Trojan.Win32.Generic!BT Résolu/Fermé

Question

Bonjour, 

Je me présente. Je suis Presley62. Je viens souvent sur ce site en tant que spectateur, je suis souvent interpellé par l'entraide qu'il existe. D'ailleurs, la plupart du temps, j'ai trouvé réponses à mes questions en naviguant sur les forums...

Mais là, je suis un peu dans l'impasse. J'ai besoin des compétences de la communauté!

J'ai un PC fixe assez récent qui galère un peu :
- ouverture d'onglet firefox intempestive
- script qui ne peut pas continuer

Ma config système est la suivante : windows 7 pro 64bits

J'ai fait un Spybot et un Ad-Aware. Ils ont bien sûr trouvé tout un tas de trucs qu'ils ont virés, mais mon souci vient d'un Trojan que Ad-Aware met en quarantaine sans pouvoir le virer.
C'est Trojan.Win32.Generic!BT sur les fichiers Desktop.ini
C:\windows\assembly\GAC_32\Desktop.ini

Il le trouve très régulièrement et m'alerte dessus.
Ad-Aware a également mis en quarantaire :
- Trojan-Dropper.Win32.Resdro.b (v)
- Trojan.Win32.Generic.pak!cobra

En naviguant un peu sur les forums, j'ai entendu parler de Combofix. Je l'ai donc installé mais il ne se lance pas...
Je trouve ça bizarre tout de même...

Quelqu'un a une idée.?

Par avance, je vous remercie.

Configuration: Windows 7 / Firefox 12.0

moment de grace · Answer

bonjour

renommes combofix presley.exe et tentes le

g3n-h@ckm@n · Answer

salut oui c'est normal c'est l infection qui l 'empeche de se lancer :D

change le nom de combofix en nimportequoi et il se lancera

mais desinstalle adware et spybot avant ils servent à rien à part virer des coookies

moment de grace · Answer

arf

t'as toujours la main rapide !!!!!

presley62 · Answer

Bonjour à vous deux!

Cool pour la rapidité de la réponse. Et la qualité !!

J'ai longuement hésité à renommer le fichier en presley.exe ou en nimportequoi.exe

Je me suis décidé et ça a marché !!

Du coup, ça a supprimé et désinfecté des choses...

Je poste le rapport en bas du message pour que quelqu'un puisse jeter un oeil et me dire si mon PC est redevenu clean.
A moins qu'il faille que je lance un second nettoyeur??

J'attends votre analyse et vos conseils avec impatience !!

