Virus et disparition du bureau
Fermé
txap35
Messages postés
38
Date d'inscription
lundi 16 avril 2012
Statut
Membre
Dernière intervention
6 octobre 2015
-
16 avril 2012 à 15:58
txap35 Messages postés 38 Date d'inscription lundi 16 avril 2012 Statut Membre Dernière intervention 6 octobre 2015 - 16 avril 2012 à 18:03
txap35 Messages postés 38 Date d'inscription lundi 16 avril 2012 Statut Membre Dernière intervention 6 octobre 2015 - 16 avril 2012 à 18:03
A voir également:
- Virus et disparition du bureau
- Bureau virtuel windows 10 - Guide
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Changer icone bureau - Guide
- Juliette a supprimé l'icône encadrée de son bureau. que peut-on dire ? ✓ - Forum Windows
8 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
16 avril 2012 à 16:00
16 avril 2012 à 16:00
Salut,
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
Relance RogueKiller et fais "Raccourcis RAZ" à droite.
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
Relance RogueKiller et fais "Raccourcis RAZ" à droite.
txap35
Messages postés
38
Date d'inscription
lundi 16 avril 2012
Statut
Membre
Dernière intervention
6 octobre 2015
16 avril 2012 à 16:14
16 avril 2012 à 16:14
salut malekal, voici le rapport:
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: fabien [Droits d'admin]
Mode: Suppression -- Date: 16/04/2012 16:11:37
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : SMART HDD] PPqvWaRRWbwJi1.exe -- C:\ProgramData\PPqvWaRRWbwJi1.exe -> KILLED [TermProc]
[SUSP PATH] RgWtsvfNRFiS.exe -- C:\ProgramData\RgWtsvfNRFiS.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 17 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : RgWtsvfNRFiS.exe (C:\ProgramData\RgWtsvfNRFiS.exe) -> DELETED
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82073E15 -> HOOKED (Unknown @ 0x8AD2CA6E)
SSDT[289] : NtSetContextThread @ 0x820D4927 -> HOOKED (Unknown @ 0x8AD2CA73)
SSDT[334] : NtTerminateProcess @ 0x82033153 -> HOOKED (Unknown @ 0x8AD2CA0F)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AD2CA78)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AD2CA7D)
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD3200BEVT-22ZCT0 +++++
--- User ---
[MBR] 94846b5544aa183546f37d84ef3e5212
[BSP] aa8616da061fbb0dfc7ff156b96d3fbb : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12288 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25167872 | Size: 292955 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
desolé si je fais des erreurs, c'est la premiere fois que ca m'arrive. Je te remercie pour ton aide
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: fabien [Droits d'admin]
Mode: Suppression -- Date: 16/04/2012 16:11:37
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : SMART HDD] PPqvWaRRWbwJi1.exe -- C:\ProgramData\PPqvWaRRWbwJi1.exe -> KILLED [TermProc]
[SUSP PATH] RgWtsvfNRFiS.exe -- C:\ProgramData\RgWtsvfNRFiS.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 17 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : RgWtsvfNRFiS.exe (C:\ProgramData\RgWtsvfNRFiS.exe) -> DELETED
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82073E15 -> HOOKED (Unknown @ 0x8AD2CA6E)
SSDT[289] : NtSetContextThread @ 0x820D4927 -> HOOKED (Unknown @ 0x8AD2CA73)
SSDT[334] : NtTerminateProcess @ 0x82033153 -> HOOKED (Unknown @ 0x8AD2CA0F)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AD2CA78)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AD2CA7D)
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD3200BEVT-22ZCT0 +++++
--- User ---
[MBR] 94846b5544aa183546f37d84ef3e5212
[BSP] aa8616da061fbb0dfc7ff156b96d3fbb : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12288 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25167872 | Size: 292955 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
desolé si je fais des erreurs, c'est la premiere fois que ca m'arrive. Je te remercie pour ton aide
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
16 avril 2012 à 16:23
16 avril 2012 à 16:23
Si pas fait :
Relance RogueKiller et fais "Raccourcis RAZ" à droite.
puis :
Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.
puis :
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
et enfin :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Relance RogueKiller et fais "Raccourcis RAZ" à droite.
puis :
Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.
