Virus qui éteint mon ordi Fermé

Question

Bonjour, bonsoir.

J'ai chopper un virus qui ne cesse d'éteindre mon ordi.

Je me suis rendu compte que mon anti virus n'était plus actif (j'arrivais plus a le lancer) la raison ? je ne sais pas.

Je désinstalle donc (Security Essentials) et réinstalle, et la a la premiere analyse il me détecte des problemes super grave de partout ! 

Je supprime tout sans chercher à comprendre mais au bout de même pas 5minutes il détecte un problème trop grave apparemment et il est obliger de redémarrer l'ordi.

A chaque fois que je redémarre je suprimme toutes les menaces (vraiment je ne compte plus le nombre de fois que je l'ai fais) mais ça ne cesses de revenir.

Je suis vraiment naze en informatique et je n'y comprend rien du tout. Dans la description du virus parfois ça m'affiche qu'il infecte d'autres fichiers pour se dupliquer et ou qu'il exécute des commandes d'une personne malveillante...

Bref j'ai vraiment besoin de votre aide s'il vous plait car je ne sais plus quoi faire ! 
Je vous remercie beaucoup de m'avoir lu et j'espere que quelqu'un pourra m'aider avec mon probleme. 

(dsl pour les fautes et l'orho, mais je sens que mon ordi va encore avoir une m*erde donc je ne perd pas de temps) 



Configuration: Windows 7 / Firefox 12.0

RyoSazaki · Answer

Up :(

g3n-h@ckm@n · Answer

salut demande la fermeture de l'autre topic


================

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

g3n-h@ckm@n · Answer

ok retelecharge-le j'ai fait une modif

g3n-h@ckm@n · Answer

essaie de le lancer en mode sans echec

g3n-h@ckm@n · Answer

pourquoi tu l'as pas dit tout de suite ? pour zero Access ?

je regardde le rapport

desinstalle spybot en attendant

======================

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

g3n-h@ckm@n · Answer

ok et fais Combofix aussi

g3n-h@ckm@n · Answer

ca depend du message de malwarebytes :)

g3n-h@ckm@n · Answer

tu l'as renommé ?

RyoSazaki · Answer

Voilà, j'ai réussi a le faire passer.

Le rapport : 

