ZeroAcces vs RogueKiller / malwarebyte

Question

Bonjour, Configuration: Windows 7 / Internet Explorer 9.0 Bonjour, mon pc a de sérieux problèmes, que je n'arrive pas à résoudre depuis quelques jours. Microsoft security essentials et mon pare-feu ne peuvent être activés. En faisant mes recherches, j'ai découvert être infecté par Zero Acces. J'ai effectué toutes les manipulations recommandées par roguekiller, mais je n'arrive pas à éliminer ce virus complètement. Voici le dernier rapport de roguekiller : Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_32\desktop.ini --> FOUND [ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_64\desktop.ini --> FOUND ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST95005620AS +++++ --- User --- [MBR] c031903ef0e94caca6428ba2553ec33d [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7 MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 190776 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 443140096 | Size: 260562 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST95005620AS +++++ --- User --- [MBR] cdf0b1ea425a593d0c5b85111dc0ee27 [BSP] e6c2cebec9d5914c6fe029aa4b621d92 : Windows Vista/7 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238460 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488368128 | Size: 238479 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[10].txt >> RKreport[10].txt ; RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt Le "processus malicieux" est-il dangereux ? lorsque je demande à roguekiller de supprimer les "fichiers Zero acces", je vois dans le rapport immédiat "removed on reboot", mais une fois le pc redémarré, ils sont revenus... j'ai pourtant suivi la procédure indiquée dans la video sur le site vers lequel je suis envoyé à chaque scan... De plus, à chaque démarrage, Windows 7 tente de réinstaller "trayapp" mais ne trouve pas les fichiers nécessaires. Il me demande alors de router l'application "trayapp" qu'il ne trouve pas. J'insère alors le cd d'installation de mon imprimante HP sur lequel se touve ce ficher, et le route. Mais il me dit que le fichier n'est pas le bon. Quelqu'un peut-il m'aider ?

Utilisateur anonyme · Answer

Salut, On va essayer autrement : /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS /!\ _____________________________________________________ Logiciel à utiliser si prescrit par un helpeur qualifié et formé à l'outil >>> Ne pas utiliser en dehors de ce cas de figure : dangereux <<< _____________________________________________________ ▶ Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. ▶ Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, il faut impérativement le désinstaller avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système ! La simple désactivation du résident n'est pas suffisante. En suivant ce lien, recherche AVG et choisis la version adéquat, puis lance l'outil et supprime AVG. ▶ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge et lance Defogger (de jpshortstuff) sur ton bureau. ▶ Une fenêtre apparaît : clique sur "Disable". ▶ Faire redémarrer l'ordinateur si l'outil le demande. Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable". _________________________________________________________ ▶ Enregistre et ferme tous tes programmes en cours. ▶ Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, toutes tes protections (Antivirus, pare-feu etc) qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. _________________________________________________________ Si tu as Windows Vista ou Windows 7 -> clic droit "exécuter en tant qu'administrateur" sur le logiciel pour le lancer. ¤ Accepte l'installation de la console de récupération si demandé ¤ ! Ne touche à rien pendant que l'outil travaille (souris, clavier...) ! ▶ Une fois que ComboFix a terminé, n'oublie pas de réactiver la garde de tes protections avant de te reconnecter à Internet. ▶▶ Reviens sur le forum, et copie / colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

thesoundquest · Answer

merci pour votre aide.

J'ai lancé combofix exactement comme vous me l'avez suggéré.

celui-ci reste bloqué depuis 40 minutes sur "compte-rendu en cours de préparation.  Ne lancez aucun programme tant que combofix n'est pas fini"

Je n'ose pas toucher à mon ordinateur...  dois-je encore attendre ? est-il planté ?

thesoundquest · Answer

edit - combofix a finalement terminé.

le fichier est volumineux pour un copier-coller du texte, non ?

thesoundquest · Answer

Lorsque j'essaie d'ouvrir internet explorer sur l'ordinateur infecté, une fenetre s'ouvre avec "tentative d'opération non autorisée sur une clé du registre marquée pour suppression"

cela m'empeche de vous caopier-coller le texte...

