Virus redirection page web Fermé

Question

Bonjour, 

J'ai des redirection vers des pub quand je navigue sur internet, des pages internets qui s'ouvrent toutes seuls vers des pubs également, et une grande latence.
Je suspecte un virus, et je viens vous demander de l'aide.
Merci d'avance


Configuration: Windows 7 / Internet Explorer 9.0

Xplode · Accepted Answer

Salut, 

Laisse tomber norton powermachintruc.. :o)

C:\Windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\U\00000008.@  

C'est du ZAccess. 
@Dax, 

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\ 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

*Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt  

++  
Xplode - Contributeur sécurité.

nosmarties · Answer

Scan Malwarebytes.

Dax · Answer

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.06.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Eric :: ERIC-PC [administrateur]

07/06/2012 18:26:53
mbam-log-2012-06-07 (18-26-53).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 218815
Temps écoulé: 46 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Eric\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.

(fin)


Je redémarre voir si le problème est reglé

nosmarties · Answer

Trojan.Dropper.BCMiner
+
PUP.Toolbar.Repacked

Télécharge et lance norton power eraser :

https://support.norton.com/sp/static/external/tools/npe.html

nosmarties · Answer

Virus detection, ici :
http://security.symantec.com/sscv6/home.asp?langid=ie&venid=sym&plfid=21&pkj=MEKPIVFWMFKPXKBQWNQ

nosmarties · Answer

Les manipes incroyablement complexes ne valent pas un bon Norton Power Eraser bien simple....
Il faut toujours viser au plus simple.

juju666 · Answer

Heu lowl ? 

Tous les antivirus se cassent la figure sur ZAccess :o)

Dax · Answer

Bon, j'ai effectué l'analyse ComboFix. Après le redémarrage, je pouvais plus rien lancer, j'ai du re-demarrer une fois de plus. Voici le rapport :

ComboFix 12-06-07.03 - Eric 07/06/2012  19:18:34.1.8 - x64
Lancé depuis: c:\users\Eric\Desktop\Dax.exe
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Eric\AppData\Local\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}
c:\users\Eric\AppData\Local\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\@
c:\users\Eric\AppData\Local\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}

c:\users\Eric\AppData\Roaming\app
c:\users\Eric\AppData\Roaming\app\Jerakine_lang.dat
c:\users\Eric\AppData\Roaming\app\Jerakine_lang_vesrion.dat
c:\users\Eric\Documents\DCSCMIN
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\@
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\L\00000004.@
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\L\1afb2d56
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\L\201d3dde
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}