ComboFix 12-07-04.04 - Administrateur 04/07/2012  21:26:37.1.1 - x64 MINIMAL
Microsoft Windows 7 Professionnel   6.1.7601.1.1252.33.1036.18.1916.1125 [GMT 2:00]
Lancé depuis: c:\users\Administrateur\Desktop\Ryuuzaki_L.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Windows
c:\windows\Installer\{c10f0701-224d-4b1e-86f9-65ee9b272721}\@
c:\windows\Installer\{c10f0701-224d-4b1e-86f9-65ee9b272721}\U\00000001.@
c:\windows\Installer\{c10f0701-224d-4b1e-86f9-65ee9b272721}\U\80000000.@
c:\windows\Installer\{c10f0701-224d-4b1e-86f9-65ee9b272721}\U\800000cb.@
c:\windows\system32\drivers\etc\hosts.ics
.
Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe 
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-06-04 au 2012-07-04  ))))))))))))))))))))))))))))))))))))
.
.
2012-07-04 19:33 . 2012-07-04 19:33	--------	d-----w-	c:\users\Lycéen\AppData\Local	emp
2012-07-04 19:33 . 2012-07-04 19:33	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2012-07-04 19:33 . 2012-07-04 19:33	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-07-03 19:06 . 2012-07-03 19:06	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-07-03 18:33 . 2012-07-03 18:39	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-07-03 18:33 . 2012-07-03 18:34	--------	d-----w-	C:\ZHP
2012-07-03 15:28 . 2012-07-03 15:28	476936	----a-w-	c:\windows\SysWow64
pdeployJava1.dll
2012-07-02 16:36 . 2012-07-03 18:57	--------	d-----w-	C:\Pre_Scan
2012-07-02 13:05 . 2012-07-02 13:05	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-07-02 11:55 . 2012-07-03 21:14	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2012-07-02 04:52 . 2012-07-02 04:52	328704	----a-w-	c:\windows\system32\services.exe.866BBE9FE7FD7575
2012-07-02 04:36 . 2012-07-02 04:36	328704	----a-w-	c:\windows\system32\services.exe.A49FF8D3065AC839
2012-07-01 23:15 . 2012-07-01 23:15	328704	----a-w-	c:\windows\system32\services.exe.267E1C55B852E8C3
2012-07-01 23:08 . 2012-07-01 23:08	328704	----a-w-	c:\windows\system32\services.exe.2210330C5D31DCC1
2012-07-01 23:03 . 2012-07-01 23:03	328704	----a-w-	c:\windows\system32\services.exe.98FD6919155892AA
2012-07-01 22:56 . 2012-07-01 22:56	328704	----a-w-	c:\windows\system32\services.exe.3534CEAD3913CC33
2012-07-01 22:42 . 2012-07-01 22:42	328704	----a-w-	c:\windows\system32\services.exe.C80B65C04B4740A4
2012-07-01 22:35 . 2012-07-01 22:35	328704	----a-w-	c:\windows\system32\services.exe.3B44BC99C09F3258
2012-07-01 22:31 . 2012-07-01 22:31	328704	----a-w-	c:\windows\system32\services.exe.55CAFD30B8F83289
2012-07-01 22:26 . 2012-07-01 22:26	328704	----a-w-	c:\windows\system32\services.exe.B510D112CECDF531
2012-06-24 13:19 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-24 13:19 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-24 13:19 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-24 13:19 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-24 13:18 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-24 13:18 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-24 13:18 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-24 13:18 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-24 13:18 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-14 15:47 . 2012-04-24 05:37	1462272	----a-w-	c:\windows\system32\crypt32.dll
2012-06-14 15:47 . 2012-04-24 04:36	1158656	----a-w-	c:\windows\SysWow64\crypt32.dll
2012-06-14 15:47 . 2012-04-24 05:37	184320	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-14 15:47 . 2012-04-24 05:37	140288	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-14 15:47 . 2012-04-24 04:36	140288	----a-w-	c:\windows\SysWow64\cryptsvc.dll
2012-06-14 15:47 . 2012-04-24 04:36	103936	----a-w-	c:\windows\SysWow64\cryptnet.dll
2012-06-14 15:39 . 2012-04-26 05:41	77312	----a-w-	c:\windows\system32dpwsx.dll
2012-06-14 15:39 . 2012-04-26 05:41	149504	----a-w-	c:\windows\system32dpcorekmts.dll
2012-06-14 15:39 . 2012-04-26 05:34	9216	----a-w-	c:\windows\system32drmemptylst.exe
2012-06-14 15:38 . 2012-05-01 05:40	209920	----a-w-	c:\windows\system32\profsvc.dll
2012-06-14 15:38 . 2012-04-07 12:31	3216384	----a-w-	c:\windows\system32\msi.dll
2012-06-14 15:38 . 2012-04-07 11:26	2342400	----a-w-	c:\windows\SysWow64\msi.dll
2012-06-14 15:22 . 2012-05-04 11:06	5559664	----a-w-	c:\windows\system32
toskrnl.exe
2012-06-14 15:22 . 2012-05-04 10:03	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-06-14 15:22 . 2012-05-04 10:03	3913072	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-06-14 15:18 . 2012-05-15 01:32	3146752	----a-w-	c:\windows\system32\win32k.sys
2012-06-14 15:18 . 2012-04-28 03:55	210944	----a-w-	c:\windows\system32\driversdpwd.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-03 15:28 . 2010-09-14 08:09	472840	----a-w-	c:\windows\SysWow64\deployJava1.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files (x86)\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Connectify"="c:\program files (x86)\Connectify\Connectify.exe" [2011-12-01 3073864]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"TWebCamera"="c:\program files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2010-02-23 2454840]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"Camera Assistant Software"="c:\program files (x86)\Camera Assistant Software for Toshiba	raybar.exe" [2009-04-10 417792]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DeleteFavorites - Raccourci.lnk - c:\windows\System32\sysprep\DeleteFavorites.bat [2010-9-17 342]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R1 qptowrbu;qptowrbu;c:\windows\system32\drivers\qptowrbu.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-05-24 129976]
R3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 35008]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2010-02-01 232992]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2010-11-20 59392]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-09 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS	os_sps64.sys [2010-03-05 482384]
S1 cnnctfy2;Connectify LightWeight Filter;c:\windows\system32\DRIVERS\cnnctfy2.sys [2011-07-06 31344]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 Connectify;Connectify;c:\program files (x86)\Connectify\ConnectifyService.exe [2011-12-01 69632]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-19 8704]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2011-04-20 169584]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-04-04 24904]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2010-02-05 137560]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-17 166424]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-17 391192]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-17 410648]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-02-05 709976]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 24376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Download with &Media Finder - c:\program files (x86)\Media Finder\hook.html
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\02654at3.default\
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=119&systemid=406&sr=0&q=
FF - user.js: extensions.BabylonToolbar_i.id - cce481ce000000000000ee39dfa00465
FF - user.js: extensions.BabylonToolbar_i.hardId - cce481ce000000000000ee39dfa00465
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15384
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1715:48
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110482
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
Wow6432Node-HKCU-Run-Registry Reviver - c:\program files\Registry Reviver\RegistryReviver.exe
Wow6432Node-HKCU-Run-Media Finder - c:\program files (x86)\Media Finder\MF.exe
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe
HKLM-Run-00TCrdMain - c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-TosNC - c:\program files (x86)\Toshiba\BulletinBoard\TosNcCore.exe
HKLM-Run-TosReelTimeMonitor - c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10i_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10i_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10i.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10i.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10i.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10i.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Connectify\ConnectifyD.exe
c:\program files (x86)\Java\jre6\bin\javaws.exe
c:\program files (x86)\Java\jre6\bin\javaw.exe
.
**************************************************************************
.
Heure de fin: 2012-07-04  21:40:49 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-07-04 19:40
.
Avant-CF: 59 503 616 000 octets libres
Après-CF: 59 027 845 120 octets libres
.
- - End Of File - - 23771EFF3E388C57F4C3FD76F38CB0DC