Utilisateur anonyme · Answer

Redémarre le pc...

thesoundquest · Answer

ok ça marche ! merci.   Mon pare-feu a l'air d'être rétabli.  Pour l'anti-virus MSE, toujours le même problème.  Peut-être dois-je désinstaller puis réinstaller ?
Je ne touche à rien, j'attend vos suggestion : )

voici le combofix.txt : 

ComboFix 12-07-14.01 - Fabien Pochet 15/07/2012  13:14:39.1.8 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.32.1036.18.8169.6037 [GMT 2:00]
Lancé depuis: c:\users\Fabien Pochet\Desktop\Fabien.exe
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\FullRemove.exe
c:\users\Fabien Pochet\AppData\Local\Temp\99cab429-f99d-4f69-9d04-113ad532bd0f\CliSecureRT.dll
c:\users\FABIEN~1\AppData\Local\Temp\99cab429-f99d-4f69-9d04-113ad532bd0f\CliSecureRT.dll
c:\windows\AsPatch10430001.exe
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\SysWow64\muzapp.exe
F:\install.exe
.
Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe 
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-06-15 au 2012-07-15  ))))))))))))))))))))))))))))))))))))
.
.
2012-07-15 11:20 . 2012-07-15 11:20	--------	d-----w-	c:\users\UpdatusUser\AppData\Local	emp
2012-07-15 11:20 . 2012-07-15 11:20	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-07-15 09:46 . 2012-07-15 09:58	--------	d-----w-	C:\ZHP
2012-07-15 09:46 . 2012-07-15 09:58	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-07-15 02:26 . 2012-07-15 02:26	--------	d-----w-	C:\found.000
2012-07-15 02:20 . 2012-07-15 02:20	328704	----a-w-	c:\windows\system32\services.exe.2B71FE020397E933
2012-07-15 02:20 . 2012-07-15 02:20	--------	d-----w-	c:\windows\system32\MpEngineStore
2012-07-15 01:54 . 2012-07-03 11:46	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-15 01:31 . 2012-05-04 09:59	514560	----a-w-	c:\windows\SysWow64\qdvd.dll
2012-07-15 00:53 . 2012-07-15 00:53	--------	d-----w-	c:\users\Fabien Pochet\AppData\Roaming\Malwarebytes
2012-07-15 00:52 . 2012-07-15 00:52	--------	d-----w-	c:\programdata\Malwarebytes
2012-07-15 00:52 . 2012-07-15 01:54	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-07-12 16:45 . 2012-05-04 11:00	366592	----a-w-	c:\windows\system32\qdvd.dll
2012-07-12 06:15 . 2012-06-12 03:08	3148800	----a-w-	c:\windows\system32\win32k.sys
2012-07-11 16:09 . 2012-06-06 06:06	2004480	----a-w-	c:\windows\system32\msxml6.dll
2012-07-11 16:09 . 2012-06-06 06:06	1881600	----a-w-	c:\windows\system32\msxml3.dll
2012-07-11 16:09 . 2012-06-06 05:05	1390080	----a-w-	c:\windows\SysWow64\msxml6.dll
2012-07-11 16:09 . 2012-06-06 05:05	1236992	----a-w-	c:\windows\SysWow64\msxml3.dll
2012-07-11 16:09 . 2010-06-26 03:55	2048	----a-w-	c:\windows\system32\msxml3r.dll
2012-07-11 16:09 . 2010-06-26 03:24	2048	----a-w-	c:\windows\SysWow64\msxml3r.dll
2012-07-08 21:04 . 2012-05-31 04:04	9013136	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{8B8A1C8E-6F59-4D05-843A-6C006F039B58}\mpengine.dll
2012-07-08 07:33 . 2012-05-31 04:04	9013136	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-07-08 07:23 . 2010-02-23 08:16	294912	----a-w-	c:\windows\system32\browserchoice.exe
2012-07-06 11:51 . 2002-07-03 09:44	53248	----a-w-	c:\windows\amcap.exe
2012-07-06 11:51 . 2006-08-23 12:36	339968	----a-w-	c:\windows\vsnpstd.exe
2012-07-06 11:51 . 2006-05-03 13:40	390784	----a-w-	c:\windows\SysWow64\drivers\snpstd.sys
2012-07-06 11:51 . 2012-07-15 01:06	--------	d-----w-	c:\program files (x86)\Common Files\snpstd
2012-07-06 11:51 . 2005-10-19 17:22	36864	----a-w-	c:\windows\SysWow64\dsnpstd.ax
2012-07-06 11:51 . 2005-04-20 15:34	61440	----a-w-	c:\windows\SysWow64snpstd.dll
2012-07-06 11:51 . 2005-04-20 15:16	36864	----a-w-	c:\windows\SysWow64\vsnpstd.dll
2012-07-06 11:51 . 2005-02-01 17:29	20480	----a-w-	c:\windows\usnpstd.exe
2012-07-06 11:51 . 2004-02-16 11:59	61440	----a-w-	c:\windows\SysWow64\csnpstd.dll
2012-07-06 11:50 . 2003-02-27 14:12	696320	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iKernel.dll
2012-07-06 11:50 . 2002-12-05 12:10	155648	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iuser.dll
2012-07-06 11:50 . 2002-12-02 13:22	5632	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe
2012-07-06 11:50 . 2002-12-02 11:33	57344	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll
2012-07-06 11:50 . 2002-12-02 11:33	237568	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iscript.dll
2012-07-06 11:50 . 2012-07-06 11:50	282756	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\0701\Intel32\setup.dll
