BACKUP SERVICE A CESSE DE FONCTIONNER Fermé

Question

Bonsoir,

Voilà mon petit, moyen voir gros problème.
Depuis quelques temps j'ai des ralentissements internet : avec des messages comme "le programme a cesser de fonctionner" et la page que je consulte se met en flou ...
Et depuis peu, à l'allumage de mon pc j'ai une fenêtre qui s'ouvre qui me dit : "backup service à cesser de fonctionner" avec une autre fenêtre en dessous avec un message d'erreur que je n'arrive pas à copier pour pouvoir vous le mettre en visu ...

Mon moteur de recherche est google chrome. j'ai essayé de le remplacer par firefox mais le problème reste le même.

Régulièrement je lance CCleaner et mon antivirus est Avira Antivir.

Je pense que mon pc est un peu pollué par des logiciels mal désinstallés mais j'ai surtout peur d'avoir un virus.

Alors HELP WANTED à qui voudra bien m'offrir son aide :) par contre s'il faut faire un "scan de mon pc" merci de me donner la marche à suivre parce que ... je sais pô faire ;)

Merci bien pour l'âme charitable ! 


Configuration: Windows 7 / Safari 536.5

g3n-h@ckm@n · Answer

salut

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

tit-libellule · Answer

Je suis toujours là ...
Le scan n'arrive pas à aboutir et bloque le pc ...
Je tente les autres liens :)

g3n-h@ckm@n · Answer

salut donne des precisions

tit-libellule · Answer

En utilisant le lien :

http://forums-fec.be/gen-hackman/Pre_Scan.exe 

J'ai un message d'erreur qui intervient juste après l'étape : Vérification des fichiers système et j'ai le message suivant, 

"AutoIt Error - Line 40552 (File ...) - Error Parsing function call"

Je lances avec les autres lien pour essayer encore. :)

g3n-h@ckm@n · Answer

ok tu as un rapport Pre_Scan.txt dans c:\ ? si oui heberge-le comme indiqué

tit-libellule · Answer

Salut; 

Je pense que j'y suis arrivée, le lien : 

 https://pjjoint.malekal.com/files.php?id=20120601_e12z7y117i7

Merci de ta patience !

g3n-h@ckm@n · Answer

desinstalle Dealply

===================

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Users\puce\Downloads\Win7.exe 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

==================

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=- 
[HKU\S-1-5-21-556798134-508180817-2030326206-1000\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}]
[-HKU\S-1-5-21-556798134-508180817-2030326206-1000\Software\DealPly]     
[-HKU\S-1-5-21-556798134-508180817-2030326206-1000\Software\OfferBox]     
[-HKU\S-1-5-21-556798134-508180817-2030326206-1000\Software\SweetIM]     
[-HKLM\Software\DealPly]     
[-HKLM\Software\OfferBox]     
[-HKLM\Software\SweetIM]     

txt::
C:\windows\System32\Tasks\{66707559-D27A-4CF8-BB7F-487794BE3F8B} 

File::
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup	mchlang.lnk 

Folder::
C:\Program Files\DealPly
C:\Users\puce\AppData\Roaming\OfferBox     

Del_Part::
3

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

tit-libellule · Answer

https://www.virustotal.com/gui/file/ae226cb42c28316badfe1bc481b124270aa441c61804201e2c590b3210dd970a