g3n-h@ckm@n · Answer

je t'aii demandé de desinstaller spybot
desinstalle adobe reader 9

=========

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

File::
c:\windows\system32\services.exe.866BBE9FE7FD7575
c:\windows\system32\services.exe.A49FF8D3065AC839
c:\windows\system32\services.exe.267E1C55B852E8C3
c:\windows\system32\services.exe.2210330C5D31DCC1
c:\windows\system32\services.exe.98FD6919155892AA
c:\windows\system32\services.exe.3534CEAD3913CC33
c:\windows\system32\services.exe.C80B65C04B4740A4
c:\windows\system32\services.exe.3B44BC99C09F3258
c:\windows\system32\services.exe.55CAFD30B8F83289
c:\windows\system32\services.exe.B510D112CECDF531

Rootkit::
c:\windows\system32\drivers\qptowrbu.sys

Folder::
c:\windows\system32\%APPDATA%

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-

Driver::
qptowrbu

DDS::
IE: Download with &Media Finder - c:\program files (x86)\Media Finder\hook.html

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

g3n-h@ckm@n · Answer

ok ca sera pas fini hein....:p

RyoSazaki · Answer

Voilà :

ComboFix 12-07-04.04 - Administrateur 05/07/2012  19:40:41.2.1 - x64 MINIMAL
Microsoft Windows 7 Professionnel   6.1.7601.1.1252.33.1036.18.1916.1107 [GMT 2:00]
Lancé depuis: c:\users\Administrateur\Desktop\Ryuuzaki_L.exe
Commutateurs utilisés :: c:\users\Administrateur\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
FILE ::
"c:\windows\system32\services.exe.2210330C5D31DCC1"
"c:\windows\system32\services.exe.267E1C55B852E8C3"
"c:\windows\system32\services.exe.3534CEAD3913CC33"
"c:\windows\system32\services.exe.3B44BC99C09F3258"
"c:\windows\system32\services.exe.55CAFD30B8F83289"
"c:\windows\system32\services.exe.866BBE9FE7FD7575"
"c:\windows\system32\services.exe.98FD6919155892AA"
"c:\windows\system32\services.exe.A49FF8D3065AC839"
"c:\windows\system32\services.exe.B510D112CECDF531"
"c:\windows\system32\services.exe.C80B65C04B4740A4"
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\services.exe.2210330C5D31DCC1
c:\windows\system32\services.exe.267E1C55B852E8C3
c:\windows\system32\services.exe.3534CEAD3913CC33
c:\windows\system32\services.exe.3B44BC99C09F3258
c:\windows\system32\services.exe.55CAFD30B8F83289
c:\windows\system32\services.exe.866BBE9FE7FD7575
c:\windows\system32\services.exe.98FD6919155892AA
c:\windows\system32\services.exe.A49FF8D3065AC839
c:\windows\system32\services.exe.B510D112CECDF531
c:\windows\system32\services.exe.C80B65C04B4740A4
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_qptowrbu
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-06-05 au 2012-07-05  ))))))))))))))))))))))))))))))))))))
.
.
2012-07-05 17:47 . 2012-07-05 17:47	--------	d-----w-	c:\users\Lycéen\AppData\Local	emp
2012-07-05 17:47 . 2012-07-05 17:47	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2012-07-05 17:47 . 2012-07-05 17:47	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-07-03 19:06 . 2012-07-03 19:06	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-07-03 18:33 . 2012-07-03 18:39	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-07-03 18:33 . 2012-07-03 18:34	--------	d-----w-	C:\ZHP
2012-07-03 15:28 . 2012-07-03 15:28	476936	----a-w-	c:\windows\SysWow64
pdeployJava1.dll
2012-07-02 16:36 . 2012-07-03 18:57	--------	d-----w-	C:\Pre_Scan
2012-07-02 13:05 . 2012-07-02 13:05	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-07-02 11:55 . 2012-07-03 21:14	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2012-06-24 13:19 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-24 13:19 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-24 13:19 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-24 13:19 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-24 13:18 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-24 13:18 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-24 13:18 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-24 13:18 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-24 13:18 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-14 15:47 . 2012-04-24 05:37	1462272	----a-w-	c:\windows\system32\crypt32.dll
2012-06-14 15:47 . 2012-04-24 04:36	1158656	----a-w-	c:\windows\SysWow64\crypt32.dll
2012-06-14 15:47 . 2012-04-24 05:37	184320	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-14 15:47 . 2012-04-24 05:37	140288	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-14 15:47 . 2012-04-24 04:36	140288	----a-w-	c:\windows\SysWow64\cryptsvc.dll
2012-06-14 15:47 . 2012-04-24 04:36	103936	----a-w-	c:\windows\SysWow64\cryptnet.dll
2012-06-14 15:39 . 2012-04-26 05:41	77312	----a-w-	c:\windows\system32dpwsx.dll
2012-06-14 15:39 . 2012-04-26 05:41	149504	----a-w-	c:\windows\system32dpcorekmts.dll
2012-06-14 15:39 . 2012-04-26 05:34	9216	----a-w-	c:\windows\system32drmemptylst.exe
2012-06-14 15:38 . 2012-05-01 05:40	209920	----a-w-	c:\windows\system32\profsvc.dll
2012-06-14 15:38 . 2012-04-07 12:31	3216384	----a-w-	c:\windows\system32\msi.dll
2012-06-14 15:38 . 2012-04-07 11:26	2342400	----a-w-	c:\windows\SysWow64\msi.dll
2012-06-14 15:22 . 2012-05-04 11:06	5559664	----a-w-	c:\windows\system32
toskrnl.exe
2012-06-14 15:22 . 2012-05-04 10:03	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-06-14 15:22 . 2012-05-04 10:03	3913072	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-06-14 15:18 . 2012-05-15 01:32	3146752	----a-w-	c:\windows\system32\win32k.sys