c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\U\00000004.@
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\U\00000008.@
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\U\000000cb.@
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\U\80000000.@
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\U\80000032.@
c:\windows\Installer\{7d8bc1e5-7c9a-7a5c-003f-b967b7268984}\U\80000064.@
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-07 au 2012-06-07  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-07 17:09 . 2012-06-07 17:09	--------	d-----w-	c:\users\Eric\AppData\Roaming\Avira
2012-06-07 17:08 . 2012-06-07 17:08	--------	d-----w-	c:\programdata\Avira
2012-06-07 17:08 . 2012-06-07 17:08	--------	d-----w-	c:\program files (x86)\Avira
2012-06-07 17:08 . 2011-12-01 15:55	97312	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-06-07 17:08 . 2011-12-01 15:55	27760	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-06-07 17:08 . 2011-12-01 15:55	130760	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-06-07 16:37 . 2012-06-07 16:48	--------	d-----w-	c:\users\Eric\AppData\Local\NPE
2012-06-07 16:37 . 2012-06-07 16:37	--------	d-----w-	c:\programdata\Norton
2012-06-07 08:19 . 2012-06-07 17:07	--------	d-----w-	c:\program files (x86)\Spybot - Search & Destroy
2012-06-07 08:19 . 2012-06-07 17:07	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2012-06-07 08:16 . 2012-06-07 08:18	--------	d-----w-	c:\users\Eric\AppData\Roaming\GetRightToGo
2012-06-06 09:15 . 2012-06-06 09:15	--------	d-sh--w-	c:\windows\SysWow64\%APPDATA%
2012-06-05 06:05 . 2012-06-05 06:05	--------	d-----w-	c:\users\Eric\AppData\Local\SplitMediaLabs
2012-06-02 18:02 . 2012-06-02 18:02	--------	d-----w-	c:\programdata\ATI
2012-06-02 18:01 . 2012-06-02 18:01	--------	d-----w-	c:\program files (x86)\AMD AVT
2012-06-02 18:01 . 2012-06-02 18:01	--------	d-----w-	c:\program files (x86)\AMD APP
2012-06-01 16:22 . 2012-06-01 16:22	--------	d-----w-	c:\programdata\TamoSoft
2012-06-01 16:22 . 2012-06-03 01:50	--------	d-----w-	c:\program files (x86)\CommView
2012-05-24 06:25 . 2012-05-24 06:26	--------	d-----w-	c:\program files (x86)\AutoWebCam
2012-05-24 06:16 . 2012-05-24 06:16	--------	d-----w-	c:\users\Eric\AppData\Roaming\LolClient2
2012-05-18 23:04 . 2012-05-18 23:04	--------	d-----w-	c:\users\Eric\AppData\Local\Smart_PC_Utilities,_Ltd
2012-05-18 23:03 . 2012-05-18 23:03	--------	d-----w-	c:\program files (x86)\Smart PC Utilities
2012-05-11 20:22 . 2012-05-11 20:22	--------	d-----w-	c:\program files (x86)\HyCam2
2012-05-11 18:45 . 2012-03-31 06:05	5559664	----a-w-	c:\windows\system32
toskrnl.exe
2012-05-11 18:45 . 2012-03-31 04:39	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-05-11 18:45 . 2012-03-31 04:39	3913072	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-05-11 18:45 . 2012-03-31 03:10	3146240	----a-w-	c:\windows\system32\win32k.sys
2012-05-11 18:45 . 2012-03-03 06:35	1544704	----a-w-	c:\windows\system32\DWrite.dll
2012-05-11 18:45 . 2012-03-03 05:31	1077248	----a-w-	c:\windows\SysWow64\DWrite.dll
2012-05-11 18:44 . 2012-03-17 07:58	75120	----a-w-	c:\windows\system32\drivers\partmgr.sys
2012-05-11 18:44 . 2012-03-31 05:42	1732096	----a-w-	c:\program files\Windows Journal\NBDoc.DLL
2012-05-11 18:44 . 2012-03-31 05:40	1367552	----a-w-	c:\program files\Common Files\Microsoft Shared\ink\journal.dll
2012-05-11 18:44 . 2012-03-30 11:35	1918320	----a-w-	c:\windows\system32\drivers	cpip.sys
2012-05-11 18:44 . 2012-03-31 05:40	1402880	----a-w-	c:\program files\Windows Journal\JNWDRV.dll
2012-05-11 18:44 . 2012-03-31 05:40	1393664	----a-w-	c:\program files\Windows Journal\JNTFiltr.dll
2012-05-11 18:44 . 2012-03-31 04:29	936960	----a-w-	c:\program files (x86)\Common Files\Microsoft Shared\ink\journal.dll
2012-05-11 15:47 . 2012-05-11 15:47	--------	d-----w-	c:\program files (x86)\Mozilla Maintenance Service
2012-05-11 15:47 . 2012-05-11 15:47	588728	----a-w-	c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-05-11 15:47 . 2012-05-11 15:47	43960	----a-w-	c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-05-11 15:47 . 2012-05-11 15:47	157352	----a-w-	c:\program files (x86)\Mozilla Firefox\maintenanceservice_installer.exe
2012-05-11 15:47 . 2012-05-11 15:47	129976	----a-w-	c:\program files (x86)\Mozilla Firefox\maintenanceservice.exe
2012-05-10 01:13 . 1997-11-19 13:49	303616	----a-w-	c:\windows\IsUninst.exe
2012-05-10 01:13 . 2012-05-10 01:13	--------	d-----w-	c:\windows\_ISTMP2.DIR
2012-05-09 22:01 . 2012-05-09 22:01	--------	d-----w-	c:\programdata\pI3_lic_file
2012-05-09 21:54 . 2012-05-09 21:54	--------	d-----w-	c:\programdata\pI3demoLicense
2012-05-09 21:49 . 2012-05-10 00:20	--------	d-----w-	c:\program files (x86)\particleIllusion 3.0 demo
2012-05-09 15:58 . 2012-05-09 15:58	--------	d-----w-	c:\windows\SysWow64\languages
2012-05-09 15:58 . 2012-05-09 15:58	--------	d-----w-	c:\windows\SysWow64\custom matrices
2012-05-09 15:58 . 2012-05-09 15:58	1181155	----a-w-	c:\windows\SysWow64\unins000.exe
2012-05-09 15:58 . 2010-11-15 16:36	936485	----a-w-	c:\windows\SysWow64\ffmpegmt.dll
2012-05-09 15:58 . 2010-11-12 20:22	3838640	----a-w-	c:\windows\SysWow64\libavcodec.dll
2012-05-09 15:58 . 2010-11-04 00:29	206789	----a-w-	c:\windows\SysWow64\ff_kernelDeint.dll
2012-05-09 15:58 . 2010-11-04 00:28	702788	----a-w-	c:\windows\SysWow64\ff_x264.dll
2012-05-09 15:58 . 2010-11-03 23:06	163328	----a-w-	c:\windows\SysWow64\libmpeg2_ff.dll
2012-05-09 15:58 . 2010-11-03 23:06	146944	----a-w-	c:\windows\SysWow64\ff_tremor.dll
2012-05-09 15:58 . 2007-10-20 11:04	1708	----a-w-	c:\windows\SysWow64\openIE.js
2012-05-09 11:38 . 2012-04-12 16:12	224048	----a-w-	c:\windows\system32\drivers\VBoxDrv.sys
2012-05-09 11:38 . 2012-04-12 16:12	130864	----a-w-	c:\windows\system32\drivers\VBoxUSBMon.sys
2012-05-09 11:29 . 2012-05-09 11:29	--------	d-----w-	c:\program files (x86)\WinDirStat
2012-05-09 11:28 . 2012-05-09 11:28	--------	d-----w-	c:\program files\Oracle
2012-05-08 19:30 . 2012-05-08 21:21	--------	dc----w-	C:\MSDCSC
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-07 06:38 . 2012-05-07 06:08	419488	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-05-07 06:38 . 2011-06-19 20:58	70304	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-05-07 06:38 . 2012-05-07 06:38	8744608	----a-w-	c:\windows\SysWow64\FlashPlayerInstaller.exe
2012-04-22 20:14 . 2012-04-22 20:14	4376576	----a-w-	c:\windows\system32\ffdshow.ax
2012-04-22 20:14 . 2012-04-22 20:14	4489728	----a-w-	c:\windows\system32\ffmpeg.dll