Merci encore




ComboFix 12-07-16.01 - ANAIS&LAURENT 17/07/2012  22:14:43.1.4 - x64
Microsoft Windows 7 Professionnel   6.1.7600.0.1252.33.1036.18.3959.2836 [GMT 2:00]
Lancé depuis: d:\users\Anais&Laurent\Bureau\presley.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\@
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\L\00000004.@
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\L\1afb2d56
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\L\201d3dde
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\L\55490ac4
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\U\00000004.@
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\U\00000008.@
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\U\000000cb.@
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\U\80000000.@
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\U\80000032.@
c:\windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\U\80000064.@
c:\windows\SysWow64\CCXPButton.ocx
.
Une copie infectée de c:\windows\system32\services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe 
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-06-17 au 2012-07-17  ))))))))))))))))))))))))))))))))))))
.
.
2012-07-17 20:26 . 2012-07-17 20:26	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-07-17 20:04 . 2012-07-17 20:04	--------	d-----w-	c:\programdata\GFI Software
2012-07-16 10:57 . 2012-07-16 10:57	--------	d-----w-	c:\users\ANAIS&LAURENT\AppData\Local\adaware
2012-07-16 10:56 . 2012-07-17 20:27	--------	d-----w-	c:\programdata\Ad-Aware Browsing Protection
2012-07-16 10:56 . 2012-07-16 10:56	--------	d-----w-	c:\program files (x86)\adawaretb
2012-07-10 20:48 . 2012-06-12 03:02	3147264	----a-w-	c:\windows\system32\win32k.sys
2012-07-10 18:41 . 2012-06-06 05:50	2003968	----a-w-	c:\windows\system32\msxml6.dll
2012-06-22 18:59 . 2012-06-22 18:59	--------	d-----w-	c:\users\ANAIS&LAURENT\AppData\Local\Macromedia
2012-06-22 10:30 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-22 10:30 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-22 10:30 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-22 10:30 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-22 10:30 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-22 10:30 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-22 10:30 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-22 10:29 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-22 10:29 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-21 16:37 . 2012-06-21 16:37	--------	d-----w-	c:\program files (x86)\JPEG-EXIF_autorotate
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-16 11:40 . 2012-05-18 19:13	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-16 11:40 . 2011-05-16 18:19	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-06-15 10:49 . 2012-06-15 10:49	61440	----a-r-	c:\users\ANAIS&LAURENT\AppData\Roaming\Microsoft\Installer\{AC7190A0-EEA1-423C-A531-FCEB4E0EBBB1}\DWGEditorEnNo1_C1A7EF455E1B4799AB173C52D9FB3A0E.exe
2012-06-15 10:49 . 2012-06-15 10:49	61440	----a-r-	c:\users\ANAIS&LAURENT\AppData\Roaming\Microsoft\Installer\{AC7190A0-EEA1-423C-A531-FCEB4E0EBBB1}\DWGEditorEnNo_D0220928AF1811D3AEA400C04F79FCDD.exe
2012-06-15 10:49 . 2012-06-15 10:49	61440	----a-r-	c:\users\ANAIS&LAURENT\AppData\Roaming\Microsoft\Installer\{AC7190A0-EEA1-423C-A531-FCEB4E0EBBB1}\DWGEditor1_C1A7EF455E1B4799AB173C52D9FB3A0E.exe
2012-06-15 10:49 . 2012-06-15 10:49	61440	----a-r-	c:\users\ANAIS&LAURENT\AppData\Roaming\Microsoft\Installer\{AC7190A0-EEA1-423C-A531-FCEB4E0EBBB1}\DWGEditor_D0220928AF1811D3AEA400C04F79FCDD.exe
2012-06-15 10:49 . 2012-06-15 10:49	61440	----a-r-	c:\users\ANAIS&LAURENT\AppData\Roaming\Microsoft\Installer\{AC7190A0-EEA1-423C-A531-FCEB4E0EBBB1}\ARPPRODUCTICON.exe
2012-06-15 07:02 . 2010-09-29 07:50	560184	----a-w-	c:\windows\system32\drivers\sptd.sys
2012-05-18 18:21 . 2012-05-18 18:21	86528	----a-w-	c:\windows\SysWow64\iesysprep.dll
2012-05-18 18:21 . 2012-05-18 18:21	76800	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2012-05-18 18:21 . 2012-05-18 18:21	74752	----a-w-	c:\windows\SysWow64\RegisterIEPKEYs.exe
2012-05-18 18:21 . 2012-05-18 18:21	63488	----a-w-	c:\windows\SysWow64	dc.ocx
2012-05-18 18:21 . 2012-05-18 18:21	48640	----a-w-	c:\windows\SysWow64\mshtmler.dll
2012-05-18 18:21 . 2012-05-18 18:21	367104	----a-w-	c:\windows\SysWow64\html.iec
2012-05-18 18:21 . 2012-05-18 18:21	161792	----a-w-	c:\windows\SysWow64\msls31.dll
2012-05-18 18:21 . 2012-05-18 18:21	110592	----a-w-	c:\windows\SysWow64\IEAdvpack.dll
2012-05-18 18:21 . 2012-05-18 18:21	74752	----a-w-	c:\windows\SysWow64\iesetup.dll
2012-05-18 18:21 . 2012-05-18 18:21	23552	----a-w-	c:\windows\SysWow64\licmgr10.dll