2012-06-14 15:18 . 2012-04-28 03:55	210944	----a-w-	c:\windows\system32\driversdpwd.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-03 15:28 . 2010-09-14 08:09	472840	----a-w-	c:\windows\SysWow64\deployJava1.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-07-04_19.35.01   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-28 08:24 . 2012-07-05 16:36	51898              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-07-05 17:53	45324              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-01-24 18:05 . 2012-07-05 17:53	18602              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3572733930-1214716839-1717975058-1002_UserData.bin
- 2010-10-08 11:59 . 2012-07-04 19:00	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-10-08 11:59 . 2012-07-05 17:14	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-09-09 21:44 . 2012-07-04 19:00	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-09-09 21:44 . 2012-07-05 17:14	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2012-07-05 17:48 . 2012-07-05 17:48	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-07-04 19:34 . 2012-07-04 19:34	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-07-05 17:48 . 2012-07-05 17:48	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-07-04 19:34 . 2012-07-04 19:34	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-10-25 12:14 . 2012-07-04 15:57	163840              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-10-25 12:14 . 2012-07-05 14:43	163840              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2012-07-04 15:57	245760              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2012-07-05 14:43	245760              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 05:01 . 2012-07-04 19:21	874460              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2012-07-05 17:36	874460              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2010-10-25 12:14 . 2012-07-04 15:57	2768896              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-10-25 12:14 . 2012-07-05 14:43	2768896              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-01-26 21:36 . 2012-07-05 17:36	7512876              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3572733930-1214716839-1717975058-1002-12288.dat
- 2011-01-26 21:36 . 2012-07-04 19:21	7512876              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3572733930-1214716839-1717975058-1002-12288.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files (x86)\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Connectify"="c:\program files (x86)\Connectify\Connectify.exe" [2011-12-01 3073864]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"TWebCamera"="c:\program files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2010-02-23 2454840]
"Camera Assistant Software"="c:\program files (x86)\Camera Assistant Software for Toshiba	raybar.exe" [2009-04-10 417792]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DeleteFavorites - Raccourci.lnk - c:\windows\System32\sysprep\DeleteFavorites.bat [2010-9-17 342]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-05-24 129976]
R3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 35008]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2010-02-01 232992]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2010-11-20 59392]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-09 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS	os_sps64.sys [2010-03-05 482384]
S1 cnnctfy2;Connectify LightWeight Filter;c:\windows\system32\DRIVERS\cnnctfy2.sys [2011-07-06 31344]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 Connectify;Connectify;c:\program files (x86)\Connectify\ConnectifyService.exe [2011-12-01 69632]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-19 8704]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2011-04-20 169584]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-04-04 24904]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2010-02-05 137560]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-17 166424]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-17 391192]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-17 410648]
"TPwrMain"="c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE" [BU]
"SmoothView"="c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe" [BU]
"00TCrdMain"="c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe" [BU]
"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-02-05 709976]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 24376]
"TosNC"="c:\program files (x86)\Toshiba\BulletinBoard\TosNcCore.exe" [BU]
"TosReelTimeMonitor"="c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe" [BU]
"combofix"="c:yuuzaki_l\CF20201.3XE" [2010-11-20 345088]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\02654at3.default\
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=119&systemid=406&sr=0&q=
FF - user.js: extensions.BabylonToolbar_i.id - cce481ce000000000000ee39dfa00465
FF - user.js: extensions.BabylonToolbar_i.hardId - cce481ce000000000000ee39dfa00465
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15384
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1715:48
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110482
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
.
.
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Connectify\ConnectifyD.exe
.
**************************************************************************
.
Heure de fin: 2012-07-05  19:56:55 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-07-05 17:56
ComboFix2.txt  2012-07-04 19:40
.
Avant-CF: 59 060 715 520 octets libres
Après-CF: 58 847 363 072 octets libres
.
- - End Of File - - B5030C757E95277ED000EBAB8BC10B64

