Sujet Précédent Sujet Suivant

Probleme Virus-Chine

Fermé
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 - 12 août 2012 à 12:48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 - 15 août 2012 à 19:31
Bonjour a toutes et a tous,

Premiere fois que je poste sur CCM, et j'espere que des ames charitables pouront m'aider!

Voila mon probleme, depuis 1 mois mon ordi rame, rame, rame, specialement quand j utilise Outlook et Word.

J'habite en Chine et je me pose la question si mon Laptop a ete contamine par une salete.

J'ai procede a un Scan HIJACK this, le voici ci-dessous.

Je tourne sur un Lenovo X220i, Windows 7, Chrome.

En vous remerciant d'avance pour vos conseils,

Charly.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 6:44:33 PM, on 2012-08-12
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16447)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\PROGRA~1\Lenovo\Zoom\TPSCREX.EXE
C:\PROGRA~1\Lenovo\HOTKEY\TPONSCR.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Lenovo\Screen Reading Optimizer\SRORest.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Windows\System32\TpShocks.exe
C:\Program Files\Integrated Camera Driver\RCIMGDIR.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Lenovo\Communications Utility\TpKnrres.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe
C:\Windows\System32\hkcmd.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\SCHTASK.exe
C:\Program Files\CONEXANT\ForteConfig\fmapp.exe
C:\Program Files\Common Files\Microsoft Shared\IME14\SHARED\IMECMNT.EXE
C:\Program Files\Lenovo\AutoLock\ALCKRESI.exe
C:\Program Files\Adobe\Acrobat 10.0\Acrobat\acrotray.exe
C:\Program Files\Astrill\astrill.exe
C:\Windows\system32\wuauclt.exe
c:\program files\adobe\acrobat 10.0\acrobat\acrord32.exe
c:\program files\adobe\acrobat 10.0\acrobat\acrord32.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office14\GROOVEEX.DLL
O2 - BHO: XunleiBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmartAudio] C:\Program Files\CONEXANT\SAII\SAIICpl.exe /t
O4 - HKLM\..\Run: [RotateImage] C:\Program Files\Integrated Camera Driver\RCIMGDIR.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE -startup
O4 - HKLM\..\Run: [PWMTRV] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWMTR32V.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [LENOVO.TPKNRRES] C:\Program Files\Lenovo\Communications Utility\TPKNRRES.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IME14 CHS Setup] C:\PROGRA~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE /SetPreload /CHS /Log
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [ForteConfig] C:\Program Files\Conexant\ForteConfig\fmapp.exe
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [ALCKRESI.EXE] C:\Program Files\Lenovo\AutoLock\ALCKRESI.EXE
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\BitTorrent.exe" /MINIMIZED
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~1\MICROS~4\Office14\ONBttnIE.dll/105
O9 - Extra button: ·??í?á OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: ·??í?á OneNote(&N) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote á??ó±ê??(&K) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote á??ó±ê??(&K) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 (file missing)
O9 - Extra 'Tools' menuitem: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asproxy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asproxy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asproxy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asproxy.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asproxy.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Astrill OpenVPN Service (ASOVPNHelper) - Astrill - C:\Program Files\Astrill\ASOvpnSvc.exe
O23 - Service: ASProxy - Astrill - C:\Program Files\Astrill\ASProxy.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @C:\Windows\system32\CxAudMsg32.exe,-100 (CxAudMsg) - Conexant Systems Inc. - C:\Windows\system32\CxAudMsg32.exe
O23 - Service: Lenovo Doze Mode Service (DozeSvc) - Lenovo. - C:\Program Files\ThinkPad\Utilities\DOZESVC.EXE
O23 - Service: HyperW7 Service (HyperW7Svc) - Lenovo Group Limited - C:\Program Files\Lenovo\RapidBoot\HyperW7Svc.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo. - C:\Windows\system32\ibmpmsvc.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Identity Protection Technology Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files\Intel\Services\IPT\jhi_service.exe
O23 - Service: Lenovo Camera Mute (LENOVO.CAMMUTE) - Lenovo Group Limited - C:\Program Files\Lenovo\Communications Utility\CAMMUTE.exe
O23 - Service: Lenovo Microphone Mute (LENOVO.MICMUTE) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\MICMUTE.exe
O23 - Service: Lenovo Keyboard Noise Reduction (LENOVO.TPKNRSVC) - Lenovo Group Limited - C:\Program Files\Lenovo\Communications Utility\TPKNRSVC.exe
O23 - Service: Lenovo Auto Scroll (Lenovo.VIRTSCRLSVC) - Lenovo Group Limited - C:\Program Files\LENOVO\VIRTSCRL\lvvsst.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Power Manager DBC Service - Lenovo - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
O23 - Service: Cisco EnergyWise Enabler (PwmEWSvc) - Lenovo Group Limited - C:\Program Files\ThinkPad\Utilities\PWMEWSVC.EXE
O23 - Service: Conexant SmartAudio service (SAService) - Conexant Systems, Inc. - C:\Windows\system32\SAsrv.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Screen Reading Optimizer Service Program (SROSVC) - Lenovo Group Limited - C:\Program Files\Lenovo\Screen Reading Optimizer\SROSVC.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Program Files\Lenovo\System Update\SUService.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\Windows\System32\TPHDEXLG.exe
O23 - Service: Lenovo Hotkey Client Loader (TPHKLOAD) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\TPHKLOAD.exe
O23 - Service: On Screen Display (TPHKSVC) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe

