Aidez-moi virus Résolu/Fermé

Question

Bonjour, voila, mon antivirus trouve des virus dans la pluparts des scans j'ai peur que mon ordi finisse par beuguer définitivement donc si quelqu'un pouvait m'aider à enlever toute ces ***** sa serai  simpa 

Merci




Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut que trouve ton antivirus ?

S7AN28 · Answer

aujourd'hui il a trouvé ceci : TR/Crypt.XPACK.Gen mais des fois il trouve autre chose

S7AN28 · Answer

Aujourd'hui il a trouvé ceci : TR/Crypt.XPACK.Gen mais des fois il trouve autre chose

g3n-h@ckm@n · Answer

re

telecharge et enregistre Pre_Scan sur ton bureau :

http://www.crdfcloud.fr/gen-hackman_toolspublic/Pre_Scan.exe

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://www.crdfcloud.fr/gen-hackman_toolspublic/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://www.crdfcloud.fr/gen-hackman_toolspublic/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

=============

pour faire evoluer l'outil , l'auteur a besoin du fichier reboot.txt qui se trouve dans le Dossier C:\Pre_scan

relance pre_scan , clic sur "Explore" , puis "Internet" , puis "Upload"
une page internet va s'ouvrir , clic sur Upload , puis "parcourir" , jusqu'au fichier Reboot.txt , puis envoie le fichier

ce fichier texte (que tu peux ouvrir par curiosité) , contient uniquement ce qui concerne les fichiers infectieux ou des noms de repertoires qui serviront à créer une liste blanche.

g3n-h@ckm@n · Answer

desinstalle java update 30

========

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"iTunesHelper"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{63074CB1-68AB-4A08-B7B5-18E345340D76}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}]

list::
C:\ProgramData\TheBflix 

txt::
C:\Windows\System32\Tasks\{92B43BB2-CEC4-422E-A5B7-2DDA136F2199} 

file::
C:\user.js
C:\Windows\Ðõ¯ 

folder::
C:	mp    
C:\ProgramData\26352 
C:\Users\YUKAN LOC_04\AppData\Roaming\TestApp    

Mbr::    

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

S7AN28 · Answer

Bon j'ai désinstallé java update 30 puis j'ai fais se que tu  ma dis et après j'enregistrer le texte que j'ai copié dans script puis je le ferme et cela me mais un message d'erreur : 
Erreur lors de la sauvegarde du fichier
C:/Pre_Scan\Save_Script\BCD
Continuer avec le fichier suivant ?
[ RegCreateKeyEx : 5 - Accès refusé ]
Oui    ou    Non

J'ai essayé les deux, avec oui sa supprime deux trois truc et sa redémarre mon ordi mais sa me met pas le Pre_Script.txt sur le bureau et avec non sa redémarre juste mon ordi.

g3n-h@ckm@n · Answer

regarde si le rapport est pas dans c:\ des fois...

