:37 200800 ----a-w- c:\windows\system32\AERTAC64.dll
    2011-12-30 01:21 . 2011-12-30 01:23 -------- d--h--w- c:\program files (x86)\Temp
    2011-12-30 01:21 . 2011-06-28 10:08 1698408 ------r- c:\windows\RtlExUpd.dll
    2011-12-30 01:21 . 2012-01-12 16:57 -------- d-----w- c:\program files (x86)\Common Files\InstallShield
    2011-12-30 01:18 . 2011-12-30 01:18 -------- d-----w- c:\program files (x86)\Intel
    2011-12-30 01:18 . 2011-04-15 08:00 53248 ----a-r- c:\windows\SysWow64\CSVer.dll
    2011-12-30 01:18 . 2011-02-25 06:36 295296 ----a-w- c:\windows\system32\drivers\volsnap.sys
    2011-12-30 01:17 . 2011-11-30 01:21 8822856 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{3A5FC674-443A-440F-ADEC-17B2D575A906}\mpengine.dll
    2011-12-30 00:53 . 2012-01-21 20:20 -------- d-----w- c:\users\Sebastien
    2011-12-30 00:53 . 2011-12-30 22:46 526392 ----a-w- c:\windows\system32\drivers\sptd.sys.vir
    2011-12-30 00:53 . 2011-12-30 00:53 -------- d-----w- c:\program files\7-Zip
    2011-12-30 00:51 . 2011-12-30 00:51 -------- d-----w- c:\program files\Paint.NET
    2011-12-30 00:51 . 2012-01-17 21:45 -------- d-sh--w- c:\windows\Installer
    2011-12-30 00:50 . 2011-12-30 00:51 -------- d-----w- c:\program files (x86)\Notepad++
    2011-12-30 00:36 . 2011-12-30 11:53 -------- d-----w- c:\windows\Panther
    2011-12-30 00:36 . 2011-12-30 00:36 -------- d-----w- C:\Boot
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    .
    ------- Sigcheck -------
    Note: Unsigned files aren't necessarily malware.
    .
    [-] 2010-05-16 . 9282E26D0D846319614773BF7656D06D . 2870272 . . [6.1.7600.16385] .. c:\windows\explorer.exe
    [7] 2010-05-16 . 9AAAEC8DAC27AA17B053E6352AD233AE . 2870272 . . [6.1.7600.16385] .. c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_adc508f19359a007\explorer.exe
    [7] 2010-05-16 . B8EC4BD49CE8F6FC457721BFC210B67F . 2870272 . . [6.1.7600.16385] .. c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_ae46d6aeac7ca7c7\explorer.exe
    [7] 2010-05-16 . F170B4A061C9E026437B193B4D571799 . 2868224 . . [6.1.7600.16385] .. c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_adff19b5932d79ae\explorer.exe
    [7] 2010-05-16 . 700073016DAC1C3D2E7E2CE4223334B6 . 2868224 . . [6.1.7600.16385] .. c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_ae84b558ac4eb41c\explorer.exe
    [7] 2009-07-14 . C235A51CB740E45FFA0EBFB9BAFCDA64 . 2868224 . . [6.1.7600.16385] .. c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "AVG8_TRAY"="c:\progra~2\AVG\AVG8\avgtray.exe" [2011-12-30 2042208]
    "TrojanScanner"="d:\archivos de programa 2\Trojan Remover\Trjscan.exe" [2011-05-18 1233856]
    "APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
    "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-12-08 421736]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    R4 sptd;sptd; [x]
    S1 AvgLdx64;AVG Free AVI Loader Driver x64;c:\windows\System32\Drivers\avgldx64.sys [x]
    S1 AvgMfx64;AVG Free On-access Scanner Minifilter Driver x64;c:\windows\System32\Drivers\avgmfx64.sys [x]
    S1 AvgTdiA;AVG Free8 Network Redirector x64;c:\windows\System32\Drivers\avgtdia.sys [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
    S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~2\AVG\AVG8\avgemc.exe [2011-12-30 908056]
    S2 avg8wd;AVG Free8 WatchDog;c:\progra~2\AVG\AVG8\avgwdsvc.exe [2011-12-30 297752]
    S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
    .
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - WS2IFSL
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-01-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1112637658-2274952327-2016344562-1000Core.job
    - c:\users\Sebastien\AppData\Local\Google\Update\GoogleUpdate.exe [2011-12-30 01:12]
    .
    2012-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1112637658-2274952327-2016344562-1000UA.job
    - c:\users\Sebastien\AppData\Local\Google\Update\GoogleUpdate.exe [2011-12-30 01:12]
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-06-28 11905128]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x0
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uLocal Page = c:\windows\system32\blank.htm
    mLocal Page = c:\windows\SysWOW64\blank.htm
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath -
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10d.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
    @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10d.exe"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker3"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files (x86)\AVG\AVG8\avgcsrvx.exe
    c:\program files (x86)\AVG\AVG8\avgtray.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-01-21 21:32:21 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-01-21 20:32
    .
    Avant-CF: 7 668 363 264 octets libres
    Après-CF: 8 384 970 752 octets libres
    .
    - - End Of File - - 984E1ABAA449FD3A54E8C9E5F3C85975
    0
  17. daddycork
     