g3n-h@ckm@n · Answer

re

non je voulais que tu prennes tout tel quel

pourquoi inventer des trucs qu on demande pas ?? lol !!

g3n-h@ckm@n · Answer

refais-le

RyoSazaki · Answer

Salut.

J'ai recommencé le scan en suivant tes instructions : 

ComboFix 12-07-04.04 - Administrateur 08/07/2012  20:58:23.4.1 - x64
Microsoft Windows 7 Professionnel   6.1.7601.1.1252.33.1036.18.1916.994 [GMT 2:00]
Lancé depuis: c:\users\Administrateur\Desktop\Ryuuzaki_L.exe
Commutateurs utilisés :: c:\users\Administrateur\Desktop\CFScript.txt
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
FILE ::
"c:\windows\system32\services.exe.2210330C5D31DCC1"
"c:\windows\system32\services.exe.267E1C55B852E8C3"
"c:\windows\system32\services.exe.3534CEAD3913CC33"
"c:\windows\system32\services.exe.3B44BC99C09F3258"
"c:\windows\system32\services.exe.55CAFD30B8F83289"
"c:\windows\system32\services.exe.866BBE9FE7FD7575"
"c:\windows\system32\services.exe.98FD6919155892AA"
"c:\windows\system32\services.exe.A49FF8D3065AC839"
"c:\windows\system32\services.exe.B510D112CECDF531"
"c:\windows\system32\services.exe.C80B65C04B4740A4"
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-06-08 au 2012-07-08  ))))))))))))))))))))))))))))))))))))
.
.
2012-07-08 19:07 . 2012-07-08 19:07	--------	d-----w-	c:\users\Lycéen\AppData\Local	emp
2012-07-08 19:07 . 2012-07-08 19:07	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2012-07-08 19:07 . 2012-07-08 19:07	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-07-05 20:53 . 2012-07-05 20:53	--------	d-----w-	c:\users\Administrateur\AppData\Local\Google
2012-07-03 19:06 . 2012-07-03 19:06	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-07-03 18:33 . 2012-07-03 18:39	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-07-03 18:33 . 2012-07-03 18:34	--------	d-----w-	C:\ZHP
2012-07-03 15:28 . 2012-07-03 15:28	476936	----a-w-	c:\windows\SysWow64
pdeployJava1.dll
2012-07-02 16:36 . 2012-07-03 18:57	--------	d-----w-	C:\Pre_Scan
2012-07-02 13:05 . 2012-07-02 13:05	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-07-02 11:55 . 2012-07-03 21:14	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2012-06-24 13:19 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-24 13:19 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-24 13:19 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-24 13:19 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-24 13:18 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-24 13:18 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-24 13:18 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-24 13:18 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-24 13:18 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-14 15:47 . 2012-04-24 05:37	1462272	----a-w-	c:\windows\system32\crypt32.dll
2012-06-14 15:47 . 2012-04-24 04:36	1158656	----a-w-	c:\windows\SysWow64\crypt32.dll
2012-06-14 15:47 . 2012-04-24 05:37	184320	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-14 15:47 . 2012-04-24 05:37	140288	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-14 15:47 . 2012-04-24 04:36	140288	----a-w-	c:\windows\SysWow64\cryptsvc.dll
2012-06-14 15:47 . 2012-04-24 04:36	103936	----a-w-	c:\windows\SysWow64\cryptnet.dll
2012-06-14 15:39 . 2012-04-26 05:41	77312	----a-w-	c:\windows\system32dpwsx.dll
2012-06-14 15:39 . 2012-04-26 05:41	149504	----a-w-	c:\windows\system32dpcorekmts.dll
2012-06-14 15:39 . 2012-04-26 05:34	9216	----a-w-	c:\windows\system32drmemptylst.exe
2012-06-14 15:38 . 2012-05-01 05:40	209920	----a-w-	c:\windows\system32\profsvc.dll
2012-06-14 15:38 . 2012-04-07 12:31	3216384	----a-w-	c:\windows\system32\msi.dll
2012-06-14 15:38 . 2012-04-07 11:26	2342400	----a-w-	c:\windows\SysWow64\msi.dll
2012-06-14 15:22 . 2012-05-04 11:06	5559664	----a-w-	c:\windows\system32
toskrnl.exe
2012-06-14 15:22 . 2012-05-04 10:03	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-06-14 15:22 . 2012-05-04 10:03	3913072	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-06-14 15:18 . 2012-05-15 01:32	3146752	----a-w-	c:\windows\system32\win32k.sys
2012-06-14 15:18 . 2012-04-28 03:55	210944	----a-w-	c:\windows\system32\driversdpwd.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-03 15:28 . 2010-09-14 08:09	472840	----a-w-	c:\windows\SysWow64\deployJava1.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-07-04_19.35.01   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-28 08:24 . 2012-07-08 18:14	52034              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-07-08 19:16	45412              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-01-24 18:05 . 2012-07-08 19:16	18892              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3572733930-1214716839-1717975058-1002_UserData.bin
+ 2010-10-08 11:59 . 2012-07-08 19:13	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-10-08 11:59 . 2012-07-04 19:00	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-09-09 21:44 . 2012-07-08 19:13	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-09-09 21:44 . 2012-07-04 19:00	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-09-30 19:16 . 2012-07-06 16:58	4294              c:\windows\system32\wdi\ERCQueuedResolutions.dat