2012-04-22 20:12 . 2012-04-22 20:12	4424704	----a-w-	c:\windows\SysWow64\ffmpeg.dll
2012-04-15 21:32 . 2012-04-15 21:32	1071032	----a-w-	c:\windows\system32\drivers\wcmvcam64.sys
2012-04-12 16:12 . 2012-04-12 16:12	147248	----a-w-	c:\windows\system32\drivers\VBoxNetAdp.sys
2012-04-12 16:12 . 2012-04-12 16:12	166192	----a-w-	c:\windows\system32\drivers\VBoxNetFlt.sys
2012-04-12 16:12 . 2012-04-12 16:12	320816	----a-w-	c:\windows\system32\VBoxNetFltNobj.dll
2012-04-08 23:47 . 2012-04-08 23:47	474624	----a-w-	c:\windows\system32\ff_kernelDeint.dll
2012-04-08 23:47 . 2012-04-08 23:47	92160	----a-w-	c:\windows\system32\ff_vfw.dll
2012-04-08 23:46 . 2012-04-08 23:46	631296	----a-w-	c:\windows\system32\TomsMoComp_ff.dll
2012-04-08 23:45 . 2012-04-08 23:45	183808	----a-w-	c:\windows\system32\ff_unrar.dll
2012-04-08 23:45 . 2012-04-08 23:45	156672	----a-w-	c:\windows\system32\ff_libmad.dll
2012-04-08 23:45 . 2012-04-08 23:45	114688	----a-w-	c:\windows\system32\ff_wmv9.dll
2012-04-08 23:45 . 2012-04-08 23:45	359424	----a-w-	c:\windows\system32\ff_libfaad2.dll
2012-04-08 23:45 . 2012-04-08 23:45	222720	----a-w-	c:\windows\system32\ff_libdts.dll
2012-04-08 23:45 . 2012-04-08 23:45	1532928	----a-w-	c:\windows\system32\ff_samplerate.dll
2012-04-08 23:45 . 2012-04-08 23:45	116224	----a-w-	c:\windows\system32\ff_liba52.dll
2012-04-06 15:57 . 2012-04-06 15:57	283200	----a-w-	c:\windows\system32\drivers\dtsoftbus01.sys
2012-04-06 05:22 . 2012-04-06 05:22	11174400	----a-w-	c:\windows\system32\drivers\atikmdag.sys
2012-04-06 02:22 . 2012-04-06 02:22	159744	----a-w-	c:\windows\system32\atiapfxx.exe
2012-04-06 02:21 . 2011-04-20 02:09	909312	----a-w-	c:\windows\SysWow64\aticfx32.dll
2012-04-06 02:20 . 2011-04-20 02:07	1067520	----a-w-	c:\windows\system32\aticfx64.dll
2012-04-06 02:16 . 2012-04-06 02:16	442368	----a-w-	c:\windows\system32\ATIDEMGX.dll
2012-04-06 02:16 . 2012-04-06 02:16	503808	----a-w-	c:\windows\system32\atieclxx.exe
2012-04-06 02:16 . 2012-04-06 02:16	236544	----a-w-	c:\windows\system32\atiesrxx.exe
2012-04-06 02:14 . 2012-04-06 02:14	120320	----a-w-	c:\windows\system32\atitmm64.dll
2012-04-06 02:14 . 2012-04-06 02:14	21504	----a-w-	c:\windows\system32\atimuixx.dll
2012-04-06 02:14 . 2012-04-06 02:14	59392	----a-w-	c:\windows\system32\atiedu64.dll
2012-04-06 02:14 . 2012-04-06 02:14	43520	----a-w-	c:\windows\SysWow64\ati2edxx.dll
2012-04-06 02:13 . 2012-02-15 03:07	6800896	----a-w-	c:\windows\SysWow64\atidxx32.dll
2012-04-06 02:10 . 2012-04-06 02:10	26181632	----a-w-	c:\windows\system32\atio6axx.dll
2012-04-06 02:00 . 2011-04-20 01:27	64000	----a-w-	c:\windows\system32\coinst.dll
2012-04-06 01:54 . 2011-04-20 01:49	7479296	----a-w-	c:\windows\system32\atidxx64.dll
2012-04-06 01:50 . 2012-04-06 01:50	19753984	----a-w-	c:\windows\SysWow64\atioglxx.dll
2012-04-06 01:35 . 2012-04-06 01:35	1120768	----a-w-	c:\windows\system32\atiumd6v.dll
2012-04-06 01:34 . 2012-04-06 01:34	1831424	----a-w-	c:\windows\SysWow64\atiumdmv.dll
2012-04-06 01:34 . 2012-04-06 01:34	4731904	----a-w-	c:\windows\system32\atiumd6a.dll
2012-04-06 01:34 . 2011-04-20 01:38	6203392	----a-w-	c:\windows\SysWow64\atiumdag.dll
2012-04-06 01:30 . 2012-04-06 01:30	51200	----a-w-	c:\windows\system32\aticalrt64.dll
2012-04-06 01:30 . 2012-04-06 01:30	46080	----a-w-	c:\windows\SysWow64\aticalrt.dll
2012-04-06 01:30 . 2012-04-06 01:30	44544	----a-w-	c:\windows\system32\aticalcl64.dll
2012-04-06 01:30 . 2012-04-06 01:30	44032	----a-w-	c:\windows\SysWow64\aticalcl.dll
2012-04-06 01:29 . 2012-04-06 01:29	16090624	----a-w-	c:\windows\system32\aticaldd64.dll
2012-04-06 01:25 . 2012-04-06 01:25	13764096	----a-w-	c:\windows\SysWow64\aticaldd.dll
2012-04-06 01:23 . 2012-04-06 01:23	7431680	----a-w-	c:\windows\system32\atiumd64.dll
2012-04-06 01:22 . 2011-04-20 01:30	4795904	----a-w-	c:\windows\SysWow64\atiumdva.dll
2012-04-06 01:11 . 2012-04-06 01:11	514560	----a-w-	c:\windows\system32\atiadlxx.dll
2012-04-06 01:11 . 2012-04-06 01:11	360448	----a-w-	c:\windows\SysWow64\atiadlxy.dll
2012-04-06 01:11 . 2012-04-06 01:11	17408	----a-w-	c:\windows\system32\atig6pxx.dll
2012-04-06 01:11 . 2012-04-06 01:11	14848	----a-w-	c:\windows\SysWow64\atiglpxx.dll
2012-04-06 01:11 . 2012-04-06 01:11	14848	----a-w-	c:\windows\system32\atiglpxx.dll
2012-04-06 01:11 . 2012-04-06 01:11	41984	----a-w-	c:\windows\system32\atig6txx.dll
2012-04-06 01:10 . 2012-04-06 01:10	33280	----a-w-	c:\windows\SysWow64\atigktxx.dll
2012-04-06 01:10 . 2012-04-06 01:10	343040	----a-w-	c:\windows\system32\drivers\atikmpag.sys
2012-04-06 01:09 . 2011-04-20 01:21	54784	----a-w-	c:\windows\system32\atiuxp64.dll
2012-04-06 01:09 . 2012-02-15 02:12	41984	----a-w-	c:\windows\SysWow64\atiuxpag.dll
2012-04-06 01:09 . 2012-02-15 02:12	44544	----a-w-	c:\windows\system32\atiu9p64.dll
2012-04-06 01:09 . 2011-04-20 01:21	32256	----a-w-	c:\windows\SysWow64\atiu9pag.dll
2012-04-06 01:09 . 2012-04-06 01:09	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2012-04-06 01:06 . 2012-04-06 01:06	54784	----a-w-	c:\windows\system32\atimpc64.dll
2012-04-06 01:06 . 2012-04-06 01:06	54784	----a-w-	c:\windows\system32\amdpcom64.dll
2012-04-06 01:06 . 2012-04-06 01:06	53760	----a-w-	c:\windows\SysWow64\atimpc32.dll
2012-04-06 01:06 . 2012-04-06 01:06	53760	----a-w-	c:\windows\SysWow64\amdpcom32.dll
2012-04-05 20:34 . 2012-04-05 20:34	187392	----a-w-	c:\windows\system32\clinfo.exe
2012-04-05 20:34 . 2012-04-05 20:34	74752	----a-w-	c:\windows\system32\OpenVideo64.dll
2012-04-05 20:34 . 2012-04-05 20:34	64512	----a-w-	c:\windows\SysWow64\OpenVideo.dll
2012-04-05 20:33 . 2012-04-05 20:33	63488	----a-w-	c:\windows\system32\OVDecode64.dll
2012-04-05 20:33 . 2012-04-05 20:33	56320	----a-w-	c:\windows\SysWow64\OVDecode.dll
2012-04-05 20:33 . 2012-04-05 20:33	16457216	----a-w-	c:\windows\system32\amdocl64.dll
2012-04-05 20:32 . 2012-04-05 20:32	13007872	----a-w-	c:\windows\SysWow64\amdocl.dll
2012-04-04 13:56 . 2011-06-19 16:10	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-29 14:23 . 2012-03-29 14:23	775168	----a-w-	c:\windows\system32\LAVVideo.ax
2012-03-29 14:23 . 2012-03-29 14:23	555520	----a-w-	c:\windows\system32\LAVSplitter.ax
2012-03-29 14:23 . 2012-03-29 14:23	248832	----a-w-	c:\windows\system32\LAVAudio.ax
2012-03-29 14:23 . 2012-03-29 14:23	202240	----a-w-	c:\windows\system32\libbluray.dll
2012-03-29 14:23 . 2012-03-29 14:23	6757091	----a-w-	c:\windows\system32\avcodec-lav-54.dll
2012-03-29 14:23 . 2012-03-29 14:23	399620	----a-w-	c:\windows\system32\swscale-lav-2.dll
2012-03-29 14:23 . 2012-03-29 14:23	214711	----a-w-	c:\windows\system32\avutil-lav-51.dll