puis :
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
et enfin :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
txap35
Messages postés
38
Date d'inscription
lundi 16 avril 2012
Statut
Membre
Dernière intervention
6 octobre 2015
16 avril 2012 à 17:12
16 avril 2012 à 17:12
voila le rapport aswMBR:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-16 16:27:37
-----------------------------
16:27:37.156 OS Version: Windows 6.0.6002 Service Pack 2
16:27:37.157 Number of processors: 1 586 0x170A
16:27:37.158 ComputerName: PC-DE-FABIEN UserName: fabien
16:27:39.096 Initialize success
16:28:46.037 AVAST engine defs: 12041600
16:28:54.674 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
16:28:54.678 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
16:28:54.710 Disk 0 MBR read successfully
16:28:54.717 Disk 0 MBR scan
16:28:54.766 Disk 0 Windows VISTA default MBR code
16:28:54.791 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 12288 MB offset 2048
16:28:54.823 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 292955 MB offset 25167872
16:28:54.839 Disk 0 scanning sectors +625139712
16:28:54.959 Disk 0 scanning C:\Windows\system32\drivers
16:29:17.997 Service scanning
16:30:00.544 Modules scanning
16:30:07.252 Disk 0 trace - called modules:
16:30:07.308 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
16:30:07.654 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86155a10]
16:30:07.664 3 CLASSPNP.SYS[8a39d8b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x850dd028]
16:30:09.743 AVAST engine scan C:\Windows
16:30:13.545 AVAST engine scan C:\Windows\system32
16:34:56.743 File: C:\Windows\system32\ypgvsaym.dll.bak **INFECTED** Win32:Crypt-JBX [Trj]
16:37:48.476 AVAST engine scan C:\Windows\system32\drivers
16:38:13.402 AVAST engine scan C:\Users\fabien
16:41:23.411 Disk 0 MBR has been saved successfully to "C:\Users\fabien\Documents\MBR.dat"
16:41:23.432 The log file has been saved successfully to "C:\Users\fabien\Documents\aswMBR.txt"
voici le rapport adwCleaner:
# AdwCleaner v1.600 - Rapport créé le 16/04/2012 à 16:44:20
# Mis à jour le 15/04/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : fabien - PC-DE-FABIEN
# Exécuté depuis : C:\Users\fabien\Downloads\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : \Facemoi
Dossier Supprimé : C:\Users\fabien\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Facemoi
Dossier Supprimé : C:\Program Files\OfferBox
Fichier Supprimé : C:\Users\fabien\AppData\Roaming\Mozilla\Firefox\Profiles\w5fy8vxb.default\searchplugins\Startsear.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll
Fichier Supprimé : C:\Windows\Tasks\OfferBoxUpdate.job
***** [H. Navipromo] *****
***** [Registre] *****
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Facemoi
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dppahnkclbmppnmcoifolpjmeppoakfb
***** [Registre - GUID] *****
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.19222
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1 --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1 --> hxxp://www.google.fr
-\\ Mozilla Firefox v11.0 (fr)
## Fichier : C:\Users\fabien\AppData\Roaming\Mozilla\Firefox\Profiles\w5fy8vxb.default\prefs.js
C:\Users\fabien\AppData\Roaming\Mozilla\Firefox\Profiles\w5fy8vxb.default\user.js ... Supprimé !
Supprimée : user_pref("browser.search.defaultengine", "Web Search");
Supprimée : user_pref("browser.search.order.1", "hxxp://startsear.ch/?q=");
Supprimée : user_pref("keyword.URL", "hxxp://startsear.ch/?q=");
*************************
AdwCleaner[S1].txt - [5556 octets] - [16/04/2012 16:44:20]
########## EOF - C:\AdwCleaner[S1].txt - [5684 octets] ##########
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-16 16:27:37
-----------------------------
16:27:37.156 OS Version: Windows 6.0.6002 Service Pack 2
16:27:37.157 Number of processors: 1 586 0x170A
16:27:37.158 ComputerName: PC-DE-FABIEN UserName: fabien
16:27:39.096 Initialize success
16:28:46.037 AVAST engine defs: 12041600
16:28:54.674 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
16:28:54.678 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
16:28:54.710 Disk 0 MBR read successfully
16:28:54.717 Disk 0 MBR scan
16:28:54.766 Disk 0 Windows VISTA default MBR code
16:28:54.791 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 12288 MB offset 2048
