"Activité illicite détectée" - Virus

deadpool_az -  
 g3n-h@ckm@n -
Bonjour,

Il y a quelques jours, j'ai eu au démarrage un faux message d'alerte, se faisant passer pour je ne sais quelle entité officielle, et me demandant une certaine somme d'argent pour débloquer mon pc. Le tout bourré de fautes d'orthographes.

Cette alerte de démarrage ne modifiait que légèrement l'interface de mon pc, et j'ai constaté qu'en effectuant une manipulation consistant à faire semblant d'éteindre mon pc, celui-ci fermait tous les programmes sauf ceux demandant ma validation car encore ouverts (exemple, Steam), et comme j'annulais l'arrêt sur ce message au final tout revenait à la normal, l'affichage et tout. Donc ce virus de démarrage ne me posait guère de soucis jusqu'à présent.

J'ai néanmoins fait une recherche Avast, qui m'a trouvé un fichier malveillant, mais impossible de le mettre en quarantaine/le supprimer puisqu'Avast ne précisait après que ce fichier était introuvable.

J'ai également fait une recherche Spybot, qui a bien éliminé quelques fichiers malveillants, mais apparemment pas le bon.

Toujours est-il que depuis ce matin, l'ordinateur ne veut pas s'allumer correctement, il affiche un écran bleu au démarrage précisant qu'au vu des risques du pc il redémarrait automatiquement, et seul le mode sans échec (avec prise en charge du réseau heureusement) fonctionne.

Voila, je ne sais pas vraiment quoi faire pour supprimer ce satané virus, merci de votre aide.

56 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un message d'alerte au démarrage, frauduleux et bourré de fautes, s'est affiché et semblait demander une rançon pour débloquer l’ordinateur, puis le système a présenté un écran bleu et boote en mode sans échec. Plusieurs outils de sécurité ont identifié des fichiers malveillants, mais leur quarantaine ou suppression restait problématique; l’ordinateur affichait un écran bleu et ne démarrissait qu’en mode sans échec. Des indices sur l’infection et des méthodes d’analyse ont été partagés, incluant des rapports et des propositions d’outils de nettoyage; des solutions apportées dans les réponses ont permis de démarrer l’ordinateur normalement dans certains cas.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. deadpool_az
     
    Merci pour l'aide.

    J'ai bien procédé à l'analyse (la première version du logiciel marchait), seulement je n'ai pas eu de fichier texte à renvoyer. Je l'ai relancé une seconde fois, et non seulement le processus d'analyse semblait différent que la première fois, mais j'ai bien eu un résultat :

    http://pjjoint.malekal.com/files.php?id=20120302_m9f13l14c7e10

    Pour cette seconde fois, l'ordinateur s'est allumé normalement, sans message d'erreur ni rien au démarrage, et pas la peine de le mettre en mode sans échec.
    1
  2. deadpool_az
     
    L'écran ne dure qu'une ou deux secondes, voici une photo :

    http://imageshack.us/f/843/img0821ei.jpg/
    1
  3. g3n-h@ckm@n
     
    salut tu vireras spybot.....au retour à la normale :

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
    0
  4. g3n-h@ckm@n
     
    ben oui le premier redemarrage a eu lieu en mode sans echec c est pour cela qu il n a pas continué je regarde ca :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    windows pas à jour => à mettre à jour
    internet explorer pas à jour => à mettre à jour
    desinstalle adobe reader 9
    desinstalle spybot il sert à rien
    desinstalle VuzeRemoteToolbar
    desinstalle Offerbox
    desinstalle Java update 26

    ==================

    mauvaise idée de couper le systeme en plusieurs parties ca le rend instable

    ==================

    relance pre_scan et choisis script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    "TkBellExe"=-
    "HP Software Update"=-
    ""=-
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher]
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task]
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}]
    [-HKCU\Software\OfferBox]
    [-HKLM\Software\OfferBox]

    txt::
    C:\Windows\System32\Tasks\{702E9100-7C00-43E1-93A0-9E8DD040C766}
    C:\Windows\System32\Tasks\{B9068D9A-3794-40E1-8EE6-16D9E15AB58B}

    file::
    C:\Windows\system32\c_7265151.nls
    C:\tmp
    C:\Windows\¨ù_
    C:\Windows\ÄúS
    C:\Users\Micazeve\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe

    folder::
    C:\Users\Micazeve\AppData\Roaming\Mozilla\Firefox\Profiles\flx53v7g.default\extensions\anttoolbar@ant.com
    C:\Users\Micazeve\AppData\Roaming\Mozilla\Firefox\Profiles\flx53v7g.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
    C:\tmp
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
    C:\Users\Micazeve\AppData\Roaming\OfferBox
    C:\ProgramData\Spybot - Search & Destroy
    C:\Users\Micazeve\AppData\Local\Conduit
    C:\Program Files\Conduit

    Mbr::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    =====================

    Télécharge Sur cette page : AdwCleaner (de Xplode)

    ▶ clique sur Télécharger et enregistre le fichier sur ton Bureau

    ▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

    ==================================

    ▶▶▶ Sous Vista et Windows 7 /!\ :

    il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    ==================================

    Sur le menu principal :

    ▶ clique sur Suppression et patiente le temps de l'analyse

    ▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    0
  7. deadpool_az
     
    J'ai bien désinstallé ce qui a été demandé.