2012-03-29 14:23 . 2012-03-29 14:23	133299	----a-w-	c:\windows\system32\avfilter-lav-2.dll
2012-03-29 14:23 . 2012-03-29 14:23	1167294	----a-w-	c:\windows\system32\avformat-lav-54.dll
2012-03-29 14:21 . 2012-03-29 14:21	606720	----a-w-	c:\windows\SysWow64\LAVVideo.ax
2012-03-29 14:21 . 2012-03-29 14:21	462848	----a-w-	c:\windows\SysWow64\LAVSplitter.ax
2012-03-29 14:21 . 2012-03-29 14:21	217600	----a-w-	c:\windows\SysWow64\LAVAudio.ax
2012-03-29 14:21 . 2012-03-29 14:21	172032	----a-w-	c:\windows\SysWow64\libbluray.dll
2012-03-29 14:21 . 2012-03-29 14:21	6582226	----a-w-	c:\windows\SysWow64\avcodec-lav-54.dll
2012-03-29 14:21 . 2012-03-29 14:21	374152	----a-w-	c:\windows\SysWow64\swscale-lav-2.dll
2012-03-29 14:21 . 2012-03-29 14:21	207872	----a-w-	c:\windows\SysWow64\avutil-lav-51.dll
2012-03-29 14:21 . 2012-03-29 14:21	144523	----a-w-	c:\windows\SysWow64\avfilter-lav-2.dll
2012-03-29 14:21 . 2012-03-29 14:21	1152365	----a-w-	c:\windows\SysWow64\avformat-lav-54.dll
2012-03-27 15:08 . 2012-03-27 15:08	267264	----a-w-	c:\windows\SysWow64\IntelQuickSyncDecoder.dll
2012-03-27 15:08 . 2012-03-27 15:08	348160	----a-w-	c:\windows\system32\IntelQuickSyncDecoder.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-04-09 1519272]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-04-09 15:43	1519272	----a-w-	c:\program files (x86)\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-04-09 1519272]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"7 Taskbar Tweaker"="c:\users\Eric\AppData\Roaming\7 Taskbar Tweaker\7 Taskbar Tweaker.exe" [2011-06-14 76800]
"Xvid"="c:\program files (x86)\Xvid\CheckUpdate.exe" [2011-01-17 8192]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-02-13 3481408]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-05-03 17355912]
"Game Fire"="c:\program files (x86)\Smart PC Utilities\Game Fire\GFTray.exe" [2011-03-08 46592]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"AMD AVT"="start AMD Accelerated Video Transcoding device initialization" [X]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-09-07 43608]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2011-05-20 284440]
"AdobeCS5.5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-04-05 641664]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-12-01 258512]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2011-05-20 13592]
R2 SwOffScheduler;Airytec Switch Off - Task Scheduler;c:\program files\Airytec\Switch Off\swoff.exe [2010-10-31 179712]
R2 SwOffWeb;Airytec Switch Off - Web Interface;c:\program files\Airytec\Switch Off\swoff.exe [2010-10-31 179712]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-07 257696]
R3 AKDWC20ET;Hercules Dualpix HD Webcam;c:\windows\system32\Drivers\HDVidvx.sys [x]
R3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys [x]
R3 CGVPNCliSrvc;CyberGhost VPN Client;c:\program files\CyberGhost VPN\CGVPNCliService.exe [2012-04-26 2438696]
R3 CV2K1;CommView Network Monitor;c:\windows\system32\DRIVERS\cv2k1.sys [x]
R3 dc3d;Pilote de détection des périphériques Microsoft Hardware;c:\windows\system32\DRIVERS\dc3d.sys [x]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]
R3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-05-11 129976]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 TsUsbGD;%TsUsbGD.DeviceDesc.Generic%;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 TsVlb;TsVlb;c:\windows\system32\DRIVERS	svlb.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 TsVp;TsVp;c:\windows\system32\DRIVERS	svp.sys [x]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [x]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-04-04 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AntiVirSchedulerService;Avira Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-12-01 86224]
S2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-05-03 158856]
S2 WCMVCAM;WebcamMax, WDM Video Capture;c:\windows\system32\DRIVERS\wcmvcam64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys [x]
S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [x]
S3 TSCOMM;CommStudio Virtual Adapter by TamoSoft;c:\windows\system32\DRIVERS	scomm.sys [x]
S3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - IPNAT
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-07 06:38]
.
2012-06-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4291054434-1746809112-1728837090-1001Core.job
- c:\users\Eric\AppData\Local\Google\Update\GoogleUpdate.exe [2011-06-16 18:43]
.
2012-06-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4291054434-1746809112-1728837090-1001UA.job
- c:\users\Eric\AppData\Local\Google\Update\GoogleUpdate.exe [2011-06-16 18:43]
.
2012-06-01 c:\windows\Tasks\UpdateCheck.job
- c:\program files (x86)\Smart PC Utilities\Game Fire\UpdateCheck.exe [2011-03-08 13:40]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-01-18 11775592]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]
"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 4725320]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Eric\AppData\Roaming\Mozilla\Firefox\Profiles\g4185vom.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.ask.com/?l=dis&o=15430
FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=CLM&o=15427&locale=fr_FR&apn_uid=952ff684-2b40-49b4-ab01-969eb2078896&apn_ptnrs=LE&apn_sauid=D0414980-E680-4425-8D1D-BB5F777417D8&apn_dtid=YYYYYYYYFR&&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-4291054434-1746809112-1728837090-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*ó0]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-4291054434-1746809112-1728837090-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*ó0\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-4291054434-1746809112-1728837090-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4B39E425-8F0F-2EC7-AD22-5D5BE1E8CE7C}*]
"oaaancgiapkkcljjdnbgpkbcoomhli"=hex:69,61,70,65,6c,63,62,6e,69,65,6b,68,66,66,
   68,70,6d,69,00,00
"nagdhgbjgehanbeelkfihkfjepbc"=hex:69,61,70,65,6c,63,62,6e,69,65,6b,68,66,66,
   68,70,6d,69,00,00
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_2_202_235_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_2_202_235_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\DbgagD\1*]
"value"="?\02\00\05\11\03,?"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Heure de fin: 2012-06-07  19:23:39 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-06-07 17:23
.
Avant-CF: 11 446 968 320 octets libres
Après-CF: 12 194 615 296 octets libres
.
- - End Of File - - B016C14C7FB247CD6AE36441955B5932