2012-05-18 18:21 . 2012-05-18 18:21	89088	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2012-05-18 18:21 . 2012-05-18 18:21	420864	----a-w-	c:\windows\SysWow64\vbscript.dll
2012-05-18 18:21 . 2012-05-18 18:21	35840	----a-w-	c:\windows\SysWow64\imgutil.dll
2012-05-18 18:21 . 2012-05-18 18:21	222208	----a-w-	c:\windows\system32\msls31.dll
2012-05-18 18:21 . 2012-05-18 18:21	152064	----a-w-	c:\windows\SysWow64\wextract.exe
2012-05-18 18:21 . 2012-05-18 18:21	150528	----a-w-	c:\windows\SysWow64\iexpress.exe
2012-05-18 18:21 . 2012-05-18 18:21	11776	----a-w-	c:\windows\SysWow64\mshta.exe
2012-05-18 18:21 . 2012-05-18 18:21	101888	----a-w-	c:\windows\SysWow64\admparse.dll
2012-05-18 18:20 . 2012-05-18 18:20	91648	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2012-05-18 18:20 . 2012-05-18 18:20	85504	----a-w-	c:\windows\system32\iesetup.dll
2012-05-18 18:20 . 2012-05-18 18:20	76800	----a-w-	c:\windows\system32	dc.ocx
2012-05-18 18:20 . 2012-05-18 18:20	603648	----a-w-	c:\windows\system32\vbscript.dll
2012-05-18 18:20 . 2012-05-18 18:20	49664	----a-w-	c:\windows\system32\imgutil.dll
2012-05-18 18:20 . 2012-05-18 18:20	48640	----a-w-	c:\windows\system32\mshtmler.dll
2012-05-18 18:20 . 2012-05-18 18:20	448512	----a-w-	c:\windows\system32\html.iec
2012-05-18 18:20 . 2012-05-18 18:20	30720	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-18 18:20 . 2012-05-18 18:20	165888	----a-w-	c:\windows\system32\iexpress.exe
2012-05-18 18:20 . 2012-05-18 18:20	160256	----a-w-	c:\windows\system32\wextract.exe
2012-05-18 18:20 . 2012-05-18 18:20	135168	----a-w-	c:\windows\system32\IEAdvpack.dll
2012-05-18 18:20 . 2012-05-18 18:20	12288	----a-w-	c:\windows\system32\mshta.exe
2012-05-18 18:20 . 2012-05-18 18:20	114176	----a-w-	c:\windows\system32\admparse.dll
2012-05-18 18:20 . 2012-05-18 18:20	111616	----a-w-	c:\windows\system32\iesysprep.dll
2012-05-13 16:37 . 2011-03-28 16:36	19352	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-05-08 17:02 . 2012-05-18 19:12	8955792	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{C9BA9878-EC38-49D3-999D-0B3CA5345212}\mpengine.dll
2012-05-04 10:52 . 2012-06-14 12:23	5505392	----a-w-	c:\windows\system32
toskrnl.exe
2012-05-04 10:08 . 2012-06-14 12:23	3958128	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-05-04 10:08 . 2012-06-14 12:23	3902320	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-04-28 03:50 . 2012-06-14 12:23	204800	----a-w-	c:\windows\system32\driversdpwd.sys
2012-04-26 05:34 . 2012-06-14 12:23	76288	----a-w-	c:\windows\system32dpwsx.dll
2012-04-26 05:34 . 2012-06-14 12:23	149504	----a-w-	c:\windows\system32dpcorekmts.dll
2012-04-26 05:28 . 2012-06-14 12:23	9216	----a-w-	c:\windows\system32drmemptylst.exe
2006-05-03 09:06	163328	--sh--r-	c:\windows\SysWOW64\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\SysWOW64\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\SysWOW64
bDX.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2010-11-20 . FE70103391A64039A921DBFFF9C7AB1B . 1008128 . . [6.1.7601.17514] .. c:\windows\SoftwareDistribution\Download\433767575943dacb697ee0558fc08c06\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll
[7] 2009-07-14 . 72D7B3EA16946E8F0CF7458150031CC6 . 1008640 . . [6.1.7600.16385] .. c:\windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_292d5de8870d85d9\user32.dll
[-] 2010-07-24 . 2C353B6CE0C8D03225CAA2AF33B68D79 . 1008640 . . [6.1.7600.16385] .. c:\windows\system32\user32.dll
.
[7] 2010-11-20 . 5E0DB2D8B2750543CD2EBB9EA8E6CDD3 . 833024 . . [6.1.7601.17514] .. c:\windows\SoftwareDistribution\Download\433767575943dacb697ee0558fc08c06\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll
[-] 2010-07-24 . 861C4346F9281DC0380DE72C8D55D6BE . 833024 . . [6.1.7600.16385] .. c:\windows\SysWOW64\user32.dll
[7] 2009-07-14 . E8B0FFC209E504CB7E79FC24E6C085F0 . 833024 . . [6.1.7600.16385] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
2012-04-11 20:08	87440	----a-w-	c:\program files (x86)\adawaretb\adawareDx.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{6c97a91e-4524-4019-86af-2aa2d567bf5c}"= "c:\program files (x86)\adawaretb\adawareDx.dll" [2012-04-11 87440]
.
[HKEY_CLASSES_ROOT\clsid\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-04-11 3672384]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"TrayServer"="c:\program files (x86)\MAGIX\Video_deluxe_16_Plus_Version à télécharger\TrayServer.exe" [2008-09-01 90112]
"BrMfcWnd"="c:\program files (x86)\Brother\Brmfcmon\BrMfcWnd.exe" [2009-05-26 1159168]
"ControlCenter3"="c:\program files (x86)\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"autoclk"="autoclk.exe" [2003-01-30 143360]
"adiras"="adiras.exe" [2005-05-03 143360]
"BrStsMon00"="c:\program files (x86)\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5.5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]