2012-07-06 11:50 . 2012-07-06 11:50	163972	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iGdi.dll
2012-07-05 14:45 . 2011-06-02 05:47	177640	----a-w-	c:\windows\system32\drivers\ssadmdm.sys
2012-07-05 14:45 . 2011-06-02 05:47	16872	----a-w-	c:\windows\system32\drivers\ssadmdfl.sys
2012-07-05 14:45 . 2011-06-02 05:47	13800	----a-w-	c:\windows\system32\drivers\ssadwhnt.sys
2012-07-05 14:45 . 2011-06-02 05:47	13288	----a-w-	c:\windows\system32\drivers\ssadcmnt.sys
2012-07-05 14:45 . 2011-06-02 05:47	157672	----a-w-	c:\windows\system32\drivers\ssadbus.sys
2012-07-03 22:23 . 2012-02-11 07:04	927800	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{ADA3A2C1-7C3E-4807-87AD-62C357C28980}\gapaengine.dll
2012-06-26 08:44 . 2012-06-26 08:44	--------	d-----w-	c:\programdata\vsosdk
2012-06-22 05:54 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-22 05:54 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-22 05:54 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-22 05:54 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-22 05:54 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-22 05:54 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-22 05:54 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-22 05:54 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-22 05:54 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-19 15:35 . 2012-06-19 15:35	4967624	----a-w-	c:\program files (x86)\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}\components\SkypeFfComponent.dll
2012-06-17 09:13 . 2012-07-15 01:27	--------	d-----w-	c:\users\Fabien Pochet\AppData\Local\ElevatedDiagnostics
2012-06-16 19:48 . 2012-06-16 19:48	--------	d-----w-	c:\users\Public\CyberLink
2012-06-16 19:48 . 2012-06-16 19:48	--------	d-----w-	c:\users\Fabien Pochet\AppData\Roaming\CyberLink
2012-06-16 19:10 . 2012-06-16 19:10	--------	d-----w-	c:\programdata\dvdfab
2012-06-16 19:05 . 2012-06-17 10:49	--------	d-----w-	c:\users\Fabien Pochet\AppData\Roaming\NVIDIA
2012-06-16 19:05 . 2012-06-16 19:05	--------	d-----w-	c:\program files (x86)\DVDFab 8 Qt
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-15 11:09 . 2012-05-18 22:28	380	----a-w-	c:\users\Fabien Pochet\AppData\Roaming\sp_data.sys
2012-07-12 07:13 . 2012-04-28 16:35	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-12 07:13 . 2012-04-28 16:35	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-06-26 07:02 . 2011-01-29 15:00	330240	----a-w-	c:\windows\MASetupCaller.dll
2012-06-26 07:02 . 2011-01-29 21:16	24576	----a-w-	c:\windows\SysWow64\MASetupCleaner.exe
2012-06-26 07:02 . 2011-01-29 15:00	45320	----a-w-	c:\windows\SysWow64\MAMACExtract.dll
2012-05-18 22:18 . 2011-08-12 23:58	45056	----a-w-	c:\windows\SysWow64\acovcnt.exe
2012-05-18 08:53 . 2012-02-11 11:32	704136	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2012-05-16 16:08 . 2012-05-16 16:08	476960	----a-w-	c:\windows\SysWow64
pdeployJava1.dll
2012-05-16 16:08 . 2011-09-28 18:15	472864	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-05-10 13:10 . 2012-05-10 14:21	24928	----a-w-	c:\windows\system32\dopdfmn7.dll
2012-05-10 13:10 . 2012-05-10 14:21	21344	----a-w-	c:\windows\system32\dopdfmi7.dll
2012-05-08 17:02 . 2012-05-25 06:21	8955792	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine(19).dll
2012-05-04 11:06 . 2012-06-13 14:54	5559664	----a-w-	c:\windows\system32
toskrnl.exe
2012-05-04 10:03 . 2012-06-13 14:54	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-05-04 10:03 . 2012-06-13 14:54	3913072	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-05-01 05:40 . 2012-06-13 14:54	209920	----a-w-	c:\windows\system32\profsvc.dll
2012-04-28 03:55 . 2012-06-13 14:54	210944	----a-w-	c:\windows\system32\driversdpwd.sys
2012-04-26 05:41 . 2012-06-13 14:54	77312	----a-w-	c:\windows\system32dpwsx.dll
2012-04-26 05:41 . 2012-06-13 14:54	149504	----a-w-	c:\windows\system32dpcorekmts.dll
2012-04-26 05:34 . 2012-06-13 14:54	9216	----a-w-	c:\windows\system32drmemptylst.exe
2012-04-24 05:37 . 2012-06-13 14:54	184320	----a-w-	c:\windows\system32\cryptsvc.dll
2012-04-24 05:37 . 2012-06-13 14:54	140288	----a-w-	c:\windows\system32\cryptnet.dll
2012-04-24 05:37 . 2012-06-13 14:54	1462272	----a-w-	c:\windows\system32\crypt32.dll
2012-04-24 04:36 . 2012-06-13 14:54	140288	----a-w-	c:\windows\SysWow64\cryptsvc.dll
