Virus, again.
Résolu
Ashley
-
Ashley0 Messages postés 57 Date d'inscription Statut Membre Dernière intervention -
Ashley0 Messages postés 57 Date d'inscription Statut Membre Dernière intervention -
Bonsoir,
Alors voilà, j'ai un problème avec mon ordinateur. Je suis allée malencontreusement sur un site et depuis j'ai des alertes Avast me disant que des fichiers infectés par un cheval de troie. Donc je suis perdue et je ne sais donc pas quoi faire. Si quelqu'un pouvait m'aider, je lui en serai reconnaissant !
Merci beaucoup !
Alors voilà, j'ai un problème avec mon ordinateur. Je suis allée malencontreusement sur un site et depuis j'ai des alertes Avast me disant que des fichiers infectés par un cheval de troie. Donc je suis perdue et je ne sais donc pas quoi faire. Si quelqu'un pouvait m'aider, je lui en serai reconnaissant !
Merci beaucoup !
A voir également:
- Virus, again.
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Message virus iphone site adulte - Forum iPhone
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
53 réponses
Ashley, je pense que cette fois nous tenons le bon bout !
Mais d'abord 2 remarques :
1- il ne te reste que 6% de libre sur ton disque C:\, c'est insuffisant. Tu vas devoir désinstaller des programmes ou sauvegarder certaines données sur un autre support;
2- Désinstalle par le panneau de config ---> java qui n'est pas à jour. Nous le réinstallerons plus tard. Un logiciel comme java pas à jour c'est la porte ouverte aux malwares.
Ensuite tu vas refaire un scan avec Malwarebyte comme précédemment ok ?
Tu me transmettras le lien du rapport.
Puis je vais te faire faire un scan avec un outil de spécialiste que je soumettrai à l'auteur de cet outil pour avis.
C'est un scan en profondeur mais rassure toi aucune données confidentielle ne peut être vue.
https://gen-hackman.kanak.fr/
A+ bonne soirée et à demain pour la fin.
Mais d'abord 2 remarques :
1- il ne te reste que 6% de libre sur ton disque C:\, c'est insuffisant. Tu vas devoir désinstaller des programmes ou sauvegarder certaines données sur un autre support;
2- Désinstalle par le panneau de config ---> java qui n'est pas à jour. Nous le réinstallerons plus tard. Un logiciel comme java pas à jour c'est la porte ouverte aux malwares.
Ensuite tu vas refaire un scan avec Malwarebyte comme précédemment ok ?
Tu me transmettras le lien du rapport.
Puis je vais te faire faire un scan avec un outil de spécialiste que je soumettrai à l'auteur de cet outil pour avis.
C'est un scan en profondeur mais rassure toi aucune données confidentielle ne peut être vue.
https://gen-hackman.kanak.fr/
A+ bonne soirée et à demain pour la fin.
Bonjour ! Alors voici le rapport !
https://pjjoint.malekal.com/files.php?id=20120808_y7r6j9g6p11
Dois-je supprimer les éléments infectés que Malwarebytes a trouvé ?
https://pjjoint.malekal.com/files.php?id=20120808_y7r6j9g6p11
Dois-je supprimer les éléments infectés que Malwarebytes a trouvé ?
Ashley bonjour,
As-tu réglé le 1 et le 2 de mon post précédent ?
La plupart des infections trouvées avec MBAM sont dans le dossier de quarantaine de TDDSSKiller donc sans risque et seront virées en désinstallant cet outil. Mais tu aurais pu supprimer le reste.
Regardes si tu peux supprimer manuellement ce dossier :
C:\Users\hanasaki\AppData\Roaming\WinDefender
Et puis fait le pré_scan de gen-hackman.
A+
As-tu réglé le 1 et le 2 de mon post précédent ?
La plupart des infections trouvées avec MBAM sont dans le dossier de quarantaine de TDDSSKiller donc sans risque et seront virées en désinstallant cet outil. Mais tu aurais pu supprimer le reste.
Regardes si tu peux supprimer manuellement ce dossier :
C:\Users\hanasaki\AppData\Roaming\WinDefender
Et puis fait le pré_scan de gen-hackman.