"Ad-Aware Browsing Protection"="c:\programdata\Ad-Aware Browsing Protection\adawarebp.exe" [2011-10-21 198032]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"adawarebp"="reg.exe delete HKCU\Software\AppDataLow\Software\adawarebp" [X]
"adawarebp_XP"="reg.exe delete HKCU\Software\adawarebp" [X]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Utilitaire de configuration sans fil.lnk - c:\program files\TRENDnet\TEW-424UB\WlanCU.exe [2010-8-14 499712]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux4"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0SBBD.exe /d \Device\HarddiskVolume2\Program Files (x86)\Ad-Aware Antivirus\Definitions
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@=""
.
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREdrv.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-02-29 158856]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-16 250056]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files (x86)\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-05-08 129976]
R3 netr7364;Belkin Wireless 54G USB Network Adapter Driver for Vista;c:\windows\system32\DRIVERS
etr7364.sys [2010-07-30 575488]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RTL8187B;Carte réseau USB 2.0 Realtek RTL8187B sans fil 802.11b/g 54 Mbits/s;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-06-10 416768]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-07-24 1255736]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2009-07-09 55280]
S0 sptd;sptd;c:\windows\SystemRoot\System32\Drivers\sptd.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-07-07 203264]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-08-27 1253376]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-09 2320920]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-07-07 7195648]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-07-07 265728]
S3 BrYNSvc;BrYNSvc;c:\program files (x86)\Browny02\BrYNSvc.exe [2010-01-25 245760]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-11-27 295424]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-18 11:40]
.
2012-07-17 c:\windows\Tasks\SyncBack Sauvegarde Partage.job
- c:\program files (x86)\2BrightSparks\SyncBack\SyncBack.exe [2011-09-11 16:45]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-12-25 9650720]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-30 499608]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://safesearchr.lavasoft.com/?source=3336ca5f&tbp=homepage&toolbarid=adawaretb&v=1_0&u=07FBE2278C26EE791857694FDB143FAA
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\program files\MICROS~1\Office14\EXCEL.EXE/3000
TCP: Interfaces\{DE2C2CAF-4927-474F-9054-FD885C9FE281}: NameServer = 208.67.222.222,208.67.220.220
FF - ProfilePath - c:\users\ANAIS&LAURENT\AppData\Roaming\Mozilla\Firefox\Profiles\4afw5ggq.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=111304&tt=290412_4_bst&babsrc=KW_ss&mntrId=8009dbad00000000000040618692fa2b&q=
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=18173
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - def
FF - user.js: extensions.BabylonToolbar_i.id - 8009dbad00000000000040618692fa2b
FF - user.js: extensions.BabylonToolbar_i.hardId - 8009dbad00000000000040618692fa2b
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15381
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:20
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babclient
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - std
user_pref(foxlingo.fulllogo,false);
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Wow6432Node-HKCU-Run-Nero PhotoShow Media Manager - d:\photos~1\data\Xtras\mssysmgr.exe
Wow6432Node-HKLM-Run-F5D7050v3 - c:\program files (x86)\Belkin\F5D7050v3\Belkinwcui.exe
HKLM-Run-SBRegRebootCleaner - c:\program files (x86)\Ad-Aware Antivirus\SBRC.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:12,71,1c,92,73,69,53,1a,2b,6d,a1,99,16,75,fc,31,00,81,0f,f4,fd,
   48,82,f0,f5,1b,4e,ea,7b,38,80,77,86,e3,b7,b2,53,a7,08,a7,69,30,26,0f,33,1c,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:12,71,1c,92,73,69,53,1a,2b,6d,a1,99,16,75,fc,31,00,81,0f,f4,fd,
   48,82,f0,f5,1b,4e,ea,7b,38,80,77,86,e3,b7,b2,53,a7,08,a7,69,30,26,0f,33,1c,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\autoclk.exe
c:\windows\adiras.exe
c:\program files (x86)\Brother\ControlCenter3\brccMCtl.exe
c:\program files (x86)\Brother\Brmfcmon\BrMfimon.exe
.
**************************************************************************
.
Heure de fin: 2012-07-17  22:31:53 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-07-17 20:31
.
Avant-CF: 202 781 614 080 octets libres
Après-CF: 202 258 305 024 octets libres
.
- - End Of File - - 1F29C907D87CB549482E31B5E9D13C94