16:28:54.823 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 292955 MB offset 25167872
16:28:54.839 Disk 0 scanning sectors +625139712
16:28:54.959 Disk 0 scanning C:\Windows\system32\drivers
16:29:17.997 Service scanning
16:30:00.544 Modules scanning
16:30:07.252 Disk 0 trace - called modules:
16:30:07.308 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
16:30:07.654 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86155a10]
16:30:07.664 3 CLASSPNP.SYS[8a39d8b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x850dd028]
16:30:09.743 AVAST engine scan C:\Windows
16:30:13.545 AVAST engine scan C:\Windows\system32
16:34:56.743 File: C:\Windows\system32\ypgvsaym.dll.bak **INFECTED** Win32:Crypt-JBX [Trj]
16:37:48.476 AVAST engine scan C:\Windows\system32\drivers
16:38:13.402 AVAST engine scan C:\Users\fabien
16:41:23.411 Disk 0 MBR has been saved successfully to "C:\Users\fabien\Documents\MBR.dat"
16:41:23.432 The log file has been saved successfully to "C:\Users\fabien\Documents\aswMBR.txt"
voici le rapport adwCleaner:
# AdwCleaner v1.600 - Rapport créé le 16/04/2012 à 16:44:20
# Mis à jour le 15/04/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : fabien - PC-DE-FABIEN
# Exécuté depuis : C:\Users\fabien\Downloads\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : \Facemoi
Dossier Supprimé : C:\Users\fabien\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Facemoi
Dossier Supprimé : C:\Program Files\OfferBox
Fichier Supprimé : C:\Users\fabien\AppData\Roaming\Mozilla\Firefox\Profiles\w5fy8vxb.default\searchplugins\Startsear.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll
Fichier Supprimé : C:\Windows\Tasks\OfferBoxUpdate.job
***** [H. Navipromo] *****
***** [Registre] *****
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Facemoi
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dppahnkclbmppnmcoifolpjmeppoakfb
***** [Registre - GUID] *****
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.19222
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1 --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1 --> hxxp://www.google.fr
-\\ Mozilla Firefox v11.0 (fr)
## Fichier : C:\Users\fabien\AppData\Roaming\Mozilla\Firefox\Profiles\w5fy8vxb.default\prefs.js
C:\Users\fabien\AppData\Roaming\Mozilla\Firefox\Profiles\w5fy8vxb.default\user.js ... Supprimé !
Supprimée : user_pref("browser.search.defaultengine", "Web Search");
Supprimée : user_pref("browser.search.order.1", "hxxp://startsear.ch/?q=");
Supprimée : user_pref("keyword.URL", "hxxp://startsear.ch/?q=");
*************************
AdwCleaner[S1].txt - [5556 octets] - [16/04/2012 16:44:20]
########## EOF - C:\AdwCleaner[S1].txt - [5684 octets] ##########
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
txap35
Messages postés
38
Date d'inscription
lundi 16 avril 2012
Statut
Membre
Dernière intervention
6 octobre 2015
16 avril 2012 à 17:16
16 avril 2012 à 17:16
et voici le lien otl text:
https://pjjoint.malekal.com/files.php?id=20120416_r12h15t13g14r7
puis extras:
https://pjjoint.malekal.com/files.php?id=20120416_p11l7c7i10e8
j'espere avoir tout bien fait, merci
https://pjjoint.malekal.com/files.php?id=20120416_r12h15t13g14r7
puis extras:
https://pjjoint.malekal.com/files.php?id=20120416_p11l7c7i10e8
j'espere avoir tout bien fait, merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
16 avril 2012 à 17:34
16 avril 2012 à 17:34
oui il est parti, par contre plutot bizarre la DLL trouvé pa Avast!
Fais ça :
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2011/04/28 01:44:50 | 000,739,328 | -H-- | C] () -- C:\Windows\System32\ypgvsaym.dll.bak
[2012/04/16 15:36:11 | 000,000,601 | ---- | C] () -- C:\Users\fabien\Desktop\SMART_HDD.lnk
[2012/04/16 15:36:11 | 000,000,168 | ---- | C] () -- C:\ProgramData\-PPqvWaRRWbwJi1r
[2012/04/16 15:36:11 | 000,000,000 | ---- | C] () -- C:\ProgramData\-PPqvWaRRWbwJi1
[2012/04/16 15:36:06 | 000,000,256 | ---- | C] () -- C:\ProgramData\PPqvWaRRWbwJi1
[2012/04/16 15:36:05 | 000,221,184 | ---- | C] () -- C:\ProgramData\PPqvWaRRWbwJi1.exe
[2012/04/16 15:30:23 | 000,300,032 | ---- | C] () -- C:\ProgramData\RgWtsvfNRFiS.exe
* redemarre le pc sous windows et poste le rapport ici
~~
Tu peux scanner ce fichier : C:\Windows\System32\wbem\WMIADAP.EXE
sur https://www.virustotal.com/gui/ et donner le lien ici.