A+
Il reste à faire un scan en profondeur avec Pré_scan !
Attention : cet outil peut être détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
mirroirs :
https://toolslib.net
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redémarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
A+
Attention : cet outil peut être détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
mirroirs :
https://toolslib.net
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redémarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjours,
Cela fait un moment que je suis l'evolution de la chose :) et au pire si tu as toujours un virus aprés tout les conseilles de cabrier tu peut formater ton ordinateur à l'état d'origine ;)
Cela fait un moment que je suis l'evolution de la chose :) et au pire si tu as toujours un virus aprés tout les conseilles de cabrier tu peut formater ton ordinateur à l'état d'origine ;)
youpiix salut,
Oui ça c'est la solution brute force !
"J'ai une fuite d'eau, je casse la baraque et je la reconstruit"
Galérer sur une désinfection n'est jamais inutile, dans certains cas il n'y a pas de problème pour sauvegarder ses données personnelles, dans d'autres cas non et c'est toujours une leçon apprise à ses dépens.
La leçon c'est la prudence et des règles à respecter que nous donnons toujours en fin de désinfection, après.....chacun est libre de ses actes (enfin pour l'instant !).
A+
Oui ça c'est la solution brute force !
"J'ai une fuite d'eau, je casse la baraque et je la reconstruit"
Galérer sur une désinfection n'est jamais inutile, dans certains cas il n'y a pas de problème pour sauvegarder ses données personnelles, dans d'autres cas non et c'est toujours une leçon apprise à ses dépens.
La leçon c'est la prudence et des règles à respecter que nous donnons toujours en fin de désinfection, après.....chacun est libre de ses actes (enfin pour l'instant !).
A+
oui je suis daccord mais si malgré toute tes solution sa ne marche pas il y a toujours cette solution qui peut parfois vous sauver la vie :) aprés c'est sur que parfois c'est pas la meilleur mais bon c'est une solution comme une autre ^^
Bonjour, voici le rapport de Pre_Scan !
https://pjjoint.malekal.com/files.php?id=20120808_v11i11v15c6k8
https://pjjoint.malekal.com/files.php?id=20120808_v11i11v15c6k8
Merci Ashley,
Du nettoyage a été fait, mais je demande à l'auteur de pré_scan (ou a un de ses émules) son avis.
Après ça ta machine ?
Du nettoyage a été fait, mais je demande à l'auteur de pré_scan (ou a un de ses émules) son avis.
Après ça ta machine ?
Ashley,
Tu dois avoir sur ton bureau une icône marquée ZHPFix (pas ZHPDiag) !
Ce script va cibler certains éléments à supprimer :
* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C
[06/08/2012 21:24:10] - |RASH| - C:\Users\hanasaki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A856503484.exe
[HKU\S-1-5-21-1019002362-4168785665-2016469878-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[Device Detection] : C:\Program Files\FUJIFILM\MyFinePix Studio\dd.exe
[07/01/2010 01:05:22] - |D| - C:\ProgramData\Spybot - Search & Destroy
[07/01/2010 01:05:22] - |D| - C:\Program Files\Spybot - Search & Destroy
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ
SysRestore
* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur le H "coller les lignes Helper", les lignes copiées vont automatiquement se coller dans la fenêtre. Si ce n'est pas le cas fais un CTRL+V.
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton «GO » pour lancer le nettoyage
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjjoint
Ceci dit ton antivirus Avast n'est pas à jour, je crois que nous en sommes à la version 7. Fais la mise à jour.
Autre chose il est possible que ce soit le cr.k de CS5 qui soit la cause de ces infections. Ne le conserves pas sinon ....!
A+
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
Tu dois avoir sur ton bureau une icône marquée ZHPFix (pas ZHPDiag) !