moment de grace · Answer

ok

1)

desinstalles spybot inutile et freine le pc

............

2)


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

Lance le, clique sur SUPPRESSION puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleane.txt 

.....................

3)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

c:\users\ANAIS&LAURENT\AppData\Roaming\Microsoft\Installer\{AC7190A0-EEA1-423C-A531-FCEB4E0EBBB1}\DWGEditorEnNo1_C1A7EF455E1B4799AB173C52D9FB3A0E.exe    => 
c:\users\ANAIS&LAURENT\AppData\Roaming\Microsoft\Installer\{AC7190A0-EEA1-423C-A531-FCEB4E0EBBB1}\ARPPRODUCTICON.exe


Clique sur choose File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

presley62 · Answer

Hello.

Merci encore pour la réponse.

Pour le point 2, voici le rapport (en bas du message)

Je passe au point 3 tout de suite :

# AdwCleaner v1.702 - Rapport créé le 17/07/2012 à 23:32:27
# Mis à jour le 13/07/2012 par Xplode
# Système d'exploitation : Windows 7 Professional  (64 bits)
# Nom d'utilisateur : ANAIS&LAURENT - ANAISLAURENT
# Exécuté depuis : D:\Users\Anais&Laurent\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\ANAIS&LAURENT\AppData\Roaming\pdfforge
Dossier Supprimé : C:\Users\ANAIS&LAURENT\AppData\Roaming\Mozilla\Firefox\Profiles\4afw5ggq.default\extensions\{33E0DAA6-3AF3-D8B5-6752-10E949C61516}
Dossier Supprimé : C:\Users\ANAIS&LAURENT\AppData\Roaming\Mozilla\Firefox\Profiles\4afw5ggq.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
Fichier Supprimé : C:\Users\ANAIS&LAURENT\AppData\Roaming\Mozilla\Firefox\Profiles\4afw5ggq.default\extensions\adapter@babylontc.com.xpi
Fichier Supprimé : C:\Users\ANAIS&LAURENT\AppData\Roaming\Mozilla\Firefox\Profiles\4afw5ggq.default\extensions\ocr@babylon.com.xpi
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\DT Soft
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Software

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7555B87D-D711-48B2-B97D-04DF700652BA}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\ANAIS&LAURENT\AppData\Roaming\Mozilla\Firefox\Profiles\4afw5ggq.default\prefs.js

C:\Users\ANAIS&LAURENT\AppData\Roaming\Mozilla\Firefox\Profiles\4afw5ggq.default\user.js ... Supprimé !