Utilisateur anonyme · Answer

je me demande si le MBR n'est pâs touché !


en tous cas, il y a déjà 01net dans le coup !

juju666 · Answer

Xplode tu continues ?

Xplode · Answer

Re, ce n'est pas fini :o) 

Télécharge AdwCleaner sur ton bureau. 
Lance le, clique sur [Suppression] puis patiente le temps du scan. 
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 

Puis fais ceci : 

Télécharge ZHPDiag sur ton bureau. 
Installe le puis exécute le. 
Clique sur l'icône en forme de loupe afin de lancer l'analyse. 
Rends toi sur ce site , clique sur "Parcourir" et cherche le fichier C:\ZHP\ZHPDiag.txt  
Clique sur "Ouvrir" puis "Envoyer le fichier". 
Un lien de cette forme : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5 sera créé. 
Copie ce lien dans ta prochaine réponse. 

++ 
Xplode - Contributeur sécurité.

Dax · Answer

Scan AdwCleaner (félicitation pour le soft au passage) :

http://pjjoint.malekal.com/files.php?id=20120607_u1514l12f5l5

Scan ZHPDiag : 

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120607_n15u5j8s5n5

Xplode · Answer

Re,

Désinstalle Spybot, ça sert à rien. ( la preuve )

Ce script va cibler certains éléments à supprimer :

* Copie les lignes suivantes :

[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.) 
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
EmptyCLSID
EmptyTemp
EmptyFlash

* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
* Clique sur le bouton « GO » pour lancer le nettoyage.
* Copie/colle la totalité du rapport dans ta prochaine réponse.

=======================

Suis ce tutoriel pour effectuer un scan en ligne avec NOD32 puis poste moi le rapport.

++

Dax · Answer

J'ai normalement déjà désinstaller Spybot, mais la désinstallation s'est mal opéré apparament. 

Pour le scan en ligne NOD32, je le posterai demain (j'ai 3 disques dur pour plus de 1 to de donnés à scanner).

Voici le rapport ZHPFix :

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-07-06-2012-20-42-06.txt
Run by Eric at 07/06/2012 20:42:06
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Elément(s) de donnée du Registre ==========
SUPPRIME R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{03ADAF91-E1FD-46EF-87F5-42030C1F7268}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{06479D62-A853-40E1-92B6-135A3FBA04B9}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{087EBAD0-A97B-40CB-8723-4072A49E6A24}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{0B7D668D-769B-46F6-9E62-DB0B0F32B3AF}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{100B22AE-8DE1-4D07-8F91-64269DCED72A}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{11030ADE-87A0-4F07-9958-DBCB079251AB}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{115CB1CC-E30F-4AC5-AA1B-E09887A0DE5A}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{213AC134-669F-4991-A23F-8FEABA6664A9}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{2EF9DB8F-297F-4443-A3C2-E8566A8F0A9B}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{2F6BF059-EAB9-4A89-B219-D2008CC75BA6}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{334635C6-CD0D-46AE-8EC0-43F68B580224}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{35C51449-67EC-4423-8F45-90457014CD0F}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{369C20EC-2624-48EF-8901-F63B1E9F53AB}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{394E833F-B623-47F6-9058-43FD95795EBE}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{3CDDDF5C-4B77-455C-A932-C216009C4F5F}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{407132F2-F2FF-4B7A-BB54-A423275B08E6}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{462C8806-99D4-4149-B197-036F5B0B15C4}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{4690CB5C-377D-4BAD-9E00-BD892DC1C67A}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{476A6B1B-441A-4A9D-808A-4CAFA0588053}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{477E6737-C859-4695-8718-DFC2EBC17860}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{48BF1846-4070-4F0E-9F45-0DD70E6738B6}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{4A249730-DB5C-4016-8CB1-7CE36550FE3B}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{4A87ED27-C343-4F10-8487-63A85A2EE49E}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{53036C18-2F34-4A91-A356-2656E7F854B6}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{59C31BED-084A-4D3E-9B9E-C2AA80A88B1C}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{5FD415C6-E9ED-457C-B76A-D3AB485D9702}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{64CE5CBA-4A90-4E26-A1F6-B8B8F25F6EA4}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{6C8F9B8D-7B14-46C8-8F1D-EBA27AA3C645}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{6CD6E355-06B4-4607-816D-0A6FA85C5B04}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{71A202D3-8B59-4898-A4DF-396C6C9D5B91}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{75B6CC0E-9EA3-4A9A-A600-9EE1B4F699DE}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{77D20447-4AD1-47BA-AD2E-6F15ABF33160}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{7CC87DDF-6AD6-4730-A996-316A6C2CDBBE}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{80997D50-C5DC-47D2-99D6-D608115F19E9}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{81A04C32-6CA5-4B71-85F3-61ECF5C33C9D}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{8296D7D1-BB05-456A-91B8-4BC01761E6CB}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{84C4F000-874D-4651-948C-712E2046239A}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{8723C66D-40BA-4C21-8F4B-1EA22D0967DB}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{8E61E2D7-AD20-4C64-865F-68124A7EBE26}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{9151AB94-2340-40D9-B149-4F03C902990D}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{9249CBA3-4544-46B3-8D0E-281D3C54C4AC}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{95F6FAF4-6EC5-417D-91F0-8CCDF6430400}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{9668F206-2734-44A7-8FA3-607834DCFBDB}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{9E37EAC4-6801-41C2-9245-9EB5F2499FCE}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{A5DA646B-462A-460B-BA63-62FD500446F7}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{B447420A-4B80-4F8D-81AF-D7C8256183C0}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{B5D118B0-C9DA-4B78-8813-B5DCEB6968B5}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{B786462E-BDA3-402C-A88C-BAAF10EEA27A}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{B8B715DB-8FD8-4D5D-85D3-19314F1CFE56}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{C4168C90-CFEA-4D6C-908B-130B92F717FB}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{C8823DCE-617A-4068-B518-9858B34BA639}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{CB741B86-2A2A-4959-B47E-B3EE258D3A7E}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{D1E3E4DC-A848-4E02-9184-58B88CAAAE4B}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{DBCD8619-3991-43DC-9B47-506491042322}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{DE75ABDA-2D08-4EE9-990A-5A20105D0C02}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{E0F0EE3A-CE76-47C3-BC51-BA8769E1EB37}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{E2B39E1F-4D3A-4B21-ABFD-5653015AF025}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{E500BE32-D893-4261-983D-4BDEA750F003}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{E5E712F8-7919-4883-A35D-DA8C17E51C60}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{E9557667-DCA5-4DB0-896A-C441C8B89495}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{F0F0EBD6-399E-4915-9151-CA8BEE1BCCD6}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{F0FD13C3-1700-4942-BD2E-1D59E4EF77DA}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{F39FB8AB-67CA-4A00-B327-F69BCB9DD4D8}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{F8912DF5-8D64-455C-B764-01D9B3A3A5AE}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{F8E0AC91-841B-4078-A7C8-6B5BE3BA2B60}
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: Scheduled Update for Ask Toolbar


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre
67 : Dossier(s)
2 : Fichier(s)
1 : Tache planifiée


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 07/06/2012 20:42:06 [6484]

Xplode · Answer

Re, 

Ok pour le scan NOD32. Après ça, on aura encore quelques manip' à faire et ça sera bon :o) 

++ 
Xplode - Contributeur sécurité.