Ce script va cibler certains éléments à supprimer :
* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C
[06/08/2012 21:24:10] - |RASH| - C:\Users\hanasaki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A856503484.exe
[HKU\S-1-5-21-1019002362-4168785665-2016469878-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[Device Detection] : C:\Program Files\FUJIFILM\MyFinePix Studio\dd.exe
[07/01/2010 01:05:22] - |D| - C:\ProgramData\Spybot - Search & Destroy
[07/01/2010 01:05:22] - |D| - C:\Program Files\Spybot - Search & Destroy
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ
SysRestore
* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur le H "coller les lignes Helper", les lignes copiées vont automatiquement se coller dans la fenêtre. Si ce n'est pas le cas fais un CTRL+V.
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton «GO » pour lancer le nettoyage
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjjoint
Ceci dit ton antivirus Avast n'est pas à jour, je crois que nous en sommes à la version 7. Fais la mise à jour.
Autre chose il est possible que ce soit le cr.k de CS5 qui soit la cause de ces infections. Ne le conserves pas sinon ....!
A+
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
Pour les mises à jour :
Acrobat Reader mais décoche "oui, installer Mc Afee"
https://get2.adobe.com/fr/reader/otherversions/
Pour Avast :
https://www.avast.com/fr-fr/free-antivirus-download
Acrobat Reader mais décoche "oui, installer Mc Afee"
https://get2.adobe.com/fr/reader/otherversions/
Pour Avast :
https://www.avast.com/fr-fr/free-antivirus-download
Tu n'as pas désinstallé Spybot ?
Rends-toi sur cette page
Clique sur "Choose File"
Vas sur ton disque chercher ce fichier à cet emplacement :
------------------
C:\Users\hanasaki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A856503484.exe
------------------
Clique ensuite sur le bouton "Scan It"
comme_ceci
Patiente le temps de l'analyse qui dépend de la taille du fichier
Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio):
exemple
Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse :
lien
Rends-toi sur cette page
Clique sur "Choose File"
Vas sur ton disque chercher ce fichier à cet emplacement :
------------------
C:\Users\hanasaki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A856503484.exe
------------------
Clique ensuite sur le bouton "Scan It"
comme_ceci
Patiente le temps de l'analyse qui dépend de la taille du fichier
Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio):
exemple
Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse :
lien
Alors le rang de détection:
This file was already analysed by VirusTotal on 2012-08-08 10:08:49.
Detection ratio: 14/41
Et le lien:
https://www.virustotal.com/gui/file/1faf7d8df70f50f83b470de3c7f8780daa1e56839ee6c133c1ec03ff4c040135
This file was already analysed by VirusTotal on 2012-08-08 10:08:49.
Detection ratio: 14/41
Et le lien:
https://www.virustotal.com/gui/file/1faf7d8df70f50f83b470de3c7f8780daa1e56839ee6c133c1ec03ff4c040135
Ashley,
Cheval de Troie coriace !
Artillerie lourde :
Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection (antivirus et pare-feu) et ferme toutes les fenêtres ouvertes avant de l'utiliser.
¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.
Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
A+
Cheval de Troie coriace !
Artillerie lourde :
Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection (antivirus et pare-feu) et ferme toutes les fenêtres ouvertes avant de l'utiliser.
¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.
Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
A+
Bonsoir, voici enfin le rapport de ComboFix !