S7AN28 · Answer

Toujours rien

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

S7AN28 · Answer

voila :
ComboFix 12-03-30.06 - YUKAN LOC_04 30/03/2012  18:38:32.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.4076.2557 [GMT 2:00]
Lancé depuis: c:\users\YUKAN LOC_04\Desktop\stanislas.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\TheBflix
c:\programdata\TheBflix\background.html
c:\programdata\TheBflix\bhoclass.dll
c:\programdata\TheBflix\content.js
c:\programdata\TheBflix\data\content.js
c:\programdata\TheBflix\data\jsondb.js
c:\programdata\TheBflix\opnkkfjdnhgkjefnnohgfackfninikjo.crx
c:\programdata\TheBflix\settings.ini
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-02-28 au 2012-03-30  ))))))))))))))))))))))))))))))))))))
.
.
2012-03-30 16:11 . 2012-03-14 03:27	8669240	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{69CAF531-FF33-492B-96F6-2E2C0DD626B5}\mpengine.dll
2012-03-29 19:24 . 2012-03-29 19:24	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Local\ElevatedDiagnostics
2012-03-29 19:11 . 2012-03-30 05:22	--------	d-----w-	C:\Pre_Scan
2012-03-29 18:47 . 2012-03-29 18:50	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Roaming\.minecraft
2012-03-26 19:49 . 2008-05-07 17:59	99840	----a-w-	c:\windows\system32\Spool\prtprocs\x64\HPZPPLHN.DLL
2012-03-25 08:15 . 2012-03-25 08:15	--------	dc----w-	c:\windows\system32\DRVSTORE
2012-03-25 08:15 . 2009-05-18 11:17	34152	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2012-03-25 08:15 . 2008-04-17 10:12	126312	----a-w-	c:\windows\system32\GEARAspi64.dll
2012-03-25 08:15 . 2008-04-17 10:12	107368	----a-w-	c:\windows\SysWow64\GEARAspi.dll
2012-03-25 08:15 . 2012-03-25 08:15	--------	d-----w-	c:\program files\iPod
2012-03-25 08:15 . 2012-03-25 08:15	--------	d-----w-	c:\programdata\{93E26451-CD9A-43A5-A2FA-C42392EA4001}
2012-03-25 08:15 . 2012-03-25 08:15	--------	d-----w-	c:\program files\iTunes
2012-03-25 08:15 . 2012-03-25 08:15	--------	d-----w-	c:\program files (x86)\iTunes
2012-03-25 08:14 . 2012-03-25 08:14	--------	d-----w-	c:\program files\Common Files\Apple
2012-03-25 08:14 . 2012-03-25 08:14	--------	d-----w-	c:\program files\Bonjour
2012-03-25 08:14 . 2012-03-25 08:14	--------	d-----w-	c:\program files (x86)\Bonjour
2012-03-25 07:33 . 2012-03-25 07:33	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Roaming\OpenOffice.org
2012-03-25 07:32 . 2012-03-25 07:32	--------	d-----w-	c:\program files (x86)\OpenOffice.org 3
2012-03-23 17:54 . 2012-03-23 17:54	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Roaming\Malwarebytes
2012-03-23 17:54 . 2012-03-23 17:54	--------	d-----w-	c:\programdata\Malwarebytes
2012-03-23 17:54 . 2012-03-23 17:54	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-23 17:54 . 2011-12-10 14:24	23152	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-23 17:43 . 2012-03-25 07:17	--------	d-----w-	C:\ZHP
2012-03-23 17:42 . 2012-03-25 07:19	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-03-22 19:59 . 2012-03-22 19:59	--------	d-----w-	c:\programdata\Premium
2012-03-22 19:59 . 2012-03-22 19:59	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Local\FXhome
2012-03-22 19:59 . 2012-03-22 20:00	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Local\LocalStorage
2012-03-22 19:58 . 2012-03-22 19:59	--------	d-----w-	c:\programdata\InstallMate
2012-03-22 19:58 . 2010-06-02 03:55	74072	----a-w-	c:\windows\SysWow64\XAPOFX1_5.dll
2012-03-22 19:58 . 2010-06-02 03:55	527192	----a-w-	c:\windows\SysWow64\XAudio2_7.dll
2012-03-22 19:57 . 2012-03-22 19:57	--------	d-----w-	c:\programdata\FXhome
2012-03-18 14:21 . 2012-03-18 14:21	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Roaming\PlayFirst
2012-03-18 14:21 . 2012-03-18 14:21	--------	d-----w-	c:\programdata\PlayFirst
2012-03-14 20:16 . 2011-11-19 15:20	5559152	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-14 20:16 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-03-14 20:16 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-03-14 14:09 . 2012-02-03 04:34	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 14:09 . 2012-02-10 06:36	1544192	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 14:09 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\SysWow64\DWrite.dll
2012-03-14 14:08 . 2012-01-25 06:38	77312	----a-w-	c:\windows\system32dpwsx.dll
2012-03-14 14:08 . 2012-01-25 06:38	149504	----a-w-	c:\windows\system32dpcorekmts.dll
2012-03-14 14:08 . 2012-01-25 06:33	9216	----a-w-	c:\windows\system32drmemptylst.exe
2012-03-14 14:08 . 2012-02-17 06:38	1031680	----a-w-	c:\windows\system32dpcore.dll
2012-03-14 14:08 . 2012-02-17 05:34	826880	----a-w-	c:\windows\SysWow64dpcore.dll