Dax · Answer

Gros problème ! 
Cette nuit j'ai laissé tourner le scan NOD32.
Ce matin au reveille, j'allume mon ecran, et je vois que mon ordinateur a redemarré tout seul.. sur mon deuxieme disque dur (qui ne boot pas d'ailleurs).

Je redemarre le pc, il s'obstine a boot sur mon deuxième disque dur ou il y a la partition vista. 
Je vais dans le BIOS, mon disque dur principal avec Windows 7 n'est pas détecté Oo.

Je redemarre une fois de plus sur ma partition vista, et execute la proposition d'aide au démarrage qui est proposée, sans succès. (Impossibilité de boot sur cette partition). Néanmoins après cette examen, ma partition windows 7 est re-apparu dans mon BIOS.
J'ai donc pu boot dessus.

Au moment de rentrer mon mot de passe, un leger freeze d'une trentaine de seconde.
J'arrive a acceder au pc, au divers disques dur... et puis 10 min après, freeze total. Controle alt suppr ne marche pas, rien ne marche. Redémarrage en mode barbare, et la, le même problème revient. Le disque dur n'est plus affiché dans le BIOS, et le pc boot sur mon disque vista. J'ai refait la même procédure qu'avant (qui est horriblement longue), et j'ai pu re-accéder a mon disque dur.

La directement au redémarrage, ayant une maintenance sur mon reseau internet, j'ai  pas pu poster ici. J'ai donc utiliser une sauvegarde système datant du 3 juin, pour essayer de faire revenir tout ça à la normal. Sans succès. Le problème est toujours présent.

J'ai utilisé mon cd seven, j'ai utilisé l'outil d'aide pour les problèmes de démarrage, sans succès. 

C'est.. assez inquiétant.

Sur ce point de restauration, pas de trace apparente de Zacces avec un examen malware byte, juste ça :

C:\$RECYCLE.BIN\S-1-5-21-4291054434-1746809112-1728837090-1001\$RUE938R.exe (Backdoor.Agent.DCRSAGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Eric\AppData\Local\Temp\upnp.exe (Backdoor.Daromec) -> Mis en quarantaine et supprimé avec succès.


Que faire ?

Xplode · Answer

Bonjour,

Je ne vois pas pourquoi le scan NOD32 aurait causé tous ces problèmes. A mon avis ça doit venir d'ailleurs.

Avec ce point de restauration, le PC fonctionne comment au démarrage ?
Peux-tu me refaire un rapport ZHPDiag et me poster le lien ?

++

Dax · Answer

Je viens de nouveau avoir un freeze, suvit d'un ecran bleu. Problème toujours présent au démarrage (obligé de lancer une assistance au problèmes de démarrage sur ma partition vista, pour voir mon disque re-apparaitre ensuite dans le bios).

Le point de restauration ne semble avoir rien changé au problème, j'ai des freezes, ils souvent souvent accompagné de plantage. Impossibilité de boot normalement.

Avec mon cd d'installation Seven, ma partition n'est pas détectée. 

Voici le rapport ZHPDiag :

 http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120608_u6k15k15r6s13

Xplode · Answer

Re,

Bon bah la restauration système a aussi restauré des cochonneries. On va faire du ménage ( plus large que la 1ère fois )

Repasse Combofix en suivant les instructions que je t'avais donné : https://forums.commentcamarche.net/forum/affich-25333993-virus-redirection-page-web#11

Télécharge également TDSSKiller.
Lance le, clique sur "Scan"
Laisse tout sur les options par défaut à la fin puis poste moi le rapport qui s'ouvrira.

++

Dax · Answer

Voici le rapport ComboFix : 

http://pjjoint.malekal.com/files.php?id=20120608_o10b15o8o5x13 

Pour TDSSKiller j'ai fais une première analyse qui n'a rien detecté, et ne m'a pas ouvert de rapport. 
J'ai fais une deuxième analyse, toujours rien et toujours pas de rapport. 
Troisième analyse en ajoutant les options, 2 résultats. Je n'ai appliqué aucune action pour le moment au détections.  
Je te laisse voir sur le screen : 

http://image.noelshack.com/fichiers/2012/23/1339168259-tds.png 

J'attend ta réponse avant d'appliquer quoi que ce soit.

Antonio · Answer

Bonjour à tous, 
Voilà j'ai un ordinateur portable et j'ai un gros soucis je pense. 
J'ai un virus depuis 2 jours à peu près que j'ai essayé de supprimer avec presque tout les antivirus que je connais. A chaque fois ils m'ont proposé de le mettre en quarentaire mais rien. C'est un trojan situé dans le dossier C:\Windoxs\Installer\{da7cd1a4-003e-22c0-8b-28-0ae81fd19b04}\U\80000032.@

Xplode · Answer

Re, 

1ère étape : TDSSKiller

Relance un scan avec TDSSKiller ( en cochant les cases additionnelles ) 
A la fin du scan, sélectionne " Delete " pour TDSS File System. ( Laisse skip pour l'autre ) 
Poste moi ensuite le rappport. 

2ème étape : ZHPFix 

* Copie les lignes suivantes :  

F2 - REG:system.ini: USERINIT=C:\Windows\system32\userinit.exe,C:\Users\Eric\Documents\MSDCSC\K9Uc5PY8q9gb\msdcsc.exe,C:\Users\Eric\Documents\MSDCSC\K9Uc5PY8q9gb\msdcsc.exe,C:\Users\Eric\Documents\MSDCSC\omEb9W0DcYN9\msdcsc.exe,C:\Users\Eric\Documents\MSD 
O43 - CFD: 07/06/2012 - 19:07:12 - [0,039] ----D C:\ProgramData\Spybot - Search & Destroy   
O43 - CFD: 17/06/2011 - 21:04:12 - [0] ----D C:\Users\Eric\AppData\Local\Mumble 
O43 - CFD: 08/06/2012 - 13:51:50 - [0] ----D C:\Users\Eric\AppData\Local\{082C2AAA-9FE8-463C-A80B-B15212BB2B4F} 
O43 - CFD: 08/06/2012 - 15:17:22 - [0] ----D C:\Users\Eric\AppData\Local\{171B3457-4520-4633-86DA-F1CBC7DAFDB7} 
O43 - CFD: 08/06/2012 - 12:55:54 - [0] ----D C:\Users\Eric\AppData\Local\{19D038C3-66E5-4A3F-B59A-7F687E079032} 
O43 - CFD: 08/06/2012 - 15:15:27 - [0] ----D C:\Users\Eric\AppData\Local\{337D25C0-1444-44F0-833B-2E0DD4FCE31A} 
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local 
FirewallRaz 
EmptyTemp 
EmptyFlash 
EmptyCLSID

* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)  
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.  
* Clique sur le bouton « GO » pour lancer le nettoyage.  
* Copie/colle la totalité du rapport dans ta prochaine réponse.  