ComboFix 12-08-07.05 - hanasaki 08/08/2012 17:56:22.1.2 - x86
Lancé depuis: c:\users\hanasaki\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\A856503484.exe
c:\users\hanasaki\AppData\Roaming\A856503484.exe
c:\users\hanasaki\AppData\Roaming\Adobe\adfly.exe
c:\users\hanasaki\AppData\Roaming\Adobe\adobeup.exe
c:\users\hanasaki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A856503484.exe
c:\users\hanasaki\AppData\Roaming\Svhost.tempcodec
c:\users\hanasaki\Desktop\Internet Explorer.lnk
c:\users\hanasaki\errorlog.tmp
c:\users\hanasaki\errorlogmi.tmp
c:\windows\system32\pt
c:\windows\system32\pt\toscdspd.cpl.mui
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-08 au 2012-08-08 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-08 15:11 . 2012-08-08 15:11 -------- d-----w- c:\program files\Common Files\Java
2012-08-08 15:11 . 2012-08-08 15:11 -------- d-----w- c:\program files\Oracle
2012-08-08 15:10 . 2012-07-05 20:06 772544 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-08-08 07:10 . 2012-08-08 13:55 -------- d-----w- C:\Pre_Scan
2012-08-07 19:45 . 2012-08-07 19:45 -------- d-----w- C:\TDSSKiller_Quarantine
2012-08-07 19:24 . 2012-08-07 19:24 -------- d-----w- C:\MyHosts
2012-08-06 19:08 . 2012-08-06 19:08 -------- d-----w- c:\users\hanasaki\AppData\Roaming\Malwarebytes
2012-08-06 19:07 . 2012-08-06 19:07 -------- d-----w- c:\programdata\Malwarebytes
2012-08-06 19:07 . 2012-08-06 19:07 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-06 19:07 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-06 15:24 . 2012-08-07 14:05 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2012-08-06 14:44 . 2012-08-08 14:57 -------- d-----w- C:\ZHP
2012-08-06 14:44 . 2012-08-07 14:05 -------- d-----w- c:\program files\ZHPDiag
2012-08-03 14:47 . 2012-06-29 08:44 6891424 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{10E11706-DD7D-495B-B023-CA50ED1D02C1}\mpengine.dll
2012-07-11 17:33 . 2012-06-13 13:40 2047488 ----a-w- c:\windows\system32\win32k.sys
2012-07-11 17:15 . 2012-06-05 16:47 708608 ----a-w- c:\program files\Common Files\System\ado\msado15.dll
2012-07-11 17:15 . 2012-06-05 16:47 1401856 ----a-w- c:\windows\system32\msxml6.dll
2012-07-11 17:15 . 2012-06-05 16:47 1248768 ----a-w- c:\windows\system32\msxml3.dll
2012-07-11 17:14 . 2012-06-04 15:26 440704 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-07-11 17:14 . 2012-06-02 00:04 278528 ----a-w- c:\windows\system32\schannel.dll
2012-07-11 17:14 . 2012-06-02 00:03 204288 ----a-w- c:\windows\system32\ncrypt.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-07 19:48 . 2009-11-09 22:04 67072 ----a-w- c:\windows\system32\drivers\cdrom.sys
2012-08-06 17:32 . 2012-06-25 22:41 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-06 17:32 . 2012-06-25 22:41 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-05 20:06 . 2010-05-09 22:47 687544 ----a-w- c:\windows\system32\deployJava1.dll
2012-06-21 23:20 . 2011-03-28 16:36 19736 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-06-02 22:19 . 2012-06-22 11:51 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-22 11:51 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-22 11:51 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-22 11:51 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-22 11:51 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-22 11:51 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-22 11:51 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-22 11:50 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-22 11:50 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-05-31 10:25 . 2009-12-09 08:23 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-07-18 03:07 . 2012-06-19 23:46 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"SmAudio"="c:\program files\Conexant\SmartAudio\SmAudio.exe" [2009-05-05 2742840]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
"Logitech Vid"="c:\program files\Logitech\Vid HD\Vid.exe" [2010-10-29 5915480]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-06-05 17344176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe" [2008-11-06 474168]
"NDSTray.exe"="NDSTray.exe" [BU]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
"Toshiba TEMPO"="c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe" [2008-08-26 103824]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-09-26 417792]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-11-04 468320]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2007-10-31 54608]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-06-24 509816]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-11-17 726328]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-10-16 724992]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2008-01-11 574864]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"LWS"="c:\program files\Logitech\LWS\Webcam Software\LWS.exe" [2011-08-12 205336]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"PlusService"="c:\program files\Yuna Software\Messenger Plus!\PlusService.exe" [2012-07-24 801792]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5.5ServiceManager"="c:\program files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux5"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79069937.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