2012-04-24 04:36 . 2012-06-13 14:54	1158656	----a-w-	c:\windows\SysWow64\crypt32.dll
2012-04-24 04:36 . 2012-06-13 14:54	103936	----a-w-	c:\windows\SysWow64\cryptnet.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-02-04 14:50	1197448	----a-w-	c:\program files (x86)\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
"KiesTrayAgent"="c:\program files (x86)\Samsung\Kies\KiesTrayAgent.exe" [2012-07-03 3524536]
"KiesPDLR"="c:\program files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2012-07-03 21432]
"KiesPreload"="c:\program files (x86)\Samsung\Kies\Kies.exe" [2012-07-03 975288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Nuance PDF Reader-reminder"="c:\program files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" [2008-11-03 328992]
"ASUSPRP"="c:\program files (x86)\ASUS\APRP\APRP.EXE" [2011-04-13 2018032]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2011-08-12 3058304]
"THX TruStudio NB Settings"="c:\program files (x86)\Creative\THX TruStudio\THXNBSet\THXAudNB.exe" [2011-03-17 909312]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"VAWinAgent"="c:\expressgateutil\VAWinAgent.exe" [2011-04-08 45448]
"UpdateLBPShortCut"="c:\program files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"CLMLServer"="c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"UpdateP2GoShortCut"="c:\program files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"NBAgent"="c:\program files (x86)\Nero\Nero 10\Nero BackItUp\NBAgent.exe" [2010-02-22 1226024]
"beid"="c:\program files (x86)\Belgium Identity Card\beid35gui.exe" [2011-07-06 2068480]
"Gaming Mouse Hid"="c:\program files (x86)\Gaming Mouse\hid.exe" [2010-01-19 428544]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"CPMonitor"="c:\program files (x86)\Roxio\CinePlayer\5.0\CPMonitor.exe" [2011-05-22 84464]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2011-12-22 318080]
"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2011-10-24 174720]
"HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
"ACMON"="c:\program files (x86)\ASUS\Splendid\ACMON.exe" [2012-02-06 102568]
"Wireless Console 3"="c:\program files (x86)\ASUS\Wireless Console 3\wcourier.exe" [2012-02-02 2321072]
"FLxHCIm64"="c:\program files\Fresco Logic\Fresco Logic USB3.0 Host Controller\amd64_host\FLxHCIm.exe" [2012-01-15 48128]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\Fabien Pochet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Intel(R) Turbo Boost Technology Monitor 2.0.lnk - c:\program files\Intel\TurboBoost\SignalIslandUi.exe [2010-11-30 204288]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AsusVibeLauncher.lnk - c:\program files (x86)\ASUS\AsusVibe\AsusVibeLauncher.exe [2011-4-13 548528]
HP Digital Imaging Monitor.lnk - c:\program files (x86)\HP\Digital Imaging\bin\hpqtra08.exe [2009-11-18 275072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 135664]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-12 250056]
R3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe [2011-08-12 79360]
R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2011-08-12 79360]
R3 cxbu0x64;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0x64.sys [2011-09-06 177920]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 135664]
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [2009-06-10 57344]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2012-03-20 98688]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2012-03-26 291696]
R3 RSUSBVSTOR;RtsUVStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUVStor.sys [2010-08-03 290920]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [2009-06-10 56832]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 157672]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 16872]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 177640]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2010-11-20 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 31232]
R3 TurboBoost;Intel(R) Turbo Boost Technology Monitor 2.0;c:\program files\Intel\TurboBoost\TurboBoost.exe [2010-11-29 149504]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-09-28 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2010-03-19 55856]
S1 ATKWMIACPIIO_;ATKWMIACPI Driver_;c:\program files (x86)\ASUS\ATK Package\ATK WMIACPI\atkwmiacpi64.sys [2011-09-07 17536]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-04-04 63928]
S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-02 15416]