    Pour les mises à jour, devant le temps fou que cela mettait, j'ai préféré annuler et je reprendrais plus tard.

    Pour le système divisé, c'est une tour que j'ai récupérée, je n'en suis pas à l'origine.

    Voici le rapport Pre_scan :
    http://pjjoint.malekal.com/files.php?id=20120302_z5r14j8f14u14

    Et voici le rapport AdwCleaner :
    http://pjjoint.malekal.com/files.php?id=20120302_v6z7e11b8j6

    Merci.
    0
  8. g3n-h@ckm@n
     
    fais les mises à jour c'est important

    ====

    refais pre_scan en mode sans echec sans prise en charge reseau :

    relance pre_scan et choisis script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    file::
    C:\Windows\system32\c_7265151.nls

    Reboot::


    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  9. deadpool_az
     
    Impossible d'installer les mises à jour Windows. Windows Update tourne dans le vide lors du téléchargement du Service Pack 1 Windows 7, il a tourné presque une heure avant que je ne l'arrête et n'avait toujours rien téléchargé. L'outil Résolution de problèmes Windows Update ne trouve rien.

    Pour l'analyse en mode sans échec, voici le résultat :

    http://pjjoint.malekal.com/files.php?id=20120302_l5t77l11z5
    0
  10. g3n-h@ckm@n
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ NOTE: Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

    0
  11. deadpool_az
     
    Jusqu'à combien de temps cela peut-il prendre ?

    Je poste actuellement d'un autre PC, j'ai lancé Combofix vers 19h et il en est à l'étape 48. Je vais le laisser tourner la nuit du coup.

    Cordialement.
    0
  12. deadpool_az
     
    Seulement étape 50, du coup j'ai annulé et je relancerais :
    - sans bouger la souris cette fois (réflexe stupide quand l'écran s'est mis en veille) ;
    - en désactivant justement la mise en veille de l'ordinateur.
    0
  13. deadpool_az
     
    Ce que je ne m'explique pas par contre, c'est pourquoi le pc est aussi lent depuis hier. Une simple logiciel comme Word met dans les 15 secondes à s'ouvrir, et je ne parle même pas de Firefox...

    Cela viendrait du virus ? Je n'ai pas eu de soucis de ce genre les jours précédents.
    0
  14. g3n-h@ckm@n
     
    t'aurais pas du annuler c'etait la derniere....

    reesssaie en mode sans echec sans prise en charge reseau
    0
  15. deadpool_az
     
    L'analyse est finie.

    Néanmoins, peut-être dû à mes redémarrages successifs pour lancer le mode sans échec, l'ordinateur ne veut pas se redémarrer normalement et affiche un écran bleu.

    Windows me propose la réparation de démarrage, qui est en train de travailler actuellement.
    0
  16. deadpool_az
     
    L'outil de réparation au démarrage n'a rien donné. Le même écran bleu s'affiche et m'empêche de démarrer Windows. C'est la même chose en mode sans échec avec prise en charge réseau. Seul le mode sans échec fonctionne.

    J'ai relancé l'outil de réparation au démarrage. Celui-ci n'a pas trouvé de solution, et l'ordinateur refuse toujours de s'allumer normalement.

    Auparavant, j'ai pu récupérer l'analyse de Combofix mais j'essaye tant bien que mal de jongler entre les ports usb et les clés usb pour le poster ici. Dès que j'arrive à le mettre sur ce pc je le poste.
    0
  17. deadpool_az
     
    Voila :