~~
Eventuellement ces prochains jours faire des scans réguliers de Malwarebyte :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Fais ça :
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2011/04/28 01:44:50 | 000,739,328 | -H-- | C] () -- C:\Windows\System32\ypgvsaym.dll.bak
[2012/04/16 15:36:11 | 000,000,601 | ---- | C] () -- C:\Users\fabien\Desktop\SMART_HDD.lnk
[2012/04/16 15:36:11 | 000,000,168 | ---- | C] () -- C:\ProgramData\-PPqvWaRRWbwJi1r
[2012/04/16 15:36:11 | 000,000,000 | ---- | C] () -- C:\ProgramData\-PPqvWaRRWbwJi1
[2012/04/16 15:36:06 | 000,000,256 | ---- | C] () -- C:\ProgramData\PPqvWaRRWbwJi1
[2012/04/16 15:36:05 | 000,221,184 | ---- | C] () -- C:\ProgramData\PPqvWaRRWbwJi1.exe
[2012/04/16 15:30:23 | 000,300,032 | ---- | C] () -- C:\ProgramData\RgWtsvfNRFiS.exe
* redemarre le pc sous windows et poste le rapport ici
~~
Tu peux scanner ce fichier : C:\Windows\System32\wbem\WMIADAP.EXE
sur https://www.virustotal.com/gui/ et donner le lien ici.
~~
Eventuellement ces prochains jours faire des scans réguliers de Malwarebyte :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
txap35
Messages postés
38
Date d'inscription
lundi 16 avril 2012
Statut
Membre
Dernière intervention
6 octobre 2015
16 avril 2012 à 17:49
16 avril 2012 à 17:49
voici le rapport otl:
========== OTL ==========
File C:\Windows\System32\ypgvsaym.dll.bak not found.
File C:\Users\fabien\Desktop\SMART_HDD.lnk not found.
File C:\ProgramData\-PPqvWaRRWbwJi1r not found.
File C:\ProgramData\-PPqvWaRRWbwJi1 not found.
File C:\ProgramData\PPqvWaRRWbwJi1 not found.
File C:\ProgramData\PPqvWaRRWbwJi1.exe not found.
File C:\ProgramData\RgWtsvfNRFiS.exe not found.
OTL by OldTimer - Version 3.2.39.2 log created on 04162012_174234
lien du scan sur virustotal:
SHA256: 38b9344c0fd56afcd7974c7b9608b74cd676d97c7f8c9b6ecaed7d5eb0d45810
========== OTL ==========
File C:\Windows\System32\ypgvsaym.dll.bak not found.
File C:\Users\fabien\Desktop\SMART_HDD.lnk not found.
File C:\ProgramData\-PPqvWaRRWbwJi1r not found.
File C:\ProgramData\-PPqvWaRRWbwJi1 not found.
File C:\ProgramData\PPqvWaRRWbwJi1 not found.
File C:\ProgramData\PPqvWaRRWbwJi1.exe not found.
File C:\ProgramData\RgWtsvfNRFiS.exe not found.
OTL by OldTimer - Version 3.2.39.2 log created on 04162012_174234
lien du scan sur virustotal:
SHA256: 38b9344c0fd56afcd7974c7b9608b74cd676d97c7f8c9b6ecaed7d5eb0d45810
txap35
Messages postés
38
Date d'inscription
lundi 16 avril 2012
Statut
Membre
Dernière intervention
6 octobre 2015
16 avril 2012 à 18:03
16 avril 2012 à 18:03
et le rapport de malwarebytes:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.16.03
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
fabien :: PC-DE-FABIEN [administrateur]
16/04/2012 17:53:27
mbam-log-2012-04-16 (17-53-27).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 189629
Temps écoulé: 8 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Users\fabien\AppData\Local\Temp\hnhkWASQtBvozT.exe.tmp (Backdoor.Agent.RCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fabien\Downloads\SetupPoker.exe_d18eb1.exe (PUP.Casino) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fabien\Downloads\vshare-plugin-v3.exe (Adware.Adrotator) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fabien\Local Settings\Temporary Internet Files\Content.IE5\746P8DUA\calc[1].exe (Backdoor.Agent.RCGen) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.16.03
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
fabien :: PC-DE-FABIEN [administrateur]
16/04/2012 17:53:27
mbam-log-2012-04-16 (17-53-27).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 189629
Temps écoulé: 8 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Users\fabien\AppData\Local\Temp\hnhkWASQtBvozT.exe.tmp (Backdoor.Agent.RCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fabien\Downloads\SetupPoker.exe_d18eb1.exe (PUP.Casino) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fabien\Downloads\vshare-plugin-v3.exe (Adware.Adrotator) -> Mis en quarantaine et supprimé avec succès.
C:\Users\fabien\Local Settings\Temporary Internet Files\Content.IE5\746P8DUA\calc[1].exe (Backdoor.Agent.RCGen) -> Mis en quarantaine et supprimé avec succès.
(fin)