S2 AsusUacSvc;Asus process privilege adjust service;c:\program files\Asus\Rotation Desktop for G Series\AsusUacSvc.exe [2010-07-27 113840]
S2 Atheros Bt&Wlan Coex Agent;Atheros Bt&Wlan Coex Agent;c:\program files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [2011-03-13 138400]
S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Bluetooth Suite\adminservice.exe [2011-03-13 74912]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-07-03 655944]
S2 NAUpdate;Nero Update;c:\program files (x86)\Nero\Update\NASvc.exe [2010-02-18 462632]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [2012-03-05 2458944]
S2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [2012-06-19 3048136]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe [2012-03-04 382272]
S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [2010-11-29 16120]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-10-06 2655768]
S2 VideAceWindowsService;VideAceWindowsService;c:\expressgateutil\VAWinService.exe [2011-03-26 91464]
S3 AiCharger;ASUS Charger Driver;c:\windows\system32\DRIVERS\AiCharger.sys [2012-01-30 17152]
S3 AsusgmsFltr;Gaming Mouse;c:\windows\system32\drivers\Asusgms.sys [2010-01-11 11520]
S3 AthBTPort;Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys [2011-03-13 36000]
S3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys [2011-03-13 298656]
S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys [2011-03-13 28832]
S3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys [2011-03-13 201376]
S3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys [2011-03-13 55456]
S3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys [2011-03-13 154272]
S3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys [2011-03-13 280224]
S3 FLxHCIc;Fresco Logic xHCI (USB3) Device Driver;c:\windows\system32\DRIVERS\FLxHCIc.sys [2012-01-10 219648]
S3 FLxHCIh;Fresco Logic xHCI (USB3) Hub Device Driver;c:\windows\system32\DRIVERS\FLxHCIh.sys [2012-01-10 65024]
S3 fspad_win764;Finger Sensing Pad Driver for Windows 2000/XP/Vista/Win7_win764;c:\windows\system32\DRIVERS\fspad_win764.sys [2011-06-19 53760]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-07-03 24904]
S3 MBfilt;MBfilt;c:\windows\system32\drivers\MBfilt64.sys [2009-11-17 32344]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2010-10-19 56344]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda64v.sys [2012-01-17 188224]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-04-21 471144]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 07:13]
.
2012-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 02:33]
.
2012-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 02:33]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2012-01-31 12446824]
"AtherosBtStack"="c:\program files (x86)\Bluetooth Suite\BtvStack.exe" [2011-03-13 617120]
"AthBtTray"="c:\program files (x86)\Bluetooth Suite\AthBtTray.exe" [2011-03-13 379552]
"IntelTBRunOnce"="wscript.exe" [2009-07-14 168960]
"THXCfg64"="c:\windows\system32\THXCfg64.dll" [2010-09-14 25600]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 1271168]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.be/
mStart Page = hxxp://asus.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
Trusted Zone: fgov.be\*.minfin
TCP: DhcpNameServer = 109.88.203.3 212.68.193.196
DPF: {1ABA5FAC-1417-422B-BA82-45C35E2C908B} - hxxp://kitchenplanner.ikea.com/be/Core/Player/2020PlayerAX_IKEA_Win32.cab
FF - ProfilePath - c:\users\Fabien Pochet\AppData\Roaming\Mozilla\Firefox\Profiles\uv5bcbc7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Wow6432Node-HKCU-Run-RESTART_STICKY_NOTES - c:\windows\System32\StikyNot.exe
SafeBoot-MsMpSvc
Toolbar-Locked - (no file)
HKLM-Run-fspuip - c:\program files (x86)\FSP\fspuip.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
c:\program files (x86)\ASUS\USBChargerPlus\USBChargerPlus.exe
c:\program files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe
c:\program files (x86)\ASUS\AI Recovery\AIRecoveryRemind.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
.
**************************************************************************
.
Heure de fin: 2012-07-15  13:35:07 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-07-15 11:35
.
Avant-CF: 62 480 568 320 octets libres
Après-CF: 64 004 591 616 octets libres
.
- - End Of File - - CCF8572BE92D69D3F3E99712029A4F17