3ème étape : BlueScreenView

Télécharge BlueScreenView 
Extrait le sur ton bureau puis lance le. 
A la fin du scan, , clique sur Edit puis Select All.  
Puis Go File et Save Selected Items.  
Sauve le rapport sous BSOD.txt.  
Ouvre BSOD.txt dans le Bloc-notes, copie son contenu et poste le dans ta réponse. 

++ 
Xplode - Contributeur sécurité.

Dax · Answer

Pour TSSDKiller voici le rapport :

http://image.noelshack.com/fichiers/2012/23/1339175369-tds2.png

Pour ZHPFix voici le rapport : 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by Eric at 08/06/2012 19:07:14
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Valeur(s) du Registre ==========
SUPPRIME FirewallRaz (SP) : C:\Program Files (x86)\xchat\xchat.exe
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (Public) : {5531A7FD-5881-4BC7-B56C-5CB4890F4B7E}
SUPPRIME FirewallRaz (Public) : {1F5A8262-C564-4353-B7C5-F23340849C6E}
SUPPRIME FirewallRaz (Private) : TCP Query User{9DACC3CD-3B42-4350-BECF-AB2A62330CFE}C:\program files (x86)\starcraft ii\versions\base18574\sc2.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{BBC849C7-4FC7-417C-A1A7-8BD02ADD2618}C:\program files (x86)\starcraft ii\versions\base18574\sc2.exe
SUPPRIME FirewallRaz (Public) : {7269A82C-F140-4C50-8CF6-94403B6E5AE9}
SUPPRIME FirewallRaz (Public) : {06D89027-0998-49AE-AC5F-33B2F8FC6031}
SUPPRIME FirewallRaz (Private) : TCP Query User{1A9E9F60-3C1A-4B4D-B4DD-F58AC5F812C8}C:\program files (x86)\starcraft ii\support\blizzarddownloader.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{E370B080-F303-4BBF-B035-3C531E6987CC}C:\program files (x86)\starcraft ii\support\blizzarddownloader.exe
SUPPRIME FirewallRaz (Public) : {BF518039-E1D4-4605-AAEE-E80ABE7FA871}
SUPPRIME FirewallRaz (Public) : {C0319C2E-6558-41A5-B8DF-F9BF0D5B62E2}
SUPPRIME FirewallRaz (Private) : TCP Query User{3B297F6C-04D0-4DD0-A335-81A455994167}C:\program files (x86)\starcraft ii\versions\base19132\sc2.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{E2672FA1-37D8-4EA4-A6FA-221809617232}C:\program files (x86)\starcraft ii\versions\base19132\sc2.exe
SUPPRIME FirewallRaz (Public) : {965011BC-6D0C-4CD2-BCD1-A4CBF1C1CF5D}
SUPPRIME FirewallRaz (Public) : {E67FCF71-6E9C-433B-AF80-FF84D9EC6E0F}
SUPPRIME FirewallRaz (Private) : TCP Query User{1BC73007-2234-4D11-93DD-F0EAEAC1A8CD}C:\users\eric\desktop\hack\darkcomet\darkcomet.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{6EC0E786-B22E-4AE5-9F95-B45BABE10B16}C:\users\eric\desktop\hack\darkcomet\darkcomet.exe
SUPPRIME FirewallRaz (Public) : {03B6AF5D-AD79-4816-8157-0C18928395FF}
SUPPRIME FirewallRaz (Public) : {F37BDA12-892C-40BD-9D0E-82BAB2628F31}

========== Elément(s) de donnée du Registre ==========
SUPPRIME R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{6373EA96-A136-43BC-8029-DC08ED4B3AC0}
SUPPRIME Folder: C:\Users\Eric\AppData\Local\{C7C9C055-AAAE-4FED-B826-D7FAC39C1B2E}

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Autre ==========



========== Récapitulatif ==========
20 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
2 : Fichier(s)
1 : Autre


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 07/06/2012 19:42:06 [6536]
C:\ZHP\ZHPFix[R2].txt - 08/06/2012 19:07:14 [3142]

Pour BlueScreenView : 

Quand je le lance, aucun scan s'opère, et je n'ai aucun bouton me proposant ce service. J'ai extrait l'archive, et ai lancé le .exe et ai "refresh", sans succès.

Xplode · Answer

Normal la valeur userinit a pas été restaurée avec ZHPFix.. 

Télécharge LogonFix sur ton bureau. 
Lance le, clique sur "Restaurer" puis patiente. 
A la fin, il te sera proposé de redémarrer le PC, accepte. 
Au redémarrage, un rapport s'ouvrira, poste le dans ta prochaine réponse. 

============

Repasse également AdwCleaner en suppression ( voir plus haut dans le topic. ).
Xplode - Contributeur sécurité.

Dax · Answer

Voici le rapport LogonFix :

# LogonFix v1.1 - Rapport créé le 08/06/2012 à 21:05
# Mis à jour le 06/07/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7601] 
# Nom d'utilisateur : Eric - ERIC-PC (Administrateur)
# Exécuté depuis : C:\Users\Eric\Downloads\logonfix.exe
# Mode de démarrage : Mode normal

~~~~~ ¤ ACLs ¤ ~~~~~

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] -> OK [7]
[HKLM\SYSTEM\CurrentControlSet\Services\RpcSs] -> OK [1 5 8 17]

~~~~~ ¤ Registre - Winlogon ¤ ~~~~~

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] - Shell
Ancienne valeur = Explorer.exe
Nouvelle valeur = explorer.exe

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] - UserInit
Ancienne valeur = C:\Windows\system32\userinit.exe,
Nouvelle valeur = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] - System
Ancienne valeur = 
Nouvelle valeur = 

~~~~~ ¤ Registre - RpcSs ¤ ~~~~~

[HKLM\SYSTEM\CurrentControlSet\services\RpcSs] - ObjectName
Ancienne valeur = NT AUTHORITY\NetworkService
Nouvelle valeur = NT AUTHORITY\NetworkService

~~~~~ ¤ RegSvr32 ¤ ~~~~~

62 Opérations effectuées :

-> DllInstall : 5
-> DllRegister : 57

########## EOF - "C:\LogonFix.txt" - [1361 octets] ##########

Pour Adwclearner, j'ai lancé en suppression, mon pc a reboot, mais pas de rapport au redémarrage. Pas même a la racine de C:\

Xplode · Answer

Tu peux me refaire un rapport ZHPDiag?