2012-03-14 14:08 . 2012-02-17 04:58	210944	----a-w-	c:\windows\system32\driversdpwd.sys
2012-03-14 14:08 . 2012-02-17 04:57	23552	----a-w-	c:\windows\system32\drivers	dtcp.sys
2012-03-08 17:31 . 2012-03-08 17:31	162664	----a-w-	c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10140.bin
2012-03-04 16:32 . 2012-03-04 16:32	--------	d-----w-	c:\windows\system32\Macromed
2012-03-04 15:23 . 2012-03-04 15:23	--------	d-----w-	c:\program files (x86)\Blender Foundation
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-04 16:32 . 2011-12-28 09:51	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2011-11-09 10:58	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-02-15 09:01 . 2012-02-15 09:01	52736	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2012-02-15 09:01 . 2012-02-15 09:01	4547944	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-01-31 19:46 . 2012-01-31 19:46	525544	----a-w-	c:\windows\system32\deployJava1.dll
2012-01-21 10:07 . 2012-01-21 10:07	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-01-13 06:18 . 2012-01-13 06:18	2306328	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2012-01-13 06:17 . 2012-01-13 06:17	42776	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2012-01-13 06:17 . 2012-01-13 06:17	639312	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2012-01-11 15:19 . 2012-02-23 19:44	230952	----a-w-	c:\windows\system32\drivers\PCTSD64.sys
2012-01-04 10:44 . 2012-02-15 10:17	509952	----a-w-	c:\windows\system32
tshrui.dll
2012-01-04 08:58 . 2012-02-15 10:17	442880	----a-w-	c:\windows\SysWow64
tshrui.dll
2012-01-02 15:25 . 2012-01-02 15:25	472808	----a-w-	c:\windows\SysWow64\deployJava1.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-03-06 421736]
.
c:\users\YUKAN LOC_04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnablELUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-17 136176]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-17 136176]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 PCSUService;PC Speed Up Service;c:\program files (x86)\Accelerer PC\PCSUService.exe [2011-10-24 235232]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-12-21 2656280]
S3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda64v.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-17 17:12]
.
2012-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-17 17:12]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-02-27 11780712]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\SysWOW64\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{328ECD19-C167-40eb-A0C7-16FE7634105E} - {94BB0C4C-B957-479A-85E4-42F53B89F681} - c:\program files\Samsung AnyWeb Print\W2PBrowser.dll
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Toolbar-{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - (no file)
Toolbar-10 - (no file)
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
WebBrowser-{BB1227AC-7A0D-4076-8C1A-51A1348F6FA8} - (no file)
HKLM-Run-ETDCtrl - c:\program files (x86)\Elantech\ETDCtrl.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
AddRemove-Google Chrome - c:\users\YUKAN LOC_04\AppData\Local\Google\Chrome\Application\17.0.963.79\Installer\setup.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
@Denied: (2) (LocalSystem)
"{18DF081C-E8AD-4283-A596-FA578C2EBDC3}"=hex:51,66,7a,6c,4c,1d,38,12,72,0b,cc,
   1c,9f,a6,ed,07,da,80,b9,17,89,70,f9,d7
"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"=hex:51,66,7a,6c,4c,1d,38,12,d5,94,07,
   72,c2,98,42,03,c9,fd,97,9a,f4,87,69,57
"{9030D464-4C02-4ABF-8ECC-5164760863C6}"=hex:51,66,7a,6c,4c,1d,38,12,0a,d7,23,
   94,30,02,d1,0f,f1,da,12,24,73,56,27,d2
"{AA609D72-8482-4076-8991-8CDAE5B93BCB}"=hex:51,66,7a,6c,4c,1d,38,12,1c,9e,73,
   ae,b0,ca,18,05,f6,87,cf,9a,e0,e7,7f,df
"{DBC80044-A445-435B-BC74-9C25C1C588A9}"=hex:51,66,7a,6c,4c,1d,38,12,2a,03,db,
   df,77,ea,35,06,c3,62,df,65,c4,9b,cc,bd
"{E99987AC-6311-4686-B095-EB30B69F9258}"=hex:51,66,7a,6c,4c,1d,38,12,c2,84,8a,
   ed,23,2d,e8,03,cf,83,a8,70,b3,c1,d6,4c
"{FF059E31-CC5A-4E2E-BF3B-96E929D65503}"=hex:51,66,7a,6c,4c,1d,38,12,5f,9d,16,
   fb,68,82,40,0b,c0,2d,d5,a9,2c,88,11,17
"{BDEADE7F-C265-11D0-BCED-00A0C90AB50F}"=hex:51,66,7a,6c,4c,1d,38,12,11,dd,f9,
   b9,57,8c,be,54,c3,fb,43,e0,cc,54,f1,1b
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
@Denied: (2) (LocalSystem)
"Timestamp"=hex:27,31,33,d4,ae,ff,cc,01
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil11f_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil11f_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-03-30  18:44:31
ComboFix-quarantined-files.txt  2012-03-30 16:44
.
Avant-CF: 419 312 939 008 octets libres
Après-CF: 419 038 547 968 octets libres
.
- - End Of File - - 692B164F72D2DFBB7D07D08971F39F11