Supprimée : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Supprimée : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Supprimée : user_pref("browser.search.order.1", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar.babTrack", "affID=108988");
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 19);
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Supprimée : user_pref("extensions.BabylonToolbar.hmpg", true);
Supprimée : user_pref("extensions.BabylonToolbar.id", "8009dbad00000000000040618692fa2b");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15327");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://search.babylon.com/?AF=108988&babsrc=adbar[...]
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 19);
Supprimée : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1720:04:25");
Supprimée : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "7.0");
Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Supprimée : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 62889821);
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Supprimée : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1720:04:25");
Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babclient");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=18173");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "8009dbad00000000000040618692fa2b");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "8009dbad00000000000040618692fa2b");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15381");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "std");
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", false);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?AF=18173&babsrc=NT_de[...]
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "def");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1721:20:06");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Supprimée : user_pref("extensions.enabledAddons", "adapter@babylontc.com:1.0.0.1,DivXWebPlayer@divx.com:2.0.2.03[...]
Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?affID=111304&tt=290412_4_bst&babsrc=KW_ss&mntrI[...]

*************************

AdwCleaner[S1].txt - [6650 octets] - [17/07/2012 23:32:27]

########## EOF - C:\AdwCleaner[S1].txt - [6778 octets] ##########

presley62 · Answer

re.

pour la partie virus total, j'ai analysé les 2 fichiers.

Le premier n'a pas réussi du premier coup... donc j'ai relancé :

https://www.virustotal.com/gui/file/57af68ca34699ea213903230cf63fc59f347defca8da7156776f854451e2abea

Pour le second, il avait déjà été analysé en 2009!!  J'ai quand même redemandé une analyse.

https://www.virustotal.com/gui/file/d4210c15443b45c5da55b395aff1cb562e41a268aaff79cb30f2c846cd711807

Je suis à l'écoute de vos prochaines instructions!!

Et au fait, j'ai désinstallé SpyBot. Quel logiciel me conseillez-vous pour faire un nettoyage de temps en temps ??

moment de grace · Answer

Quel logiciel me conseillez-vous pour faire un nettoyage de temps en temps ??

lui...

1)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

.....................

2)

et pour vérifier le reste du pc

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/ 

Clique sur "Parcourir "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

presley62 · Answer

merci pour la réponse.

j'ai lancé Malware... du coup, y'a près de 500Go à analyser...

Je vais laisser l'analyse tourner et je lancerais zhpdiag demain matin.

Je répondrais avec le détail demain matin... car là, c'est dodo!!

Merci. bonne nuit. à bientôt.

moment de grace · Answer

ca me va..

@+

presley62 · Answer

rapport malwarebytes... il a encore trouvé 3 trucs :

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.17.14

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
ANAIS&LAURENT :: ANAISLAURENT [administrateur]

18/07/2012 00:02:33
mbam-log-2012-07-18 (00-02-33).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 457258
Temps écoulé: 41 minute(s), 49 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Qoobox\Quarantine\C\Windows\Installer\{3f7f52fc-336e-1f3e-769f-973677893c65}\U\00000008.@.vir (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\System32\services.exe.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
D:\Users\Anais&Laurent\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.

(fin)

moment de grace · Answer

la quarantaine de combofix et 01net.exe 

ne vas plus sur ce site de ...!!!!

zhp est rapide

presley62 · Answer

Bien noté pour 01net
J'avais remarqué que pour télécharger des logiciels, il y avait une passerelle publicitaire...

Sinon, tant qu'à être réveillé et réactif, voici le rapport ZHP : 

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120718_7y611m10q14

Bon cette fois, je m'en vais dormir.
A bientôt et merci pour tout!

moment de grace · Answer

hummm

ca semble une version maison de windows !!!

................

1)
Copie  tout le texte présent en gras ci-dessous (tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

 

SysRestore 
EMPTYTEMP
EMPTYFLASH
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
[HKLM\Software\WOW6432Node\Classes\CLSID\{E49F0B41-3322-11D4-AEFE-00C04F61025C}]  
O43 - CFD: 13/02/2012 - 22:30:01 - [0] ----D C:\Program Files (x86)\Software    => Toolbar.Agent
O43 - CFD: 13/02/2012 - 22:30:01 - [0] ----D C:\ProgramData\Software    => Toolbar.Agent
O43 - CFD: 11/02/2012 - 22:19:57 - [0] ----D C:\Users\ANAIS&LAURENT\AppData\Local\Software    => Toolbar.Agent
O43 - CFD: 13/02/2012 - 22:30:01 - [0] ----D C:\Program Files (x86)\Software
   

Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven) 

* Une fois l'outil ZHPFix ouvert , 

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- Copie/colle la totalité du rapport dans ta prochaine réponse 



le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport  

.....................

