Infection

RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date: 25/07/2012 18:51:25

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] UnsignedThemesSvc.exe -- C:\Windows\UnsignedThemesSvc.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 11 ¤¤¤
[HJ NAME] HKCU\[...]\Run : Client Server Runtime Process (C:\Users\Administrateur\AppData\Roaming\System32\csrss.exe) -> DELETED
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{CAE05BDA-4086-4F4E-9E9F-F4EF1DAE8137} : NameServer (213.154.64.13 213.154.95.126) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{CAE05BDA-4086-4F4E-9E9F-F4EF1DAE8137} : NameServer (213.154.64.13 213.154.95.126) -> NOT REMOVED, USE DNSFIX
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> REPLACED (1)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : c:\windows\installer\{472deb20-a7fc-5dee-9102-654f5d53541c}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{472deb20-a7fc-5dee-9102-654f5d53541c}\L --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\administrateur\appdata\local\{472deb20-a7fc-5dee-9102-654f5d53541c}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\administrateur\appdata\local\{472deb20-a7fc-5dee-9102-654f5d53541c}\L --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x832A847A -> HOOKED (Unknown @ 0x8C93B41E)
SSDT[299] : NtRequestWaitReplyPort @ 0x8327009C -> HOOKED (Unknown @ 0x8C93B428)
SSDT[316] : NtSetContextThread @ 0x83328473 -> HOOKED (Unknown @ 0x8C93B423)
SSDT[347] : NtSetSecurityObject @ 0x8329E795 -> HOOKED (Unknown @ 0x8C93B42D)
SSDT[368] : NtSystemDebugControl @ 0x8323D422 -> HOOKED (Unknown @ 0x8C93B432)
SSDT[370] : NtTerminateProcess @ 0x8326DF4F -> HOOKED (Unknown @ 0x8C93B3BF)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8C93B446)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8C93B44B)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500JS-55NCB1 ATA Device +++++
--- User ---
[MBR] a2da1973e4a54348a66cfc74a05d0577
[BSP] b5080dda6fc4cb98babafbab6dd84e6d : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 238373 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.25.07

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Administrateur :: QLUBIC [administrateur]

25/07/2012 19:03:52
mbam-log-2012-07-25 (19-03-52).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 180039
Temps écoulé: 3 minute(s), 49 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 16
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: VShareTB -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Administrateur\AppData\Roaming\System32\rundll32.exe (Trojan.Phex.THAGen3) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Administrateur\AppData\Local\Temp\B11B.tmp (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.

(fin)

https://pjjoint.malekal.com/files.php?id=20120725_k14b9j15c10g7

https://pjjoint.malekal.com/files.php?id=20120725_10w10o5t14g14

Désolé pour le retard on avait une coupure de secteur.


========== OTL ==========
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\META-INF folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\defaults\preferences folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\defaults folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\chrome\skin folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\chrome\locale\zh-CN folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\chrome\locale\en-US folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\chrome\locale folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\chrome\content folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\chrome folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\mozilla\Firefox\Profiles\zpypyo1p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB} folder moved successfully.
C:\Program Files\mozilla firefox\plugins\npBitCometAgent.dll moved successfully.
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll moved successfully.
C:\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll moved successfully.
File C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll not found.
C:\Program Files\Veetle\Player\npvlc.dll moved successfully.
C:\Program Files\Veetle\plugins\npVeetle.dll moved successfully.
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum folder moved successfully.
C:\Users\Administrateur\AppData\Roaming\System32 folder moved successfully.
File C:\Program Files\Veetle\Player\npvlc.dll not found.
File C:\Program Files\Veetle\plugins\npVeetle.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FF6C3CF0-4B15-11D1-ABED-709549C10000}\ deleted successfully.
C:\PROGRA~1\DAP\DAPIEL~1.DLL moved successfully.

OTL by OldTimer - Version 3.2.54.1 log created on 07252012_204329

Mais aussi t'aurais pas un logiciel à me proposer genre Advanced SystemCare pour l'optimisation de son pc.

pour l'optimisation de son pc.

C**nnerie marketting.
Ces logiciels qui disent qu'ils vont accélérer le PC, c'est du blalba commercial pour te faire acheter.

Le PC s'il est lent, c'est soit qu'il est infecté, soit que t'as bourré de programmes au démarrage (et vu toutes les barres d'outils et autres, c'est souvent la cause), soit un prb matériel.

Un logiciel qui nettoye, ça accélère rien.
Windows embarque déjà tout ce qu'il faut pour nettoyer, sinon t'as CCleaner.

Lire : https://forum.malekal.com/viewtopic.php?t=26069&start=

Merci beaucoup pour ton aide !!!!! Si t'étais un Antivirus c'est toi que je mettrai sur mon pc. LOL!!! :-D

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

Lance Combofix.

toujours la même chose !!!! '' Do not run Combofix in compatibility mode ''

C'est quelle version de Windows pour qu'il te sorte ce message ?

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date: 25/07/2012 18:47:37

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] UnsignedThemesSvc.exe -- C:\Windows\UnsignedThemesSvc.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 11 ¤¤¤
[HJ NAME] HKCU\[...]\Run : Client Server Runtime Process (C:\Users\Administrateur\AppData\Roaming\System32\csrss.exe) -> FOUND
[HJ NAME] HKUS\S-1-5-21-373604668-99259431-3812355663-500[...]\Run : Client Server Runtime Process (C:\Users\Administrateur\AppData\Roaming\System32\csrss.exe) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{CAE05BDA-4086-4F4E-9E9F-F4EF1DAE8137} : NameServer (213.154.64.13 213.154.95.126) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : c:\windows\installer\{472deb20-a7fc-5dee-9102-654f5d53541c}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{472deb20-a7fc-5dee-9102-654f5d53541c}\L --> FOUND
[ZeroAccess][FOLDER] U : c:\users\administrateur\appdata\local\{472deb20-a7fc-5dee-9102-654f5d53541c}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\administrateur\appdata\local\{472deb20-a7fc-5dee-9102-654f5d53541c}\L --> FOUND

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x832A847A -> HOOKED (Unknown @ 0x8C93B41E)
SSDT[299] : NtRequestWaitReplyPort @ 0x8327009C -> HOOKED (Unknown @ 0x8C93B428)
SSDT[316] : NtSetContextThread @ 0x83328473 -> HOOKED (Unknown @ 0x8C93B423)
SSDT[347] : NtSetSecurityObject @ 0x8329E795 -> HOOKED (Unknown @ 0x8C93B42D)
SSDT[368] : NtSystemDebugControl @ 0x8323D422 -> HOOKED (Unknown @ 0x8C93B432)
SSDT[370] : NtTerminateProcess @ 0x8326DF4F -> HOOKED (Unknown @ 0x8C93B3BF)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8C93B446)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8C93B44B)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500JS-55NCB1 ATA Device +++++
--- User ---
[MBR] a2da1973e4a54348a66cfc74a05d0577
[BSP] b5080dda6fc4cb98babafbab6dd84e6d : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 238373 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt