Attaque violente par un virus. Plantage syst

Fermé
Geekette222 - 1 juil. 2012 à 11:54
 Utilisateur anonyme - 5 juil. 2012 à 00:25
Bonjour,

Depuis peu, un virus s'attaque à mon PC

Il réinitialise tous mes dossiers
Fait planter systématiquement Windows explorer
"L'explorateur Windows doit redémarrer"
ça ne s'arrête plus !

Mes utilisations de fichiers récents font apparaitre des noms en caractères chinois faisant référence à un fichier (inexistant) sur le bureau

Mon antivirus AVG s'appelle maintenant "@productType_90"
AVG est désactivé et affiche des textes illisibles !
Je n'ai plus d'antivirus actif!!

Le pare-feu à été désactivé également

Quand je tente un scan avec adwcleaner.
Le rapport ne s'ouvre plus en spécifiant un "accès refusé"

Pouvez vous m'aider ?

Merci beaucoup.



A voir également:

23 réponses

Le problème est résolu.
J'ai désinstallé un programme asus et tout re-fonctionne comme avant.

Après quelques recherches avec de mots clés pertinents, je suis tombée sur cette solution.

Merci quand même de m'avoir vidé le PC de toute trace de virus !
1
Utilisateur anonyme
1 juil. 2012 à 12:10
salut tente ca :

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
0
Merci.
Ce fut long mais voici le rapport du scan
http://pjjoint.malekal.com/files.php?id=20120701_n8u15i11j13n10
0
n'importe quoi spybot ! Geekette222

n'ecoute que moi stp , le systeme D: ca marche qu un temps
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
lolo06750 Messages postés 30 Date d'inscription vendredi 24 avril 2009 Statut Membre Dernière intervention 1 juillet 2012 1
1 juil. 2012 à 13:13
Je réponds pour aider, je n'avais pas vu que tu avais écrit, alors reste tranquille, stp. Je ne suis pas un pro (du tout) mais cela peut aider, au cas ou personne ne répond.
0
Bon, que dois-je faire maintenant ?
Je précise que j'ai un départ cet après midi et que je ne serai pas de retour avant 22h.
Je met tout en stand by où on a le temps de tenter autre chose ?
0
Arno59 Messages postés 4600 Date d'inscription jeudi 23 octobre 2003 Statut Contributeur Dernière intervention 18 avril 2023 486
Modifié par Arno59 le 1/07/2012 à 13:40
L'idéal est de lancer un scan avec Kaspersky

https://www.kaspersky.fr/downloads

Il en existe d'autres :

Les logiciels gratuits ( Avast 7, Avira Antivir 2012, ou clamav 0.97.5 sont bien mais limité.

Quelle est la version du système d'exploitation Windows 7, est-ce le Service Pack 1 : faites des mises à jour via windowsupdate
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Execute le logiciel antispyware Microsoft : Windows Defender :
https://support.microsoft.com/en-us/windows/what-is-microsoft-security-essentials-c25ad47a-7d15-8072-1438-b07dffcbbb20

Nettoyage :
Glary Utilities : https://www.glarysoft.com/glary-utilities/download/

Ccleaner est à faire enfin pour supprimer les fichiers inutiles
https://www.ccleaner.com/ccleaner/features

Bon dimanche.
0
byDeeh Messages postés 116 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 8 juillet 2012 1
4 juil. 2012 à 14:11
c'est nul spybot ?
0
yoann090 Messages postés 9180 Date d'inscription mercredi 12 août 2009 Statut Contributeur sécurité Dernière intervention 13 avril 2016 1 689
4 juil. 2012 à 14:45
Oui avec l' évolution de la complexité des virus Spybot n' élimine plus rien (enfin des cookies donc ie :rien) tout en consommant de la mémoire.
0
Utilisateur anonyme
1 juil. 2012 à 13:42
mozillla pas à jour à mettre à jour
desinstalle tout Java

============

va falloir choisir entre avast et avg desinstalle celui que tu ne veux plus , ca va faire conflit

============


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : http://cjoint.com/12ju/BGbnPRnFtiY.htm

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
-Rapport analyse KASPERSKY

Rapport détaillé
Problèmes détectés

Protection système (0)

Programmes malveillants (0)

Vulnérabilités (0)

Autres problèmes (10)

    "Le lancement automatique depuis les disques durs est activé"
    "Le lancement automatique depuis les disques réseau est activé"
    "Le lancement automatique depuis le CD/DVD est activé"
    "Le lancement automatique depuis les lecteurs amovibles est activé"
    "Microsoft Internet Explorer : purger l'historique des adresses URL saisies"
    "Microsoft Internet Explorer : désactiver la mise en mémoire tampon des données reçues via le canal protégé"
    "Microsoft Internet Explorer : désactiver l'envoi de rapports sur les erreurs"
    "Microsoft Internet Explorer : activer la purge automatique du cache au moment de quitter le navigateur"
    "Explorateur Windows : l'affichage des extensions de fichiers dont le type est connu du système est désactivé"
    "Microsoft Internet Explorer : purger la page d'accueil"


Biensur faut payer pour corriger les erreurs...



-Je suis sur SP1

-Avec Ccleaner, j'avais déjà nettoyé après avoir fait une sauvegarde du registre

-J'ai supprimé AVG j'ai gardé avast

-Est-ce important de mettre à jour firefox ? les dernières versions ne sont pas compatibles avec les plugins...

-Le rapport prescript

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.631 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

asus : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 22:30:06

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Suppression registre

Clé supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Wireless Console 3
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:UpdatePSTShortCut
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:UpdateLBPShortCut
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:UpdateP2GoShortCut
Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:Locked
Valeur supprimée : [HKU\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Internet Explorer\Toolbar]:Locked
Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} 
Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}  

¤

Supprimé : C:\Windows\Xú--

¤

¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\Windows\Setup\Scripts\oobe.cmd 

echo ---oobe cmd in scripts - start--- >> c:\windows\PQArecord.log

net stop seaport

reg delete "HKLM\SOFTWARE\Microsoft\BingBar\SeaPort" /v MachineGuid /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\BingBar\SeaPort" /v MAchineGuid /f

net start seaport
echo ---oobe cmd in scripts - end--- >> c:\windows\PQArecord.log

¤

Supprimé : C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} 
Absent :     

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	ASUSTeK Computer Inc.
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		ASUSTeK Computer Inc.
System Product Name:		N53SV
Logical Drives Mask:		0x0001001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 22:30:37

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
2 juil. 2012 à 00:34
ok tu peux virer Glary utilities il est fracasse les systemes , ca vaut rien ce truc

===========

on utilise pas ccleaner en debut de desinfection , encore moins quand on ne sait pas ce qu'a le pc

==========


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)



0
Merci
J'ai fait comme tu me l'a dit, mais rien n'est détecté.
Rapport de Malwarebytes:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.07.02.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
asus :: ASUS-PC [administrateur]

02/07/2012 07:41:29
mbam-log-2012-07-02 (07-41-29).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 1049670
Temps écoulé: 3 heure(s), 4 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
byDeeh Messages postés 116 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 8 juillet 2012 1
4 juil. 2012 à 14:12
hello ,tu as dit "on n'utilise pas CCleaner en début de désinfection" , alors quand et pourquoi ? :D
0
Utilisateur anonyme
4 juil. 2012 à 15:37
en fin de desinfection , quand le pc n'est pas infecté , parce que suivant l infection , il peut supprimer des fichiers auxquel on tient qui ont ete deplacés dans les fichiers temporiares
0
byDeeh Messages postés 116 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 8 juillet 2012 1
4 juil. 2012 à 19:11
ah ok merci :)
0
Utilisateur anonyme
2 juil. 2012 à 11:01
hello


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================


▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur



0
Hello,
J'ai tout suivi à la lettre.
Après l'action du programme mes icônes de bureau se sont mises en désordre avec des trous un peu partout. ET Windows explorer à dû redémarrer une fois de plus.
(J'ai posté sur cjoint, car CCM prend ce texte pour des fautes orthographe sms etc...

rapport:

http://cjoint.com/data/0Gcl3AwEAh3.htm
0
Utilisateur anonyme
2 juil. 2012 à 12:10
et voila maintenant t'as deux antivirus !