2)

desinstalles ca
Ad-Aware Browsing Protection

...............

3)

Redemarre le pc et dis moi si tu as encore des soucis

presley62 · Answer

Bien vu en effet, c'est une version maison non activée de Windows 7...

J'ai désinstallé Ad-Aware toolbar et Ad-Aware Browsing.

Voici le rapport de ZHP. Il était sous un autre chemin mais c'était noté en bas de la page...

Sinon, le PC semble aller mieux. Déjà, il bloque plus les fenêtres, il y en a plus qui s'ouvre de manière intempestive...
A priori tout va mieux.

Faut-il que je désinstalle Combofix? Les autres logiciels par lesquels je suis passé?

Merci beaucoup.

Presley62

PS : je pars bosser donc je répondrais ce midi peut être

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by ANAIS&LAURENT at 18/07/2012 08:12:06
Windows 7 Business Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{E49F0B41-3322-11D4-AEFE-00C04F61025C}

========== Valeur(s) du Registre ==========
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:
SUPPRIME Folder: C:\Program Files (x86)\Software
SUPPRIME Folder: C:\ProgramData\Software
SUPPRIME Folder: C:\Users\ANAIS&LAURENT\AppData\Local\Software
ABSENT C:\Program Files (x86)\Software

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre
6 : Dossier(s)
2 : Fichier(s)
1 : Restauration Système


End of clean in 00mn 13s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 18/07/2012 08:12:06 [1257]

moment de grace · Answer

ok

pour terminer on fait le ménage 

tout est ecrit là :
https://gen-hackman.kanak.fr/

(merci à mon ami g3n-h@ckm@n)

presley62 · Answer

Hello,

Ca y est, je suis arrivé au bout de la liste...

J'ai juste zappé : 
- la partie MAJ windows, pour les raisons déjà évoquées
- le pare feu (j'ai peur que ça ralentisse mon pc)
- l'antivirus (idem, j'ai pas envie de ralentir mon pc)


Sinon, vraiment complet ce post
et votre aide en général

Concernant ce qui était demandé de poster (en bas du message)

Vous croyez qu'il est guéri, le petit??

En tout cas, il galope mieux!

Merci beaucoup.



Purera : Total space cleaned: 1943.43 MB


Delfix : rapport (le scan a été quasi instantané, normal ??)

# DelFix v8.8 - Rapport créé le 18/07/2012 à 13:27:13
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Professional  (64 bits)
# Nom d'utilisateur : ANAIS&LAURENT - ANAISLAURENT (Administrateur)
# Exécuté depuis : D:\Users\Anais&Laurent\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : D:\Users\Anais&Laurent\Bureau\presley.exe <-- Combofix
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\JavaRa.log
Supprimé : D:\Users\Anais&Laurent\Bureau\adwcleaner.exe
Supprimé : D:\Users\Anais&Laurent\Bureau\ZHPDiag.txt
Supprimé : D:\Users\Anais&Laurent\Bureau\ZHPDiag2.exe
Supprimé : D:\Users\Anais&Laurent\Bureau\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1698 octets] - [18/07/2012 13:27:13]

moment de grace · Answer

hello

- la partie MAJ windows, pour les raisons déjà évoquées
- le pare feu (j'ai peur que ça ralentisse mon pc)
- l'antivirus (idem, j'ai pas envie de ralentir mon pc)

il ne sera jamais vraiment guéri et nous sommes appelés à nous "revoir"

pour ce soir c'est résolu mais pense à une autre approche si tu veux être tranquille

@+

presley62 · Answer

Salut,

Je pense déjà à une autre approche car je me pose la question de la nécessité d'avoir une version 64Bits et pourquoi ne pas repasser à XP...

Mais bon, c'est un autre sujet sur lequel je devrais trouver des réponses à mes questions sur CCM.

En tout cas, merci pour tout! C'est super d'avoir eu de l'aide comme ça!

A +

moment de grace · Answer

ne réfléchis pas trop, tu vas revenir au minitel sinon...

sourire

@+

Trojan.Win32.Generic!BT

20 réponses

Discussions similaires