bthsvcs REG_MULTI_SZ BthServ
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-08 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-25 17:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.fr
uDefault_Search_URL = hxxp://www.google.fr
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\hanasaki\AppData\Roaming\Mozilla\Firefox\Profiles\59srodrt.default\
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-TOSCDSPD - TOSCDSPD.EXE
HKCU-Run-Device Detection - c:\program files\FUJIFILM\MyFinePix Studio\dd.exe
HKCU-Run-Chat-Landmessenger - c:\users\hanasaki\chat-land\Chat-Landmessenger.exe
HKCU-Run-Facebook Update - c:\users\hanasaki\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKCU-Run-A856503484 - c:\users\hanasaki\AppData\Roaming\A856503484.exe
HKLM-Run-ITSecMng - c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe
HKLM-Run-cfFncEnabler.exe - cfFncEnabler.exe
HKLM-Run-A856503484 - c:\users\hanasaki\AppData\Roaming\A856503484.exe
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-mcmscsvc
SafeBoot-MCODS
SafeBoot-SRService
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-08-08 19:58
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(4448)
c:\windows\system32\btmmhook.dll
c:\windows\system32\btncopy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
c:\windows\system32\AUDIODG.EXE
c:\windows\system32\Ati2evxx.exe
c:\program files\WTouch\WTouchService.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files\O2Micro Flash Memory Card Driver\o2flash.exe
c:\windows\system32\Pen_Tablet.exe
c:\program files\Toshiba TEMPRO\TempoSVC.exe
c:\program files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
c:\windows\system32\TODDSrv.exe
c:\program files\Toshiba\Power Saver\TosCoSrv.exe
c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\WTouch\WTouchUser.exe
c:\windows\system32\conime.exe
c:\windows\system32\WTablet\Pen_TabletUser.exe
c:\windows\system32\Pen_Tablet.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\program files\Toshiba\TOSCDSPD\TOSCDSPD.exe
c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
.
**************************************************************************
.
Heure de fin: 2012-08-08 20:06:54 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-08-08 18:06
.
Avant-CF: 36 577 243 136 octets libres
Après-CF: 36 522 414 080 octets libres
.
- - End Of File - - A1F40E046B83AAD695D7685414FCBCB9
ComboFix 12-08-07.05 - hanasaki 08/08/2012 17:56:22.1.2 - x86
Lancé depuis: c:\users\hanasaki\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\A856503484.exe
c:\users\hanasaki\AppData\Roaming\A856503484.exe
c:\users\hanasaki\AppData\Roaming\Adobe\adfly.exe
c:\users\hanasaki\AppData\Roaming\Adobe\adobeup.exe
c:\users\hanasaki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A856503484.exe
c:\users\hanasaki\AppData\Roaming\Svhost.tempcodec
c:\users\hanasaki\Desktop\Internet Explorer.lnk
c:\users\hanasaki\errorlog.tmp
c:\users\hanasaki\errorlogmi.tmp
c:\windows\system32\pt
c:\windows\system32\pt\toscdspd.cpl.mui
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-08 au 2012-08-08 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-08 15:11 . 2012-08-08 15:11 -------- d-----w- c:\program files\Common Files\Java
2012-08-08 15:11 . 2012-08-08 15:11 -------- d-----w- c:\program files\Oracle
2012-08-08 15:10 . 2012-07-05 20:06 772544 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-08-08 07:10 . 2012-08-08 13:55 -------- d-----w- C:\Pre_Scan
2012-08-07 19:45 . 2012-08-07 19:45 -------- d-----w- C:\TDSSKiller_Quarantine
2012-08-07 19:24 . 2012-08-07 19:24 -------- d-----w- C:\MyHosts
2012-08-06 19:08 . 2012-08-06 19:08 -------- d-----w- c:\users\hanasaki\AppData\Roaming\Malwarebytes
2012-08-06 19:07 . 2012-08-06 19:07 -------- d-----w- c:\programdata\Malwarebytes
2012-08-06 19:07 . 2012-08-06 19:07 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-06 19:07 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-06 15:24 . 2012-08-07 14:05 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2012-08-06 14:44 . 2012-08-08 14:57 -------- d-----w- C:\ZHP
2012-08-06 14:44 . 2012-08-07 14:05 -------- d-----w- c:\program files\ZHPDiag
2012-08-03 14:47 . 2012-06-29 08:44 6891424 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{10E11706-DD7D-495B-B023-CA50ED1D02C1}\mpengine.dll
2012-07-11 17:33 . 2012-06-13 13:40 2047488 ----a-w- c:\windows\system32\win32k.sys
2012-07-11 17:15 . 2012-06-05 16:47 708608 ----a-w- c:\program files\Common Files\System\ado\msado15.dll
2012-07-11 17:15 . 2012-06-05 16:47 1401856 ----a-w- c:\windows\system32\msxml6.dll
2012-07-11 17:15 . 2012-06-05 16:47 1248768 ----a-w- c:\windows\system32\msxml3.dll
2012-07-11 17:14 . 2012-06-04 15:26 440704 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-07-11 17:14 . 2012-06-02 00:04 278528 ----a-w- c:\windows\system32\schannel.dll