desinstalle Kaspersky que tu viens d'installer !
0
Ah je pensais que c'était juste un exécutable pour faire un scan.
Je le désinstalle et je rescan ou autre chose ?
0
Utilisateur anonyme
2 juil. 2012 à 12:25
il t'a installé un service qui peut rentrer en conflit avec avast
0
ça fait plaisir d'avoir de l'aide et un conseil de connaisseur dans un cas comme ça.
Qu'est ce que tu me conseille, maintenant ?
0

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------


Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

File::
c:\windows\system32\acovcnt.exe

RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*0*0*(*w*áé¥:\OpenWithList]
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*a*v*i*Q¸ã@\OpenWithList]
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*v*e X\OpenWithList]
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*v*Ï X\OpenWithList]
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*v*:è_\OpenWithList]
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*v*ۏ_\OpenWithList]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]


------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Ok, voici le nouveau rapport.
C'est un peu long.

ComboFix 12-07-02.01 - asus 02/07/2012  12:52:02.2.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.4001.1660 [GMT 2:00]
Lancé depuis: c:\users\asus\Desktop\Cmbfx.exe
Commutateurs utilisés :: c:\users\asus\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\system32\acovcnt.exe"
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\acovcnt.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-06-02 au 2012-07-02  ))))))))))))))))))))))))))))))))))))
.
.
2012-07-02 10:58 . 2012-07-02 10:58	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2012-07-01 20:57 . 2012-07-01 20:57	--------	d-----w-	c:\program files (x86)\Mozilla Maintenance Service
2012-07-01 20:57 . 2012-07-01 20:57	624608	----a-w-	c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-07-01 20:57 . 2012-07-01 20:57	43488	----a-w-	c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-07-01 20:57 . 2012-07-01 20:57	157608	----a-w-	c:\program files (x86)\Mozilla Firefox\maintenanceservice_installer.exe
2012-07-01 20:57 . 2012-07-01 20:57	113120	----a-w-	c:\program files (x86)\Mozilla Firefox\maintenanceservice.exe
2012-07-01 20:57 . 2012-07-01 20:57	421200	----a-w-	c:\program files (x86)\Mozilla Firefox\msvcp100.dll
2012-07-01 20:57 . 2012-07-01 20:57	770384	----a-w-	c:\program files (x86)\Mozilla Firefox\msvcr100.dll
2012-07-01 15:08 . 2012-07-02 05:23	69000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B340F2FD-E250-4FFD-9B9E-61E5747853A3}\offreg.dll
2012-07-01 10:27 . 2012-07-01 20:56	--------	d-----w-	C:\Pre_Scan
2012-07-01 08:05 . 2012-06-28 12:52	54072	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-07-01 08:05 . 2012-06-28 12:52	59728	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-07-01 08:05 . 2012-06-28 12:52	355856	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-07-01 08:05 . 2012-06-28 12:52	25232	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-07-01 08:05 . 2012-06-28 12:52	958912	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-07-01 08:05 . 2012-06-28 12:52	71064	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-07-01 08:05 . 2012-06-28 12:51	285328	----a-w-	c:\windows\system32\aswBoot.exe
2012-07-01 08:05 . 2012-06-28 12:52	41224	----a-w-	c:\windows\avastSS.scr
2012-07-01 08:05 . 2012-06-28 12:51	227648	----a-w-	c:\windows\SysWow64\aswBoot.exe
2012-07-01 08:04 . 2012-07-01 08:04	--------	d-----w-	c:\programdata\AVAST Software
2012-07-01 08:04 . 2012-07-01 08:04	--------	d-----w-	c:\program files\AVAST Software
2012-06-30 16:31 . 2012-06-30 16:31	--------	d-----w-	c:\users\asus\AppData\Roaming\AVG2012
2012-06-30 16:30 . 2012-07-01 15:14	--------	d-----w-	c:\programdata\AVG2012
2012-06-30 14:11 . 2012-06-30 14:58	--------	d-----w-	c:\users\asus\AppData\Roaming\GetRightToGo
2012-06-30 14:11 . 2012-06-18 01:12	9013136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B340F2FD-E250-4FFD-9B9E-61E5747853A3}\mpengine.dll
2012-06-30 14:10 . 2012-02-23 08:18	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-06-29 14:21 . 2012-06-30 22:20	--------	d-----w-	C:\ZHP
2012-06-29 14:21 . 2012-06-30 22:20	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-06-29 13:06 . 2012-06-29 13:06	--------	d-----w-	c:\program files (x86)\MALWAREBYTES ANTI-MALWARE
2012-06-29 12:56 . 2012-06-29 12:57	--------	d-----w-	c:\program files (x86)\Ad-Remover
2012-06-24 08:06 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-24 08:06 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-24 08:06 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-24 08:06 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-24 08:06 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-24 08:06 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-24 08:06 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-24 08:06 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-24 08:06 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-23 12:17 . 2012-06-23 12:17	--------	d-----w-	c:\users\asus\AppData\Roaming\Malwarebytes