    et voilà :

    Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011
    Fichier d'export Registre :
    Run by Sebastien at 22/01/2012 20:27:46
    Windows 7 Business Edition, 64-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Clé(s) du Registre ==========
    ABSENT CLSID MPSK: {7b441240-327e-11e1-8e67-806e6f6e6963}

    ========== Valeur(s) du Registre ==========
    ABSENT Value Key: UacDisableNotify
    ABSENT Value Key: NoActiveDesktopChanges

    ========== Elément(s) de donnée du Registre ==========
    REMPLACE Value AntiVirusDisableNotify : Good (0) - Bad (1)
    REMPLACE Value FirewallDisableNotify : Good (0) - Bad (1)
    REMPLACE Value UpdatesDisableNotify : Good (0) - Bad (1)
    REMPLACE Value EnableLUA : Good (1) - Bad (0)

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\Sebastien\AppData\Local\r7B70lmGHum

    ========== Fichier(s) ==========
    SUPPRIME Reboot e:\setup.exe

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    4 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    1 : Fichier(s)

    End of clean in 00mn 00s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 22/01/2012 20:27:46 [1235]
    0
  18. daddycork
     
    Bonsoir Fish :

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.17.04

    Windows 7 x64 NTFS
    Internet Explorer 8.0.7600.16385
    Sebastien :: SEBASTIEN-PC [administrateur]

    23/01/2012 14:47:44
    mbam-log-2012-01-23 (14-47-44).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 570520
    Temps écoulé: 1 heure(s), 20 minute(s), 37 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
    1. g3n-h@ckm@n
       
      salut pas à jour malwarebytes
      0
    2. daddycork
       
      je l'ai mis à jour la semaine dernière
      0
    3. g3n-h@ckm@n
       
      ca se met à jour avant chaque scan

      version actuelle :

      2012.01.23.05
      0
  19. daddycork
     
    Voici le rapport après actualisation :

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.23.04

    Windows 7 x64 NTFS
    Internet Explorer 8.0.7600.16385
    Sebastien :: SEBASTIEN-PC [administrateur]

    24/01/2012 15:13:51
    mbam-log-2012-01-24 (15-13-51).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 572619
    Temps écoulé: 1 heure(s), 19 minute(s), 22 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    Merci d'avance !
    0
  20. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Avant de finaliser, Lance ZHPDiag depuis le bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un dernier rapport ZHPDiag

    @+
    _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  21. daddycork
     
    voilà voilà :

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120124_s6w15b7q6h5
    0
  • 1
  • 2