2012-07-11 17:14 . 2012-06-02 00:03 204288 ----a-w- c:\windows\system32\ncrypt.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-07 19:48 . 2009-11-09 22:04 67072 ----a-w- c:\windows\system32\drivers\cdrom.sys
2012-08-06 17:32 . 2012-06-25 22:41 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-06 17:32 . 2012-06-25 22:41 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-05 20:06 . 2010-05-09 22:47 687544 ----a-w- c:\windows\system32\deployJava1.dll
2012-06-21 23:20 . 2011-03-28 16:36 19736 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-06-02 22:19 . 2012-06-22 11:51 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-22 11:51 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-22 11:51 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-22 11:51 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-22 11:51 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-22 11:51 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-22 11:51 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-22 11:50 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-22 11:50 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-05-31 10:25 . 2009-12-09 08:23 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-07-18 03:07 . 2012-06-19 23:46 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"SmAudio"="c:\program files\Conexant\SmartAudio\SmAudio.exe" [2009-05-05 2742840]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
"Logitech Vid"="c:\program files\Logitech\Vid HD\Vid.exe" [2010-10-29 5915480]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-06-05 17344176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe" [2008-11-06 474168]
"NDSTray.exe"="NDSTray.exe" [BU]
"Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
"Toshiba TEMPO"="c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe" [2008-08-26 103824]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-09-26 417792]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-11-04 468320]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2007-10-31 54608]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-06-24 509816]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-11-17 726328]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-10-16 724992]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2008-01-11 574864]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"LWS"="c:\program files\Logitech\LWS\Webcam Software\LWS.exe" [2011-08-12 205336]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"PlusService"="c:\program files\Yuna Software\Messenger Plus!\PlusService.exe" [2012-07-24 801792]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5.5ServiceManager"="c:\program files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux5"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79069937.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
bthsvcs REG_MULTI_SZ BthServ
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-08 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-25 17:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.fr
uDefault_Search_URL = hxxp://www.google.fr
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\hanasaki\AppData\Roaming\Mozilla\Firefox\Profiles\59srodrt.default\
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-TOSCDSPD - TOSCDSPD.EXE
HKCU-Run-Device Detection - c:\program files\FUJIFILM\MyFinePix Studio\dd.exe
HKCU-Run-Chat-Landmessenger - c:\users\hanasaki\chat-land\Chat-Landmessenger.exe
HKCU-Run-Facebook Update - c:\users\hanasaki\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKCU-Run-A856503484 - c:\users\hanasaki\AppData\Roaming\A856503484.exe
HKLM-Run-ITSecMng - c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe
HKLM-Run-cfFncEnabler.exe - cfFncEnabler.exe
HKLM-Run-A856503484 - c:\users\hanasaki\AppData\Roaming\A856503484.exe
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-mcmscsvc
SafeBoot-MCODS
SafeBoot-SRService
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-08-08 19:58
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(4448)
c:\windows\system32\btmmhook.dll
c:\windows\system32\btncopy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
c:\windows\system32\AUDIODG.EXE
c:\windows\system32\Ati2evxx.exe
c:\program files\WTouch\WTouchService.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files\O2Micro Flash Memory Card Driver\o2flash.exe
c:\windows\system32\Pen_Tablet.exe
c:\program files\Toshiba TEMPRO\TempoSVC.exe
c:\program files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
c:\windows\system32\TODDSrv.exe
c:\program files\Toshiba\Power Saver\TosCoSrv.exe
c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\WTouch\WTouchUser.exe
c:\windows\system32\conime.exe
c:\windows\system32\WTablet\Pen_TabletUser.exe
c:\windows\system32\Pen_Tablet.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\program files\Toshiba\TOSCDSPD\TOSCDSPD.exe
c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
.