Utilisateur anonyme · Answer

Oui réinstalle-le.

thesoundquest · Answer

voilà qui est fait.  Le pare-feu et MSE ont l'air d'être opérationnels.

dois-je effectuer d'autres manips ?

thesoundquest · Answer

j'ai effectué un scan avec Roguekiller et voici le rapport : RogueKiller V7.6.3 [08/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Fabien Pochet [Droits d'admin] Mode: Recherche -- Date: 15/07/2012 14:28:51 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST95005620AS +++++ --- User --- [MBR] c031903ef0e94caca6428ba2553ec33d [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7 MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 190776 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 443140096 | Size: 260562 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST95005620AS +++++ --- User --- [MBR] cdf0b1ea425a593d0c5b85111dc0ee27 [BSP] e6c2cebec9d5914c6fe029aa4b621d92 : Windows Vista/7 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238460 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488368128 | Size: 238479 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt QU'est le "porcessus malicieux" ? un virus ? si oui, comment le supprimer ?

Utilisateur anonyme · Answer

Oui, on va diagnostiquer. 

Non c'est rien le processus. 

Tu as demandé une inscription sur Web-Tranquille ? 

~~  

&#9654 Télécharge l'outil de diagnostique ZHPDiag (de Nicolas Coolman).

&#9654 Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

&#9654 Clique sur l'icône en forme de loupe en haut à gauche pour lancer le diagnostique.

&#9654 Héberge le rapport ZHPDiag.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Donne-moi le lien en résultant.

&#9654 Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

thesoundquest · Answer

pour web tranquille : oui. En panique, j'ai posté mon poblème sur 3 forums.
désolé, ne connaissant pas grand-chose, je n'étais pas sûr de recevoir une réponse...

je lance le ZHPDiag et link dès que dispo.  à tout de suite ; )

thesoundquest · Answer

Voici le lien vers le rapport ZHPDiag.txt  

http://cjoint.com/?BGpoUZgeHvy 

MSE m'envoie toutes les 15 minutes des messages d'attaque de virus.  Tous du meme genre : sirefef.b, sirefef.AA, sirefef, sirefef.AB, sirefef.W, Sirefef.AB, Sirefef.P, Reveton.A, Reveton.C 

Il les met dans l'historique "en quarantaine".  Dois-je les supprimer ?

Utilisateur anonyme · Answer

Supprimer quoi ?

~~

&#9654 Lance de ton bureau l'outil de scripting ZHPFix (de Nicolas Coolman), (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

&#9654 Copie-colle le texte ci-dessous (en gras) :

[MD5.CC25EBDC97E53263E5476A5C02ED4E90] [SPRF][15/07/2012] (...) -- C:\Users\Fabien Pochet\AppData\Roaming\sp_data.sys   [380]
O44 - LFC:[MD5.7DB79321AC4C58E3BD1811561A7584B9] - 17/12/2011 - 14:18:13 ----- . (...) -- C:\Windows\hpoins46.dat.temp   [218048]
O44 - LFC:[MD5.0832F4F267C8D0ADA991CF2C8976A831] - 30/01/2010 - 14:21:20 ----- . (...) -- C:\Windows\hpomdl46.dat.temp   [532]

&#9654 Clique sur Nettoyer / GO, et héberge le rapport ZHPFix.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Si le site ne fonctionne pas, consulte cette page :

Autres hébergeurs en ligne

~~

&#9654 En cas de problème, n'hésite pas à consulter le tutoriel Malwarebytes Anti-Malware.