- 2012-07-04 19:34 . 2012-07-04 19:34	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-07-08 19:08 . 2012-07-08 19:08	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-07-04 19:34 . 2012-07-04 19:34	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-07-08 19:08 . 2012-07-08 19:08	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-10-25 12:14 . 2012-07-04 15:57	163840              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-10-25 12:14 . 2012-07-08 09:16	163840              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2012-07-04 15:57	245760              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2012-07-08 09:16	245760              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 05:01 . 2012-07-04 19:21	874460              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2012-07-08 19:07	874460              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2010-10-25 12:14 . 2012-07-08 09:16	2768896              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-10-25 12:14 . 2012-07-04 15:57	2768896              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2011-01-26 21:36 . 2012-07-04 19:21	7512876              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3572733930-1214716839-1717975058-1002-12288.dat
+ 2011-01-26 21:36 . 2012-07-08 19:07	7512876              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3572733930-1214716839-1717975058-1002-12288.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files (x86)\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Connectify"="c:\program files (x86)\Connectify\Connectify.exe" [2011-12-01 3073864]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"TWebCamera"="c:\program files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2010-02-23 2454840]
"Camera Assistant Software"="c:\program files (x86)\Camera Assistant Software for Toshiba	raybar.exe" [2009-04-10 417792]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DeleteFavorites - Raccourci.lnk - c:\windows\System32\sysprep\DeleteFavorites.bat [2010-9-17 342]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-05-24 129976]
R3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 35008]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2010-02-01 232992]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2010-11-20 59392]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-09 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS	os_sps64.sys [2010-03-05 482384]
S1 cnnctfy2;Connectify LightWeight Filter;c:\windows\system32\DRIVERS\cnnctfy2.sys [2011-07-06 31344]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 Connectify;Connectify;c:\program files (x86)\Connectify\ConnectifyService.exe [2011-12-01 69632]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-19 8704]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2011-04-20 169584]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-04-04 24904]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2010-02-05 137560]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-17 166424]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-17 391192]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-17 410648]
"TPwrMain"="c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE" [BU]
"SmoothView"="c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe" [BU]
"00TCrdMain"="c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe" [BU]
"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-02-05 709976]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 24376]
"TosNC"="c:\program files (x86)\Toshiba\BulletinBoard\TosNcCore.exe" [BU]
"TosReelTimeMonitor"="c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe" [BU]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
FF - ProfilePath - c:\users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\02654at3.default\
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=119&systemid=406&sr=0&q=
FF - user.js: extensions.BabylonToolbar_i.id - cce481ce000000000000ee39dfa00465
FF - user.js: extensions.BabylonToolbar_i.hardId - cce481ce000000000000ee39dfa00465
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15384
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1715:48
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110482
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
.
.
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Connectify\ConnectifyD.exe
.
**************************************************************************
.
Heure de fin: 2012-07-08  21:20:17 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-07-08 19:20
ComboFix2.txt  2012-07-05 17:56
ComboFix3.txt  2012-07-04 19:40
.
Avant-CF: 57 560 739 840 octets libres
Après-CF: 57 244 770 304 octets libres
.
- - End Of File - - D7CA38711ECC49DADA1728C4E784691A