2012-06-23 12:17 . 2012-06-23 12:17	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-23 12:17 . 2012-04-04 13:56	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-23 12:17 . 2012-07-02 05:14	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-06-13 16:57 . 2012-04-26 05:41	149504	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-06-13 13:27 . 2012-06-13 13:27	448	----a-w-	C:\user.js
2012-06-13 13:22 . 2012-06-13 13:22	--------	d-----w-	c:\program files (x86)\DOnline
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-26 14:24 . 2012-04-06 13:14	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-06-26 14:24 . 2011-10-17 21:42	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-07-02_09.28.15   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-02 10:58 . 2012-07-02 10:58	13306              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
- 2012-07-01 23:55 . 2012-07-01 23:55	13306              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
+ 2009-07-14 04:54 . 2012-07-02 11:00	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2012-07-02 09:11	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2012-07-02 09:11	49152              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2012-07-02 11:00	49152              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2012-07-02 09:11	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2012-07-02 11:00	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-02-18 20:13 . 2012-07-02 11:02	54278              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-07-02 11:02	39430              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-08-24 17:14 . 2012-07-02 11:02	19220              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-151886120-4142713384-1578488176-1001_UserData.bin
+ 2012-07-02 10:59 . 2012-07-02 10:59	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-07-02 05:08 . 2012-07-02 05:08	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-07-02 05:08 . 2012-07-02 05:08	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-07-02 10:59 . 2012-07-02 10:59	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2011-08-04 17:48 . 2012-07-02 10:58	698896              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2011-08-04 17:48 . 2012-07-01 23:55	698896              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2009-07-14 05:01 . 2012-07-01 23:55	235808              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2012-07-02 10:58	235808              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-08-24 21:39 . 2012-07-02 10:58	9015684              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-151886120-4142713384-1578488176-1001-12288.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2011-06-10 06:24	165256	----a-w-	c:\program files (x86)\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files (x86)\SFR\Kit\9props.exe" [2011-06-10 959880]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Nuance PDF Reader-reminder"="c:\program files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" [2008-11-03 328992]
"ASUSWebStorage"="c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSPanel.exe" [2011-02-23 731472]
"FLxHCIm"="c:\program files\Fresco Logic Inc\Fresco Logic USB3.0 Host Controller\host\FLxHCIm.exe" [2011-02-25 40448]
"SonicMasterTray"="c:\program files (x86)\ASUS\SonicMaster\SonicMasterTray.exe" [2010-07-10 984400]
"ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-08-17 5732992]
"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-10-07 170624]
"HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
"VAWinAgent"="c:\expressgateutil\VAWinAgent.exe" [2010-08-13 21504]
"RemoteControl10"="c:\program files (x86)\Cyberlink\PowerDVD10\PDVD10Serv.exe" [2010-02-03 87336]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared files\brs.exe" [2010-11-12 75048]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-06-28 4273976]
.
c:\users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Intel(R) Turbo Boost Technology Monitor 2.0.lnk - c:\program files\Intel\TurboBoost\SignalIslandUi.exe [2010-11-30 204288]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AsusVibeLauncher.lnk - c:\program files (x86)\ASUS\AsusVibe\AsusVibeLauncher.exe [2011-4-13 548528]
FancyStart daemon.lnk - c:\windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_94E3CE3704FE82FBF49A6A.exe [2011-8-4 12862]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R2 CLKMSVC10_38F51D56;CyberLink Product - 2011/08/04 10:55;c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\kmsvc.exe [2010-11-12 241648]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 135664]
R2 VideAceWindowsService;VideAceWindowsService;c:\expressgateutil\VAWinService.exe [2010-08-21 77312]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2010-08-11 44032]