Il se peut que le scan soit long, mais il faut le laisser se terminer.

&#9654 Télécharge Malwarebytes' Anti-Malware sur ton bureau.

&#9654 Lance l'installation, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

&#9654 Une fois l'installation terminée, le programme se lance et se met à jour. Dans l'onglet Mise à jour, clique sur le bouton "Recherche de mise à jour" au cas où cela n'aurait pas été le cas.

&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
&#9654 Sélectionne Exécuter un examen complet.
&#9654 Sélectionne Tous les disques.
&#9654 Clique sur Rechercher.

&#9654 Si des menaces ont été détectées, clique sur Afficher les résultats.
&#9654 Sélectionne toutes les menaces et clique sur Supprimer la sélection, l'ordinateur peut demander le redémarrage, si tel est le cas accepte.

&#9654 Une fois redémarré, ouvre Malwarebytes et rends-toi dans l'onglet Rapport.
&#9654 Ouvre le dernier en date, et copie-colle le sur le forum.

~~

&#9654 Télécharge et lance Cleaning Fighter.

&#9654 Clique sur Recherche / Scan, puis laisse faire le scan.

&#9654 Utilise ensuite https://www.cjoint.com/ pour héberger le rapport puis donne-moi le lien en résultant.

&#9654 Aide : http://www.security-helpzone.com/Thread-Heberger-vos-documents-gratuitement

thesoundquest · Answer

voici le ZHPFix.txt

http://cjoint.com/?BGpqBvE64a6

Utilisateur anonyme · Answer

Cool.

thesoundquest · Answer

Mlawerabytes a trouvé une menace.  supprimé et redémarré.

rapport de scan : 



Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 403430
Temps écoulé: 25 minute(s), 53 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Fabien Pochet\Desktop\RK_Quarantine\fest0r_ot.exe.vir (Trojan.Agent.3D) -> Mis en quarantaine et supprimé avec succès.

(fin)

thesoundquest · Answer

et le rapport de cleaning fighter : 

http://cjoint.com/?BGprgyJ2Fnx

Utilisateur anonyme · Answer

&#9654 Enregistre et ferme tous tes programmes en cours, le logiciel devra couper tous les processus.

&#9654 Relance Cleaning Fighter.

&#9654 Clique sur Suppression / Clean, puis laisse faire le scan.

&#9654 Utilise ensuite https://www.cjoint.com/ pour héberger le rapport puis donne-moi le lien en résultant.

&#9654 Aide : http://www.security-helpzone.com/Thread-Heberger-vos-documents-gratuitement

thesoundquest · Answer

lorsque j'ai lancé la suppression avec cleaning fighter, j'ai eu un message à peu près à la moitié du processus qui me disait "cleaning fighter a cessé de fonctionné, windows va fermer l'application"

J'ai eu droit à un freeze de mon bureau, mais sans aucune icône ni possibilité d'accéder à quoi que ce soit.  J'ai rebooté ma machine et ai trouvé un rapport de suppression :

http://cjoint.com/?BGprVu8kDBe

je relance donc une nouvelle fois les processus de suppression avec cleaning fighter.  Je posterai le nouveau rapport.

Utilisateur anonyme · Answer

Le bureau c'est normal, et même si ça freeze laisse-le continuer !

~~ 

Pour ton bureau, Ctrl+Alt+Suppr, Nouvelle tache puis : explorer

thesoundquest · Answer

Ca me refait pareil :

CLEANING Fighter.exe a cessé de fonctionner.  Windows va fermer ce programme et vous indiquer si une solution est disponible.


chaque fois au même moment :

70% - C:\Windows\SysWOW64\browserchoice.exe

Utilisateur anonyme · Answer

Windows ne me laisse pas y toucher...

thesoundquest · Answer

argh...  un défi ?

Utilisateur anonyme · Answer

Non lol, il est casse nouille...

thesoundquest · Answer

avec rogue killer et mse je ne vois plus de probleme. Est-il encore là ou risque t'il de réapparaitre ?  y'a t'il une solution ?

ZeroAcces vs RogueKiller / malwarebyte - Page 2

Discussions similaires

Newsletters