++

Dax · Answer

Voici le rapport ZHPDiag :

 http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120608_t14w5c10n6j13

Xplode · Answer

Re,

Niveau infection ça m'a l'air clean. Qu'en est-il de ton/tes problème(s) restant(s) ?
Détaille moi exactement quels sont les problèmes.

++

Dax · Answer

J'avais fait un beau petit pavé, et mon ordi à planté :(

Bon je re-décris tout ! 

Hier soir, j'ai laisser l'analyse NOD32 tourner et je suis aller me coucher. Au petit matin, je constate que l'ordinateur a redémarré durant la nuit, et a démarré sur mon deuxième disque dur, qui contient un système d'exploitation vista ne marchant plus.

J'ai trois disque dur :

1# Disque dur SSD, me servant de système d'exploitation avec windows 7, et tout ce qui est logiciel
2# Disque dur mécanique, il s'agit du disque dur de mon ancien pc, reconvertit en disque de stockage. Il contient un système d'exploitation vista ne démarrant plus.
3# Disque dur mécanique, sans aucun système d'exploitation, pur stockage.


Depuis ce matin, mon pc démarre automatiquement sur mon disque dur #2 avec le système d'exploitation vista. Il se trouve qu'il agit ainsi, car mon disque dur #1 n'est plus détecté. Il est absent dans le BIOS, comme volatilisé. 

Mon pc essaye donc de démarrer sur mon disque #2 avec vista, mais vu que celui-ci ne démarre pas (ça fait un petit moment que c'est comme ça, je sais plus pourquoi), il me propose "une réparation de démarrage). 

Je me suis rendu compte, que si je lançais cette réparation de démarrage (qui aboutit par une erreur, et me demande d'envoyer un message a microsfot), en retournant dans le BIOS au prochain redémarrage, mon disque dur #1 re-apparaisait, et que malgré le fait que je ne peux toujours pas le mettre en boot prioritaire, je peux néanmoins boot dessus.

Je suis donc forcé a chaque re-démarrage du pc, de lancer la réparation de démarrage sur mon disque #2 avec vista, pour pouvoir voir mon disque dur#1 dans le BIOS et boot dessus. 

Quand je lance une réparation de démarrage avec mon cd d'installation windows 7, il ne détecte aucune partition, et me demande de choisir des drivers. 

///////////////////////////////////////////////////

Une fois que j'ai reussi a boot sur mon disque #1 avec la manipulation cité au dessus, j'ai un freeze de 30 sec à 2min au moment de rentrer le mot de passe de ma session.

Une fois sur ma session, rien de special a première vue. Cependant, après quelques minutes (le temps est très variable, ça peut être 3 minutes après le démarrage, comme 15 minutes..), mon système se freeze. Toutes les fenetres ouvertes ne "repondent pas", le controle alt suppr n'a aucun effet. 

Et la j'ai trois cas de figure :

1- J'attend 2-3 minutes, et tout re-part comme si de rien n'était (c'est assez rare)


2- J'ai un message d'erreur, ou mes processus plantes (toutes les fenetres ouvertes, explorer.exe) et s'en suit un redémarrage du pc, ou un blue screen qui me force a redémarrer.

3- Le freeze n'en finit pas, je suis contraint de laisser le bouton du pc appuyé pour forcer le forcer à redémarrer. 
 
Ce n'est pas du a une utilisation spécifique (il m'est survenu en surfant sur le web, en regardant des photo dans l'explorateur windows, en parlant sur skype, en essayant de poster ce message sur ce forum..).
Bref, assez problématique.

J'ai également a plusieurs reprise Avira qui m'indique avoir bloqué l'accès à E:\autorun.inf.

Voila.

Dax · Answer

Les problèmes sont toujours présent. 

A l'instant j'ai eu de nouveau un freeze, puis un léger de-freeze qui m'a laissé aperçevoir un message d'erreur dans la barre d'outil : 

Intel technologies : 

Le disque sur le port 0 a été enlevé 

Je ne suis pas sur de l'exactitude du message d'erreur, quelques secondes plus tard l'ordinateur a planté (extinction, redémarrage, sans passer par la case fermeture de session etc..).

D3LT4lPR0 · Answer

Peut-être ton disque dur mal branché ? Ô_ô

Dax · Answer

Bon, j'ai ouvert le boitier du pc, j'ai fais un grand clean de tout ça, nettoyage des ventirads, des ventilos.. j'ai débranché et rebranché tous les disques dur, j'ai au passage retiré mon disque vista pour mettre un autre disque  à la place (oui je sais j'en ai beaucoup é_è). 

Problème de boot toujours présent. Quand je trifouille dans le bios, mon disque dur #1 (mon système d'exploitation) et affiché comme "indisponible" mais je peux pourtant démarrer dessus..

Freeze toujours présent au moment de rentrer mon mot de passe, a voir si je vais encore avoir un plantage.

Dax · Answer

Nouveau plantage suivit d'un ecran avec bleu avec l'erreur :

KERNEL_DATA_INPAGE_ERROR

Dax · Answer

De nouveau un freeze, suivit d'un blue screen.
J'ai noté les messages d'erreur :

STOP : 0x000000F4 (0x0000000000000003, 0xFFFFFA80112C7B30, 0xFFFFFA80112C7E10, 0xFFFFF80003380510)

Physical memory dump FAILED with status 0xC0000010.

Suite à ça, j'ai du refaire une "réparation de démarrage" pour boot sur mon disque #1, et de nouveau un freeze au moment de me rentrer mes identifiants de ma session.

Je perd espoir :(

Dax · Answer

Je viens de regarder mon "Observateur d'événement", et c'est pas très rassurant.   

En 3 jours j'ai du avoir a peu près 500 événements.  
Un petit aperçu..   

http://image.noelshack.com/fichiers/2012/23/1339323670-even.png 

On retrouve souvent ça avec les "critique" : 

The TransactionManager (TmId={73344fda-b158-11e1-9b7b-806e6f6e6963}, LogPath=\SystemRoot\System32\Config\TxR\{6b2280d8-b151-11e1-bceb-f46d04929485}.TM) has failed to advance its log tail, due to the transaction (UOW={bef58fae-b17a-11e1-960e-f46d04929485}, Description='') being unresolved for some time.  The transaction must be forced to resolve in order for the TransactionManager to continue to provide transactional services.  Forcing the incorrect outcome may cause data corruption in any subordinate ResourceManagers or Transactionmanagers.

Et également ceci : Le périphérique \Device\Ide\iaStor0 n'a pas répondu dans le délai imparti.

Virus redirection page web

35 réponses

Discussions similaires