**************************************************************************
.
Heure de fin: 2012-08-08 20:06:54 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-08-08 18:06
.
Avant-CF: 36 577 243 136 octets libres
Après-CF: 36 522 414 080 octets libres
.
- - End Of File - - A1F40E046B83AAD695D7685414FCBCB9
Ashley,
Bon cette fois je crois que c'est bon.
Pour vérification tu me fais un petit ZHPDiag, tu me poste le lien du rapport.
Si tout est OK on désinstalle les outils et on nettoie les rapports.
OK ?
A+
Bon cette fois je crois que c'est bon.
Pour vérification tu me fais un petit ZHPDiag, tu me poste le lien du rapport.
Si tout est OK on désinstalle les outils et on nettoie les rapports.
OK ?
A+
Alors voici le rapport ZHPDiag !
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120809_q8e97k12h15
Sinon j'ai un autre petit problème lié aux mises à jour avec Windows Update. A chaque fois que j'essaye d'installer les mises à jour, ça me marque échec. Comment puis-je faire pour régler ça ?
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120809_q8e97k12h15
Sinon j'ai un autre petit problème lié aux mises à jour avec Windows Update. A chaque fois que j'essaye d'installer les mises à jour, ça me marque échec. Comment puis-je faire pour régler ça ?
Télécharge WinUpdateFix de Xplode sur le bureau
http://general-changelog-team.fr/fr/downloads/view.download/11
Lance-le en cliquant sur l'icône, il ne nécessite pas d'installation.
Sous Vista/7, faire un clic droit sur l'icône et Exécuter en tant qu'administrateur.
Clique sur le bouton Démarrer pour les trois cadres Services - BITS - Service de cryptographie si nécessaire.
Coche les cases devant les lignes suivantes (en gras) en appuyant sur Tous :
-Effacer le catalogue des mises à jour
-Réinscire les DLL
-Vider le dossier SoftwareDistribution
-Réinitialiser les paramètres Winsock
-Supprimer les fichiers temporaires
-Réinitialiser les descripteurs de sécurité
-Supprimer le proxy
-Restaurer les policies
-Effacer la file d'attente BITS
Clique sur le bouton Exécuter
Un message t'avertira de la réussite de l'opération.
Il te sera demandé de redémarrer dans le cas d'une réinitialisation des paramètres Winsocks, fais-le en validant par OK
Pour tester le résultat :
Sous Vista/7 : Dans le panneau de configuration, Windows Update, clique sur Rechercher des mises à jour.
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
http://general-changelog-team.fr/fr/downloads/view.download/11
Lance-le en cliquant sur l'icône, il ne nécessite pas d'installation.
Sous Vista/7, faire un clic droit sur l'icône et Exécuter en tant qu'administrateur.
Clique sur le bouton Démarrer pour les trois cadres Services - BITS - Service de cryptographie si nécessaire.
Coche les cases devant les lignes suivantes (en gras) en appuyant sur Tous :
-Effacer le catalogue des mises à jour
-Réinscire les DLL
-Vider le dossier SoftwareDistribution
-Réinitialiser les paramètres Winsock
-Supprimer les fichiers temporaires
-Réinitialiser les descripteurs de sécurité
-Supprimer le proxy
-Restaurer les policies
-Effacer la file d'attente BITS
Clique sur le bouton Exécuter
Un message t'avertira de la réussite de l'opération.
Il te sera demandé de redémarrer dans le cas d'une réinitialisation des paramètres Winsocks, fais-le en validant par OK
Pour tester le résultat :
Sous Vista/7 : Dans le panneau de configuration, Windows Update, clique sur Rechercher des mises à jour.
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