    ComboFix 12-03-02.01 - Micazeve 03/03/2012 13:05:03.1.2 - x86 MINIMAL
    Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.2048.1597 [GMT 1:00]
    Lancé depuis: C:\david.exe
    AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
    SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\users\Micazeve\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe
    c:\users\Micazeve\Desktop\Internet Explorer.lnk
    c:\windows\system32\oobe\audit.exe
    c:\windows\system32\oobe\msoobe.exe
    c:\windows\system32\oobe\oobeldr.exe
    c:\windows\system32\oobe\Setup.exe
    c:\windows\system32\oobe\setupsqm.exe
    c:\windows\system32\oobe\windeploy.exe
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-02-03 au 2012-03-03 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-03-03 23:54 . 2012-03-03 23:54 -------- d-----w- c:\users\Micazeve\AppData\Local\temp
    2012-03-03 23:54 . 2012-03-03 23:54 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-03-03 23:53 . 2012-03-03 23:53 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD43C3B3-346E-442F-AD6C-EACD2DE36D69}\offreg.dll
    2012-03-02 13:13 . 2012-03-02 13:13 -------- d-----w- c:\windows\system32\SPReview
    2012-03-02 12:57 . 2012-03-02 12:58 -------- d-----w- c:\windows\system32\EventProviders
    2012-03-02 12:55 . 2012-02-08 06:03 6552120 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD43C3B3-346E-442F-AD6C-EACD2DE36D69}\mpengine.dll
    2012-03-02 10:08 . 2012-03-02 16:43 -------- d-----w- C:\Pre_Scan
    2012-02-29 08:30 . 2012-02-23 16:10 44376 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
    2012-02-29 08:30 . 2012-02-23 16:12 610648 ----a-w- c:\windows\system32\drivers\aswSnx.sys
    2012-02-29 08:30 . 2012-02-29 08:46 -------- d-----w- c:\programdata\AVAST Software
    2012-02-28 19:12 . 2012-02-28 19:12 162664 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10140.bin
    2012-02-28 15:26 . 2012-02-28 15:26 -------- d-----w- c:\programdata\Local Settings
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-02-23 16:23 . 2010-07-29 16:48 41184 ----a-w- c:\windows\avastSS.scr
    2012-02-23 16:23 . 2010-07-29 16:48 201352 ----a-w- c:\windows\system32\aswBoot.exe
    2012-02-23 16:12 . 2010-07-29 16:49 337112 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2012-02-23 16:10 . 2010-07-29 16:49 53848 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2012-02-23 16:10 . 2010-07-29 16:49 57688 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2012-02-23 16:10 . 2010-07-29 16:49 20696 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2012-01-29 04:10 . 2010-01-25 14:23 237072 ------w- c:\windows\system32\MpSigStub.exe
    2011-12-05 20:05 . 2011-12-05 20:05 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Steam"="e:\program files\Steam\Steam.exe" [2011-08-02 1242448]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
    "Raptr"="c:\progra~1\Raptr\raptrstub.exe" [2011-12-20 53160]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"="e:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
    "TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2011-07-24 273544]
    "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
    McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux3"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]
    path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
    backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
    backupExtension=.CommonStartup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX7400 Series]
    2007-04-12 05:00 182272 ----a-w- c:\windows\System32\spool\drivers\w32x86\3\E_FATICDE.EXE
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSTray]
    2009-12-18 09:52 557056 ----a-w- c:\program files\SiS VGA Utilities\SiSTray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
    2009-09-02 14:27 25623336 ----a-r- e:\program files\Skype\Phone\Skype.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    2010-01-25 18:58 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
    2012-02-27 19:05 740216 ----a-w- e:\program files\uTorrent\uTorrent.exe
    .
    R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-23 642560]
    R1 aswSnx;aswSnx; [x]
    R1 aswSP;aswSP; [x]
    R2 3033;3033;c:\users\Micazeve\AppData\Local\Temp\3033.sys [x]
    R2 aswFsBlk;aswFsBlk; [x]
    R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-02-23 57688]
    R2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [2011-10-21 196176]
    R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [2011-10-13 249648]
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-25 135664]
    R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]
    R3 EverestDriver;Lavalys EVEREST Kernel Driver;e:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [x]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-25 135664]
    R3 jfdcd;jfdcd;c:\users\Micazeve\AppData\Local\Temp\jfdcd.sys [x]
    R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-07-19 259440]
    R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
    R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712]
    R3 SiS6350;SiS6350;c:\windows\system32\DRIVERS\SISGRKMD.sys [2009-12-16 465920]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-07-09 1343400]
    R3 WPRO_40_1340;WinPcap Packet Driver (WPRO_40_1340);c:\windows\system32\drivers\WPRO_40_1340.sys [x]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-02-29 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-25 17:18]
    .
    2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-25 18:59]
    .
    2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-25 18:59]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - e:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath - c:\users\Micazeve\AppData\Roaming\Mozilla\Firefox\Profiles\flx53v7g.default\
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://ganaches.forum-actif.net
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
    WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
    ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - d:\program files\Alwil Software\Avast5\ashShell.dll
    HKLM-Run-avast - d:\program files\Alwil Software\Avast5\avastUI.exe
    MSConfigStartUp-Adobe ARM - c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    MSConfigStartUp-Adobe Reader Speed Launcher - e:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    MSConfigStartUp-PWRISOVM - e:\program files\PowerISO\PWRISOVM.EXE
    MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\QTTask.exe
    MSConfigStartUp-SpybotSD TeaTimer - e:\program files\Spybot - Search & Destroy\TeaTimer.exe
    MSConfigStartUp-SunJavaUpdateSched - c:\program files\Common Files\Java\Java Update\jusched.exe
    AddRemove-avast - d:\program files\Alwil Software\Avast5\aswRunDll.exe
    AddRemove-EVEREST Ultimate Edition_is1 - e:\program files\Lavalys\EVEREST Ultimate Edition\unins000.exe
    .
    .
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\EverestDriver]
    "ImagePath"="\??\e:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Microsoft\DbgagD\1*]
    "value"="?\0a\02\12\07%6\11"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Heure de fin: 2012-03-04 00:57:16
    ComboFix-quarantined-files.txt 2012-03-03 23:57
    .
    Avant-CF: 20 416 626 688 octets libres
    Après-CF: 21 012 873 216 octets libres
    .
    - - End Of File - - 438DBB0D114BDE438AE4BC7228523B33
    0
  • 1
  • 2
  • 3