Le lien de VIRUS TOTAL 

:)

tit-libellule · Answer

Et : ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.601 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ puce : Windows 7 Starter (32 bits) Switchs : https://gen-hackman.kanak.fr/ Script : 00:12:25 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Modification du registre effectuée ¤ Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup mchlang.lnk ¤ ¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\windows\System32\Tasks\{66707559-D27A-4CF8-BB7F-487794BE3F8B} true IgnoreNew false true true false false PT10M PT1H true false true true false false false PT72H 7 C:\windows\system32\pcalua.exe -a C:\Users\puce\Downloads\phnv15fr.exe -d C:\Users\puce\Downloads ASUS\puce InteractiveToken LeastPrivilege ¤ Supprimé : C:\Program Files\DealPly Supprimé : C:\Users\puce\AppData\Roaming\OfferBox ¤ ¤¤¤¤¤¤¤¤¤¤ | MBR Windows Version: Windows 7 Starter Edition Windows Information: Service Pack 1 (build 7601), 32-bit Base Board Manufacturer: ASUSTeK Computer INC. BIOS Manufacturer: American Megatrends Inc. System Manufacturer: ASUSTeK Computer INC. System Product Name: 1008P Logical Drives Mask: 0x0000000c Analysis of file "C:\Pre_Scan\MBR.bin": Windows 7 MBR code detected ¤ ¤¤¤¤¤¤¤¤¤¤ | Suppression Partition(s) Disk: 0 Size=238G Pos MBRndx Type/Name Size Active Hide Start Sector Sectors --- ------ ---------- ---- ------ ---- ------------ ------------ 0 0 07-NTFS 102G Yes No 2,048 209,715,200 1 1 1B-FAT32 15G No Yes 209,717,248 31,457,280 2 2 07-NTFS 121G No No 241,174,528 247,181,312 ¤ ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque Nettoyage du disque effectué ¤ explorer.exe -> Processus redémarré Fin : 00:15:00 ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ Et voilà :)

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

tit-libellule · Answer

Bonjour,

Le rapport de ADWCleaner : 


# AdwCleaner v1.608 - Rapport créé le 02/06/2012 à 14:22:29
# Mis à jour le 27/05/2012 par Xplode
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
# Nom d'utilisateur : puce - PUCE
# Exécuté depuis : C:\Users\puce\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Supprimé au redémarrage : C:\ProgramData\boost_interprocess

***** [Registre] *****

Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v [Impossible d'obtenir la version]

Nom du profil : default 
Fichier : C:\Users\puce\AppData\Roaming\Mozilla\Firefox\Profiles\u6nl1511.default\prefs.js

C:\Users\puce\AppData\Roaming\Mozilla\Firefox\Profiles\u6nl1511.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v19.0.1084.52

Fichier : C:\Users\puce\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1714 octets] - [02/06/2012 14:22:29]

########## EOF - C:\AdwCleaner[S1].txt - [1842 octets] ##########

g3n-h@ckm@n · Answer

regarde si tu peux supprimer manuellemenr ceci :

C:\ProgramData\boost_interprocess

tit-libellule · Answer

à priori non.

Dans C: je ne trouve pas ProgramData\boost_interprocess

...

g3n-h@ckm@n · Answer

touche Windows + R

tape %ProgramData%

le dossier va s ouvrir

tit-libellule · Answer

oki. Mais je ne peux pas le supprimer ...

g3n-h@ckm@n · Answer

essaie en mode sans echec

tit-libellule · Answer

Euh là je ne comprend pas ce que je dois faire ...

Ce que j'essayais de faire c'est : "clic droit - supprimer" et ça me dit "cette action ne peut pas être réalisée car le dossier ou l'un des fichiers est ouvert dans un autre programme"

Dans CCleaner je n'ai pas ce programme et idem dans le panneau de configuration ...

g3n-h@ckm@n · Answer

Comment aller en Mode sans échec :

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la première option : Sans Échec, et valide avec "Entrée"

tit-libellule · Answer

Ok c'est bon, en passant par là , la suppression a été possible :)

J'ai redémarré le pc "normalement" et ... y a encore le message "back up ...." 

Bon bah, demain pour la suite des manip :)

Bonne nuit !