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\Spool\prtprocs\x64\HPZPPLHN.DLL 
 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

S7AN28 · Answer

https://www.virustotal.com/gui/file/92a7799326ee3e889938e35408f8f9b831b6ea8a90691757445bfbe5080afd46



Bon je c pas tros si c sa mais bon ....

g3n-h@ckm@n · Answer

clique sur reanalyze

S7AN28 · Answer

https://www.virustotal.com/gui/file/92a7799326ee3e889938e35408f8f9b831b6ea8a90691757445bfbe5080afd46

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: RegLock:: [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions] [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

S7AN28 · Answer

omboFix 12-03-30.06 - YUKAN LOC_04 30/03/2012  20:08:30.2.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.4076.2682 [GMT 2:00]
Lancé depuis: c:\users\YUKAN LOC_04\Desktop\stanislas.exe
Commutateurs utilisés :: c:\users\YUKAN LOC_04\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-02-28 au 2012-03-30  ))))))))))))))))))))))))))))))))))))
.
.
2012-03-30 18:13 . 2012-03-30 18:13	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2012-03-30 16:11 . 2012-03-14 03:27	8669240	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{69CAF531-FF33-492B-96F6-2E2C0DD626B5}\mpengine.dll
2012-03-29 19:24 . 2012-03-30 16:46	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Local\ElevatedDiagnostics
2012-03-29 19:11 . 2012-03-30 05:22	--------	d-----w-	C:\Pre_Scan
2012-03-29 18:47 . 2012-03-29 18:50	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Roaming\.minecraft
2012-03-26 19:49 . 2008-05-07 17:59	99840	----a-w-	c:\windows\system32\Spool\prtprocs\x64\HPZPPLHN.DLL
2012-03-25 08:15 . 2012-03-25 08:15	--------	dc----w-	c:\windows\system32\DRVSTORE
2012-03-25 08:15 . 2009-05-18 11:17	34152	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2012-03-25 08:15 . 2008-04-17 10:12	126312	----a-w-	c:\windows\system32\GEARAspi64.dll
2012-03-25 08:15 . 2008-04-17 10:12	107368	----a-w-	c:\windows\SysWow64\GEARAspi.dll
2012-03-25 08:15 . 2012-03-25 08:15	--------	d-----w-	c:\program files\iPod
2012-03-25 08:15 . 2012-03-25 08:15	--------	d-----w-	c:\programdata\{93E26451-CD9A-43A5-A2FA-C42392EA4001}
2012-03-25 08:15 . 2012-03-25 08:15	--------	d-----w-	c:\program files\iTunes
2012-03-25 08:15 . 2012-03-25 08:15	--------	d-----w-	c:\program files (x86)\iTunes
2012-03-25 08:14 . 2012-03-25 08:14	--------	d-----w-	c:\program files\Common Files\Apple
2012-03-25 08:14 . 2012-03-25 08:14	--------	d-----w-	c:\program files\Bonjour
2012-03-25 08:14 . 2012-03-25 08:14	--------	d-----w-	c:\program files (x86)\Bonjour
2012-03-25 07:33 . 2012-03-25 07:33	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Roaming\OpenOffice.org
2012-03-25 07:32 . 2012-03-25 07:32	--------	d-----w-	c:\program files (x86)\OpenOffice.org 3
2012-03-23 17:54 . 2012-03-23 17:54	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Roaming\Malwarebytes
2012-03-23 17:54 . 2012-03-23 17:54	--------	d-----w-	c:\programdata\Malwarebytes
2012-03-23 17:54 . 2012-03-23 17:54	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-23 17:54 . 2011-12-10 14:24	23152	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-23 17:43 . 2012-03-25 07:17	--------	d-----w-	C:\ZHP
2012-03-23 17:42 . 2012-03-25 07:19	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-03-22 19:59 . 2012-03-22 19:59	--------	d-----w-	c:\programdata\Premium
2012-03-22 19:59 . 2012-03-22 19:59	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Local\FXhome
2012-03-22 19:59 . 2012-03-22 20:00	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Local\LocalStorage
2012-03-22 19:58 . 2012-03-22 19:59	--------	d-----w-	c:\programdata\InstallMate
2012-03-22 19:58 . 2010-06-02 03:55	74072	----a-w-	c:\windows\SysWow64\XAPOFX1_5.dll
2012-03-22 19:58 . 2010-06-02 03:55	527192	----a-w-	c:\windows\SysWow64\XAudio2_7.dll
2012-03-22 19:57 . 2012-03-22 19:57	--------	d-----w-	c:\programdata\FXhome
2012-03-18 14:21 . 2012-03-18 14:21	--------	d-----w-	c:\users\YUKAN LOC_04\AppData\Roaming\PlayFirst
2012-03-18 14:21 . 2012-03-18 14:21	--------	d-----w-	c:\programdata\PlayFirst
2012-03-14 20:16 . 2011-11-19 15:20	5559152	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-14 20:16 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-03-14 20:16 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-03-14 14:09 . 2012-02-03 04:34	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 14:09 . 2012-02-10 06:36	1544192	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 14:09 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\SysWow64\DWrite.dll
2012-03-14 14:08 . 2012-01-25 06:38	77312	----a-w-	c:\windows\system32dpwsx.dll
2012-03-14 14:08 . 2012-01-25 06:38	149504	----a-w-	c:\windows\system32dpcorekmts.dll
2012-03-14 14:08 . 2012-01-25 06:33	9216	----a-w-	c:\windows\system32drmemptylst.exe
2012-03-14 14:08 . 2012-02-17 06:38	1031680	----a-w-	c:\windows\system32dpcore.dll
2012-03-14 14:08 . 2012-02-17 05:34	826880	----a-w-	c:\windows\SysWow64dpcore.dll
2012-03-14 14:08 . 2012-02-17 04:58	210944	----a-w-	c:\windows\system32\driversdpwd.sys
2012-03-14 14:08 . 2012-02-17 04:57	23552	----a-w-	c:\windows\system32\drivers	dtcp.sys
2012-03-08 17:31 . 2012-03-08 17:31	162664	----a-w-	c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10140.bin
2012-03-04 16:32 . 2012-03-04 16:32	--------	d-----w-	c:\windows\system32\Macromed
2012-03-04 15:23 . 2012-03-04 15:23	--------	d-----w-	c:\program files (x86)\Blender Foundation
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-04 16:32 . 2011-12-28 09:51	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2011-11-09 10:58	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-02-15 09:01 . 2012-02-15 09:01	52736	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2012-02-15 09:01 . 2012-02-15 09:01	4547944	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-01-31 19:46 . 2012-01-31 19:46	525544	----a-w-	c:\windows\system32\deployJava1.dll