R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-03-02 183560]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 135664]
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [2009-06-10 57344]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-01 113120]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [2009-06-10 56832]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 31232]
R3 TurboBoost;Intel(R) Turbo Boost Technology Monitor 2.0;c:\program files\Intel\TurboBoost\TurboBoost.exe [2010-11-29 149504]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\DRIVERS\wacmoumonitor.sys [2009-01-30 18216]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-08-25 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2011-03-08 25960]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 ATKWMIACPIIO;ATKWMIACPI Driver;c:\program files (x86)\ASUS\ATK Package\ATK WMIACPI\atkwmiacpi64.sys [2010-07-26 17024]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [2011-01-25 379520]
S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-03 15416]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-06-28 71064]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-03-14 2009704]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2009-07-15 5414184]
S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [2010-11-29 16120]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-12-21 2656280]
S2 WTouchService;WTouch Service;c:\program files\WTouch\WTouchService.exe [2009-07-15 127272]
S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-09-13 270912]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2010-09-08 129024]
S3 FLxHCIc;Fresco Logic xHCI (USB3) Device Driver;c:\windows\system32\DRIVERS\FLxHCIc.sys [2011-02-25 302592]
S3 FLxHCIh;Fresco Logic xHCI (USB3) Hub Device Driver;c:\windows\system32\DRIVERS\FLxHCIh.sys [2011-02-25 81920]
S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-10-15 317440]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2010-10-19 56344]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-02-16 428136]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2011-10-01 764264]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2011-10-01 268648]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2011-10-01 25960]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2011-10-01 22376]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
*Deregistered* - CLKMDRV10_38F51D56
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 02:33]
.
2012-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 02:33]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-06-28 12:51	133400	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
2010-09-02 08:41	220160	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{64174815-8D98-4CE6-8646-4C039977D808}"
[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
2010-09-02 08:41	220160	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-06-01 168216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-06-01 391960]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-06-01 419096]
"ETDWare"="c:\program files (x86)\Elantech\ETDCtrl.exe" [BU]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-08-11 324096]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2011-03-21 2207848]
"IntelTBRunOnce"="wscript.exe" [2009-07-14 168960]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=c:\windows\System32\nvinitx.dll
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\asus\AppData\Roaming\Mozilla\Firefox\Profiles\72lo2wds.default\
FF - prefs.js: browser.startup.homepage - google.fr
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*0*0*(*w*áé¥:\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*a*v*i*Q¸ã@\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*v*e	 X\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*v*Ï	 X\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*v*:è_\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-151886120-4142713384-1578488176-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*v*ۏ_\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
c:\program files (x86)\CyberLink\Shared files\RichVideo.exe
c:\windows\AsScrPro.exe
c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe
c:\program files (x86)\CyberLink\MediaEspresso\DeviceDetector\DeviceDetector.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
.
**************************************************************************
.
Heure de fin: 2012-07-02  13:07:03 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-07-02 11:07
ComboFix2.txt  2012-07-02 09:33
.
Avant-CF: 48 771 448 832 octets libres
Après-CF: 48 504 950 784 octets libres
.
- - End Of File - - 328F634D55FBE9CA82525002D2EED508
0
Utilisateur anonyme
2 juil. 2012 à 13:16
ok a-t-on de l'evolution ?
0
Oui, merci, c'est déjà bien mieux ! les dossiers acceptent les modifications d'"affichage" et de "tri". (enfin !!)