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

g3n-h@ckm@n · Answer

ici 

https://majorgeeks.com/downloadget.php?id=7074&file=15&evp=5c05371bd3847a160d2399e70144348e 

c'est un peu long à venir
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}     
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www1.search-results.com/web?l=dis&q=&o=APN10645&apn_dtid=%5EBND406%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG6&d=406-119&lang=en&atb=sysid%3D406%3Aappid%3D119%3Auid%3D6948c91c2bf2b69e%3Asrc%3Dieb%3Ao%3DAPN10645%3Atg%3D&p2=%5EAG6%5EBND406%5EYY%5EFR{searchTerms}     
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}     
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www1.search-results.com/web?l=dis&q=&o=APN10645&apn_dtid=%5EBND406%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG6&d=406-119&lang=en&atb=sysid%3D406%3Aappid%3D119%3Auid%3D6948c91c2bf2b69e%3Asrc%3Dieb%3Ao%3DAPN10645%3Atg%3D&p2=%5EAG6%5EBND406%5EYY%5EFR{searchTerms}     
IE - HKU\S-1-5-21-3572733930-1214716839-1717975058-1002\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}     
IE - HKU\S-1-5-21-3572733930-1214716839-1717975058-1002\..\SearchScopes\{0037BB26-08D1-46E9-8AC3-E2DC44BDDC86}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=970ADDB1-4264- 
IE - HKU\S-1-5-21-3572733930-1214716839-1717975058-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=110482&mntrId=cce481ce000000000000ee39dfa00465 
IE - HKU\S-1-5-21-3572733930-1214716839-1717975058-1002\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www1.search-results.com/web?l=dis&q=&o=APN10645&apn_dtid=%5EBND406%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG6&d=406-119&lang=en&atb=sysid%3D406%3Aappid%3D119%3Auid%3D6948c91c2bf2b69e%3Asrc%3Dieb%3Ao%3DAPN10645%3Atg%3D&p2=%5EAG6%5EBND406%5EYY%5EFR{searchTerms}     
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21     
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23     
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll2
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012/07/03 17:29:03 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} 
[2012/02/14 16:47:35 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml     
[2012/02/07 22:16:32 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml 
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DeleteFavorites - Raccourci.lnk =  File not found
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DeleteFavorites - Raccourci.lnk =  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)     
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33)     
C:\Users\Administrateur\AppData\Local\{*} 
C:\Windows\Sys*\%APPDATA% 
C:\ProgramData\Spybot - Search & Destroy     
[2012/02/14 16:58:25 | 000,000,000 | ---D | M] -- C:\Users\Administrateur\AppData\Roaming\Media Finder     
[2011/05/16 08:41:39 | 000,000,000 | ---D | M] -- C:\Users\Administrateur\AppData\Roaming\OpenCandy     