2012-01-21 10:07 . 2012-01-21 10:07	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-01-13 06:18 . 2012-01-13 06:18	2306328	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2012-01-13 06:17 . 2012-01-13 06:17	42776	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2012-01-13 06:17 . 2012-01-13 06:17	639312	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2012-01-11 15:19 . 2012-02-23 19:44	230952	----a-w-	c:\windows\system32\drivers\PCTSD64.sys
2012-01-04 10:44 . 2012-02-15 10:17	509952	----a-w-	c:\windows\system32
tshrui.dll
2012-01-04 08:58 . 2012-02-15 10:17	442880	----a-w-	c:\windows\SysWow64
tshrui.dll
2012-01-02 15:25 . 2012-01-02 15:25	472808	----a-w-	c:\windows\SysWow64\deployJava1.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-03-30_16.42.47   )))))))))))))))))))))))))))))))))))))))))
.
- 2012-03-30 05:25 . 2012-03-30 05:25	13378              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
+ 2012-03-30 18:13 . 2012-03-30 18:13	13378              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
- 2009-07-14 04:54 . 2012-03-30 16:07	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2012-03-30 18:13	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2012-03-30 16:07	49152              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2012-03-30 18:13	49152              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2012-03-30 18:13	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2012-03-30 16:07	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-03-18 00:26 . 2012-03-30 16:56	46832              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-03-30 16:56	37978              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-11-09 10:27 . 2012-03-30 18:15	11662              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-336442205-827502387-1674173946-1000_UserData.bin
+ 2011-11-09 09:24 . 2012-03-30 16:55	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-11-09 09:24 . 2012-03-29 19:49	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-11-09 09:24 . 2012-03-29 19:49	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-11-09 09:24 . 2012-03-30 16:55	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2012-03-30 16:55	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2012-03-29 19:49	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2012-03-30 16:45 . 2012-03-30 16:45	32768              c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
- 2012-03-30 16:07 . 2012-03-30 16:07	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-03-30 18:13 . 2012-03-30 18:13	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-03-30 18:13 . 2012-03-30 18:13	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-03-30 16:07 . 2012-03-30 16:07	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 05:01 . 2012-03-30 05:23	442372              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2012-03-30 18:13	442372              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-11-09 15:23 . 2012-03-30 18:13	4158104              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-336442205-827502387-1674173946-1000-12288.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-03-06 421736]
.
c:\users\YUKAN LOC_04\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnablELUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-17 136176]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-17 136176]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 PCSUService;PC Speed Up Service;c:\program files (x86)\Accelerer PC\PCSUService.exe [2011-10-24 235232]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-12-21 2656280]
S3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda64v.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-17 17:12]
.
2012-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-17 17:12]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-02-27 11780712]
"ETDCtrl"="c:\program files (x86)\Elantech\ETDCtrl.exe" [BU]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\SysWOW64\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{328ECD19-C167-40eb-A0C7-16FE7634105E} - {94BB0C4C-B957-479A-85E4-42F53B89F681} - c:\program files\Samsung AnyWeb Print\W2PBrowser.dll
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Toolbar-{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - (no file)
Toolbar-10 - (no file)
WebBrowser-{BB1227AC-7A0D-4076-8C1A-51A1348F6FA8} - (no file)
.
.
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\CyberLink\Shared files\RichVideo.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.bin
c:\program files (x86)\Samsung\Easy Display Manager\WifiManager.exe
c:\program files (x86)\CyberLink\YouCam\YCMMirage.exe
c:\program files (x86)\Samsung\Easy Display Manager\dmhkcore.exe
c:\program files (x86)\Samsung\Samsung Recovery Solution 5\WCScheduler.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Samsung\Movie Color Enhancer\MovieColorEnhancer.exe
c:\program files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe
c:\program files (x86)\CyberLink\Media+Player10\Media+Player10Serv.exe
c:\program files (x86)\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
c:\program files (x86)\Samsung\Samsung Update Plus\SUPBackground.exe
.
**************************************************************************
.
Heure de fin: 2012-03-30  20:19:59 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-03-30 18:19
ComboFix2.txt  2012-03-30 16:44
.
Avant-CF: 417 909 383 168 octets libres
Après-CF: 417 856 843 776 octets libres
.
- - End Of File - - 2637420A9D1C19BB6631920D640C9E47