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

tit-libellule · Answer

je suis toujours là :) 
je fais la suite ce soir ;)

g3n-h@ckm@n · Answer

ok :)

tit-libellule · Answer

et voilà le rapport :


Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.06.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
puce :: PUCE [administrateur]

06/06/2012 21:04:13
mbam-log-2012-06-06 (21-04-13).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 312917
Temps écoulé: 1 heure(s), 28 minute(s), 38 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

ok toujours le message j imagine ?

tit-libellule · Answer

bonsoir :)
Oui toujours le même message ... et j'ai aussi celui ci "le plug in a cessé de fonctionner" ... :(

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

tit-libellule · Answer

Suis de retour pour la suite !!! :) 

Alors donc : 

ComboFix 12-06-15.03 - puce 15/06/2012  18:51:09.1.2 - x86
Microsoft Windows 7 Édition Starter   6.1.7601.1.1252.33.1036.18.1014.431 [GMT 2:00]
Lancé depuis: c:\users\puce\Downloads\1234567890.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\puce\AppData\Roaming\Microsoft\Windows\Recent\PDFCreator.url
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-15 au 2012-06-15  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-15 17:05 . 2012-06-15 17:09	--------	d-----w-	c:\users\puce\AppData\Local	emp
2012-06-15 16:17 . 2012-05-08 16:40	6737808	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E6202FCF-76CC-4F41-8C81-0545D9731E29}\mpengine.dll
2012-06-06 18:58 . 2012-06-06 18:58	--------	d-----w-	c:\users\puce\AppData\Roaming\Malwarebytes
2012-06-06 18:57 . 2012-06-06 18:57	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-06 18:57 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-06 18:57 . 2012-06-06 19:01	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-06-02 22:46 . 2012-06-15 11:08	--------	d-----w-	c:\programdata\boost_interprocess
2012-05-29 21:22 . 2012-06-01 22:15	--------	d-----w-	C:\Pre_Scan
2012-05-27 11:24 . 2012-05-27 11:24	--------	d-----w-	c:\program files\Common Files\Skype
2012-05-27 10:20 . 2012-05-27 10:20	--------	d-----w-	c:\windows\system32\Adobe
2012-05-27 09:38 . 2012-05-27 09:38	--------	d-----w-	c:\users\puce\AppData\Local\Apps
2012-05-27 09:38 . 2012-05-27 09:39	--------	d-----w-	c:\users\puce\AppData\Local\Deployment
2012-05-27 09:12 . 2012-05-27 09:16	--------	d-----w-	c:\users\puce\AppData\Roaming\QuickScan
2012-05-26 22:29 . 2012-05-27 10:15	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-26 22:29 . 2012-05-27 10:15	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-26 20:05 . 2012-05-26 20:05	--------	d-----w-	c:\program files\Defraggler
2012-05-25 23:05 . 2012-05-25 23:05	--------	d-----w-	c:\program files\Common Files\Java
2012-05-25 23:04 . 2012-05-25 23:04	476960	----a-w-	c:\windows\system32
pdeployJava1.dll
2012-05-24 19:14 . 2012-05-24 19:14	--------	d-----w-	c:\users\puce\AppData\Local\Mozilla
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-25 23:04 . 2011-05-19 06:10	472864	----a-w-	c:\windows\system32\deployJava1.dll
2012-03-31 04:39 . 2012-05-09 18:30	3968368	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-03-31 04:39 . 2012-05-09 18:30	3913072	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-31 02:36 . 2012-05-09 18:30	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-03-30 10:23 . 2012-05-09 18:30	1291632	----a-w-	c:\windows\system32\drivers	cpip.sys
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-20 1545512]
"HotkeyMon"="AsusSender.exe" [2011-07-13 34728]
"HotkeyService"="AsusSender.exe" [2011-07-13 34728]
"SuperHybridEngine"="AsusSender.exe" [2011-07-13 34728]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-11-30 3058304]
"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-09-25 402608]
"LiveUpdate"="AsusSender.exe" [2011-07-13 34728]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-07-20 83240]
"LivCam"="c:\program files\ASUS\LivCam\LivCam.exe" [2009-11-19 284160]
"EeeStorageBackup"="c:\program files\ASUS\Asus WebStorage\BackupService.exe" [2009-08-25 947472]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-09-29 7744032]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
.