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

LeChikito · Answer

g3n-h@ckm@n, le helpé a un petit soucis de réponse pour le moment, il va peut-être mettre un peu de temps à répondre, le temps de résoudre son problème.
https://forums.commentcamarche.net/forum/affich-25560001-ccm-impossible-de-repondre

RyoSazaki · Answer

# AdwCleaner v1.701 - Rapport créé le 09/07/2012 à 15:43:50
# Mis à jour le 02/07/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Administrateur - WIN-E04V4CS2PND
# Exécuté depuis : C:\Users\Administrateur\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Administrateur\AppData\Local\OpenCandy
Dossier Supprimé : C:\Users\Administrateur\AppData\LocalLow\searchquband
Dossier Supprimé : C:\Users\Administrateur\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\gencrawler@some.com
Dossier Supprimé : C:\ProgramData\Ask
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Finder
Fichier Supprimé : C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\02654at3.default\searchplugins\Search_Results.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Supprimée : HKCU\Software\Iminent
Clé Supprimée : HKCU\Software\MediaFinder
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Boxore
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\MF
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
[x64] Clé Supprimée : HKLM\SOFTWARE\Software

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\02654at3.default\prefs.js

C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\02654at3.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110482");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "cce481ce000000000000ee39dfa00465");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "cce481ce000000000000ee39dfa00465");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15384");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", false);
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:48:08");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");

Nom du profil : default 
Fichier : C:\Users\Lycéen\AppData\Roaming\Mozilla\Firefox\Profiles\02654at3.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v16.0.912.63

Fichier : C:\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :                "description": "The plug-in from the General-Crawler.com website which lets the users[...]
Supprimée :                "homepage_url": "hxxp://www.general-crawler.com",
Supprimée :                "name": "General Crawler",
Supprimée :                "update_url": "hxxp://1.update.general-crawler.com/updates/update_chrome.xml",

*************************

AdwCleaner[S1].txt - [4464 octets] - [09/07/2012 15:43:50]

########## EOF - C:\AdwCleaner[S1].txt - [4592 octets] ##########

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

g3n-h@ckm@n · Answer

tu n'as plus de soucis ?

g3n-h@ckm@n · Answer

telecharge winupdatefix

http://general-changelog-team.fr/fr/downloads/view.download/11

coche tout à gauche , et mets les trois services sur demarrer et automatique

puis clique sur executer

g3n-h@ckm@n · Answer

reessaie en desactivant tes protections et clic droit "executer tant qu' administrateur"

g3n-h@ckm@n · Answer

qualles sont ces mises à jour ?

g3n-h@ckm@n · Answer

c:\program files (x86)\Connectify\

tu sais ce que c est ca ?

g3n-h@ckm@n · Answer

essaie ceci : 

clique sur le bouton Démarrer puis Accessoires et  Exécuter. Tape les commandes suivantes en enfonçant la touche Entrée pour chacune : 
regsvr32 oleaut32.dll 
regsvr32 jscript.dll 
regsvr32 vbscript.dll 
regsvr32 msxml.dll 
regsvr32 softpub.dll 
regsvr32 wintrust.dll 
regsvr32 initpki.dll 
regsvr32 cryptdlg.dl 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

je voudrais savoir lesquelles sont introuvables et le message exact 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

il est légal ce windows ?

g3n-h@ckm@n · Answer

tu l'as jamais amené à reparer le pc ?

g3n-h@ckm@n · Answer

il faudrait que tu trouves quelqu'un autour de toi qui peut te filer ces fichiers :

c:\windows\system32\msxml.dll
c:\windows\system32\initpki.dll
c:\windows\system32\cryptdlg.dll

attention il faut que ca provienne d'un systeme  windows 7 / 64 bits

g3n-h@ckm@n · Answer

oui après tu les mets dans ton system32 dans le dossier windows puis tu redemarres puis tu retentes les mises à jour après avoir re-rentré les commandes plus haut pour que windows les enregistre dans libraire dynamique , si tu les rajoutes juste comme ca , si tu les enregistres pas , c est comme si tu piss$$$ dans un violon :) 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Virus qui éteint mon ordi

33 réponses

Discussions similaires