g3n-h@ckm@n · Answer

ok ressaie le script en mode sans echec de pre_scan

S7AN28 · Answer

Juste une question sa sert a quoi tous sa ?

g3n-h@ckm@n · Answer

pourquoi tu es venu ici ? pour desinfecter ton pc non ?

S7AN28 · Answer

OK eux comment on fait deja pour ce mettre en mode sans echec ?

g3n-h@ckm@n · Answer

Comment aller en Mode sans échec :

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la première option : Sans Échec, et valide avec "Entrée"

S7AN28 · Answer

Cela me fais la meme chose quand mode normal

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : heberge l'archive sur http://pjjoint.malekal.com et donne le lien ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

S7AN28 · Answer

voici le lien : https://pjjoint.malekal.com/files.php?id=20120331_c8q5e12u13h11

g3n-h@ckm@n · Answer

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : clique pour la version FREE

ou : lien mirroir

&#9654 enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

&#9654 Installe-le puis configure-le comme ceci :

Configuration

si tu n'as rien modifié fais directement quitter sinon enregistrer 

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder.

===================================================

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

&#9654 Exécute le fichier après l'installation de MBAM

===================================================

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
&#9654 Sélectionne "Exécuter un examen complet"
&#9654 Clique sur "Rechercher"
&#9654 L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
&#9654 Ferme tes navigateurs.
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats.
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 

&#9654 Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc : &#9654  fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : &#9654 clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

S7AN28 · Answer

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.04.01.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
YUKAN LOC_04 :: STAN [administrateur]

01/04/2012 14:21:27
mbam-log-2012-04-01 (14-21-27).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 410227
Temps écoulé: 59 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

ok ben toujours des soucis ?

S7AN28 · Answer

non , c bon

S7AN28 · Answer

Merci

g3n-h@ckm@n · Answer

alors fais ce grand menage pour finir

https://gen-hackman.kanak.fr/

Aidez-moi virus

30 réponses

Discussions similaires

Newsletters