Et voilà, bon courage :)

g3n-h@ckm@n · Answer

et voila il est pas complet ^^

tit-libellule · Answer

0_o il est pas complet ... ^^ donc je relance le truc ?

tit-libellule · Answer

non ... j'avais pas tout copier/coller !!! N'imp' ;)


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
[HKLM\~\startupfolder\C:^Users^puce^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk]
path=c:\users\puce\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2011-11-01 22:25	59240	----a-w-	c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-01-16 16:22	421736	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2012-03-08 16:50	4280184	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OOBESetup]
2009-09-30 10:58	338096	----a-w-	c:\program files\ASUS\OOBERegBackup\OOBERegBackup.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 12:02	254696	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-05-03 158856]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-27 257696]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 29472]
R3 cpudrv;cpudrv;c:\program files\SystemRequirementsLab\cpudrv.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2010-11-20 52224]
S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2011-02-09 11832]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-04-04 63928]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]
S2 MSSQL$FFGCOMPW;SQL Server (FFGCOMPW);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2010-12-10 29293408]
S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
S2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [2012-04-09 3063968]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-13 50688]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-26 10:15]
.
2012-05-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-556798134-508180817-2030326206-1000Core.job
- c:\users\puce\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-27 09:39]
.
2012-05-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-556798134-508180817-2030326206-1000UA.job
- c:\users\puce\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-27 09:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-556798134-508180817-2030326206-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-556798134-508180817-2030326206-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(708)
c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32	askhost.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\conhost.exe
c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe
c:\program files\EeePC\HotkeyService\HotKeyMon.exe
c:\program files\EeePC\HotkeyService\HotkeyService.exe
c:\program files\EeePC\SHE\SuperHybridEngine.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\Asus\LiveUpdate\LiveUpdate.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Heure de fin: 2012-06-15  19:18:04 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-06-15 17:18
.
Avant-CF: 78 382 587 904 octets libres
Après-CF: 79 035 035 648 octets libres
.
- - End Of File - - 48E28D8B5380E50BC8CBDB1807777054

g3n-h@ckm@n · Answer

heu tu veux bien l'héberger stp ?

tit-libellule · Answer

cela veut dire quoi l'héberger ?

g3n-h@ckm@n · Answer

comme tu as fait ici : 

https://forums.commentcamarche.net/forum/affich-25275900-backup-service-a-cesse-de-fonctionner?full#7 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

tit-libellule · Answer

et voilà le lien :)

https://pjjoint.malekal.com/files.php?id=20120620_k8z13g12z6v13

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: RegLock:: [HKEY_USERS\S-1-5-21-556798134-508180817-2030326206-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice] [HKEY_USERS\S-1-5-21-556798134-508180817-2030326206-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

tit-libellule · Answer

Me revoilà :)

Le lien : 

 https://pjjoint.malekal.com/files.php?id=20120711_z5p12z12n5i5

Ceci étant j'ai des messages bloquant lorsque je vais sur youtube, facebook : a cessé de fonctionné et j'ai une fenêtre qui s'ouvre avec une image de pièce de puzzle qui "boude" et de je dois attendre que tout redevienne correctement ou directement fermer les onglets ouverts.

Voili voilou

g3n-h@ckm@n · Answer

oué ben un mois après y a plus rien de pareil .... 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

tit-libellule · Answer

SORRY ^^

g3n-h@ckm@n · Answer

ben tant pis on repart à zero

Télécharge DelFix (de Xplode) sur ton bureau.

Lance le, choisis suppression

Patiente pendant le scan jusqu'à l'ouverture du rapport.

Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le désinstaller.

==============================

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

BACKUP SERVICE A CESSE DE FONCTIONNER

39 réponses

Discussions similaires