mais je viens juste d'avoir à nouveau un crash de windows explorer, qui doit encore redémarrer.

Est-ce que les deux problèmes sont liés
0
Utilisateur anonyme
2 juil. 2012 à 13:29
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
0
J'ai dû m'absenter.
Voilà le rapport d'OTL:

http://pjjoint.malekal.com/files.php?id=20120702_h8q15z14b6y13
0
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_228.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM\..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - Startup: C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel Turbo Boost Technology Monitor 2.0.lnk = File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"=-
"swg"=-

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Voilà le rapport
F5 fait toujours crasher windows explorer.

All processes killed 
========== PROCESSES ========== 
No active process named explorer.exe was found! 
No active process named iexplore.exe was found! 
No active process named firefox.exe was found! 
No active process named msnmsgr.exe was found! 
No active process named Teatimer.exe was found! 
========== OTL ========== 
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\URLSearchHooks\\{A3BC75A2-1F87-4686-AA43-5347D756017C} deleted successfully. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3BC75A2-1F87-4686-AA43-5347D756017C}\ not found. 
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\URLSearchHooks\\{A3BC75A2-1F87-4686-AA43-5347D756017C} not found. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3BC75A2-1F87-4686-AA43-5347D756017C}\ not found. 
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully. 
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully. 
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found. 
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found. 
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\RunOnce not found. 
File move failed. C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel Turbo Boost Technology Monitor 2.0.lnk scheduled to be moved on reboot. 
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. 
========== REGISTRY ========== 
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM not found. 
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\swg not found. 
========== COMMANDS ========== 
Restore point Set: OTL Restore Point 
  
[EMPTYTEMP] 
  
User: All Users 
  
User: asus 
->Temp folder emptied: 16715044 bytes 
->Temporary Internet Files folder emptied: 106112 bytes 
->Java cache emptied: 0 bytes 
->FireFox cache emptied: 80399098 bytes 
->Flash cache emptied: 543 bytes 
  
User: Default 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 0 bytes 
  
User: Default User 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 0 bytes 
  
User: Public 
->Temp folder emptied: 0 bytes 
  
User: UpdatusUser 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 0 bytes 
  
%systemdrive% .tmp files removed: 0 bytes 
%systemroot% .tmp files removed: 0 bytes 
%systemroot%\System32 .tmp files removed: 0 bytes 
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes 
%systemroot%\System32\drivers .tmp files removed: 0 bytes 
Windows Temp folder emptied: 0 bytes 
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68044 bytes 
RecycleBin emptied: 0 bytes 
  
Total Files Cleaned = 93,00 mb 
  
  
OTL by OldTimer - Version 3.2.53.0 log created on 07022012_183623 

Files\Folders moved on Reboot... 
File\Folder C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel Turbo Boost Technology Monitor 2.0.lnk not found! 
C:\Users\asus\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. 
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot. 

PendingFileRenameOperations files... 
File C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel Turbo Boost Technology Monitor 2.0.lnk not found! 
File C:\Users\asus\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! 
[2012/07/02 18:44:19 | 000,000,000 | ---- | M] () C:\Windows\temp\_avast_\Webshlock.txt : Unable to obtain MD5 

Registry entries deleted on Reboot... 


Au passage j'ai toujours des noms chinois dans mes récents
"?????????????????3"
Soit-disant présent sur le bureau...
0
Utilisateur anonyme
2 juil. 2012 à 19:31
fais ce grand menage

https://gen-hackman.kanak.fr/
0
Dans le scan de WIGI tout est vert.

Rapport

WhyIGotInfected v1.5.4(by Tigzy)
********************************

Run : 02/07/2012 19:51:37 [Normal Mode]
Machine : ASUS-PC (4 CPUs) [asus : ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium  Service Pack 1 (x64)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
UPTODATE [Firefox (x86)] Current : 13.0.1 -- Latest : 13.0.1
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Adobe Flash] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash ActiveX] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash FF Plugin] Current : 11.3.300.262 -- Latest : 11.3.300.262
UPTODATE [Adobe Flash FF Plugin (x86)] Current : 11.3.300.262 -- Latest : 11.3.300.262


Finished
<C:\Users\asus\Desktop\WIGIReport[1].txt>
WIGIReport[0].txt ; WIGIReport[1].txt 


-J'ai réactivé Daemon avec Defogger

-Il est vrai que j'ai récemment refusé les mises à jour JAVA

La dernière ligne du rapport Purera:

Total space cleaned: 269.71 MB


Rapport de Delfix:

# DelFix v8.8 - Rapport créé le 02/07/2012 à 20:07:22
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : asus - ASUS-PC (Administrateur)
# Exécuté depuis : C:\Users\asus\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\_OTL
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\Ad-Remover
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\asus\Desktop\Cmbfx.exe <-- Combofix
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\Ad-Report-SCAN[2].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\Users\asus\Desktop\AD-R.lnk
Supprimé : C:\Users\asus\Desktop\adwcleaner(supprime les adware).exe
Supprimé : C:\Users\asus\Desktop\cfixlog.txt
Supprimé : C:\Users\asus\Desktop\Defogger(pourDesactiverDaemonETC).exe
Supprimé : C:\Users\asus\Desktop\defogger_disable.log
Supprimé : C:\Users\asus\Desktop\defogger_enable.log
Supprimé : C:\Users\asus\Desktop\Extras.Txt
Supprimé : C:\Users\asus\Desktop\log de combofix.txt
Supprimé : C:\Users\asus\Desktop\OTL.Txt
Supprimé : C:\Users\asus\Desktop\Pre_Scan.pif
Supprimé : C:\Users\asus\Desktop\Pre_Scan_01_07_2012_12_27_41.txt
Supprimé : C:\Users\asus\Desktop\Pre_script.txt
Supprimé : C:\Users\asus\Desktop\WhyIGotInfected.exe
Supprimé : C:\Users\asus\Desktop\ZHPDiag.txt
Supprimé : C:\Users\asus\Desktop\ZHPDiag22.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [2609 octets] - [02/07/2012 20:07:18]
DelFix[S1].txt - [2587 octets] - [02/07/2012 20:07:22]

########## EOF - C:\DelFix[S1].txt - [2711 octets] ##########



J'ai fait mise a jour Java et désinstall anciens.

J'ai mis à jour adobe reader

Avec Ccleaner est il essentiel de le faire effacer les fichiers à chaque démarrage ? Je l'ai coché également comme expliqué dans le tuto.



Nettoyage de disques OK


Pour la vérification des disques, il me demande de planifier puis plus rien. Il faut juste redémarrer pour le faire ?
0
Utilisateur anonyme
2 juil. 2012 à 22:46
formidable
0
Le problème persiste.
Quand j'ouvre certains dossiers et que l'ordi a besoin de cogiter un peu, ça crash !
Pour certains autres dossiers, ça va sauf si je rafraichis avec F5
0
Utilisateur anonyme
3 juil. 2012 à 01:14
t'as fait tout ce que etait indiqué , defragmentation et tout ?
0
Oui, j'ai lancé la défragmentation des disques cet après midi.
Le problème est toujours présent.

Je n'ai pas de fichier récent en chinois, mais Win explorer plante toujours...
0
Après 12 heures de scan, 4 éléments néfastes on été trouvés.
C'est 4 fois OTL.exe
Défini comme : trojan.siggen4.7162

je n'ai pas pensé a éditer un rapport.
Dois-je le retrouver quelque part.

Ou est-ce inutile ?
0
Utilisateur anonyme
4 juil. 2012 à 13:42
non

en tout cas si tu as encore des soucis , je doute que ce soit viral
0
Du coup puis-je continuer ici ?
Ou je dois créer un nouveau sujet ?
0
g3n-h@ckm@n, Merci pour le coup de main.
Même si mes dossiers sont inutilisables, au moins je suis sûre de ne pas avoir de virus.
0
D'accord.
Je rappelle juste la situation.
Je n'ai actuellement aucun problème particulier
Si ce n'est que dès que windows doit réfléchir un peu dans windows explorer, ça crash !
ex:

-quand j'ouvre un dossier et que windows charge les aperçus des fichiers.
-quand j'appuie sur F5 pour rafraichir (c'est alors systématique)

Quand j'ouvre un fichier par l'intermédiaire d'un programme en faisant "fichier ouvrir", la fenêtre en question fonctionne.

Hors de ça, je ne peux presque pas naviguer dans mon PC.

Y'a t il autre chose à faire qui pourrait arranger la situation ?

Si je peux éviter de faire une réinitialisation, ce serait l'idéal !
0