19 réponses

Réponse 1 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
12 août 2012 à 13:24
Salut,
* Télécharge puis enregistre sur le bureau de ton PC ZHPDiag
(de Nicolas Coolman) à partir : ce lien
* Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)
* Clique sur l'icône en forme de loupe pour lancer le diagnostique
* Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com
* Fais copier/coller le lien fourni dans ta prochaine réponse
* Aide ZHPDiag : <<< ICI >>>
2
Réponse 2 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
13 août 2012 à 21:12
Re,

222.73.49.125 ====> Adresse IP : China Shanghai

=====================
Télécharge Dr Web CureIt sur ton Bureau :
? redemarre en mode sans échec
?- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
?- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
?- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
?- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques

?- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
?- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
?- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite héberge le rapport sur : http://pjjoint.malekal.com/
?- Ferme Dr.Web Cureit
?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
Tu trouves ici: un tutoriel explicatif
1
Réponse 3 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
12 août 2012 à 16:09
Bonjour Dark Crystal et Fish66,

Merci bcp pour vos reponses.

J'ai suivi vos conseils et lance un scan a partir de ZHP, et l'a heberge sur Cjoint:

http://cjoint.com/12au/BHmqf6Lqqos.htm


Merci pour vos precieux conseils!

Charly.
0
Réponse 4 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
12 août 2012 à 18:31
Re,
Fais ceci suivant l'ordre stp :
1/
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O43 - CFD: 2012-05-23 - 1:08:35 PM - [0.000] ----D C:\ProgramData\Xunlei
O43 - CFD: 2012-05-22 - 6:33:09 PM - [0] --H-D C:\ProgramData\¡¸¿ªÊ¼¡¹²Ëµ¥
O43 - CFD: 2012-05-22 - 6:33:09 PM - [0] --H-D C:\ProgramData\ÊղؼÐ
O43 - CFD: 2012-05-22 - 6:33:09 PM - [0] --H-D C:\ProgramData\×ÀÃæ
O43 - CFD: 2012-05-23 - 5:56:24 PM - [0.000] ----D C:\Users\think\AppData\Roaming\360Login
O43 - CFD: 2012-05-23 - 6:06:25 PM - [0] ----D C:\Users\think\AppData\Roaming\360mobilemgr
O43 - CFD: 2012-05-07 - 7:53:58 PM - [0] ----D C:\Program Files\Chicony Electronics Co.,Ltd
O43 - CFD: 2012-05-22 - 6:37:33 PM - [0.000] ----D C:\Users\think\AppData\Roaming\PwrMgr
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job => Infection Diverse (Trojan.Keygen)
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMSDaily.job => Infection Diverse (Trojan.Keygen)
[MD5.00000000000000000000000000000000] [APT] [{8FB72191-1469-4140-A1C3-F22E9E9DBC15}] (...) -- C:\Program Files\Baidu\Toolbar\BarBroker.exe (.not file.) => Infection PUP (Adware.BDSearch)

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

3/
/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Installe-le puis configure-le comme indiqué : <<< ICI >>>
* si tu n'as rien modifié fais directement quitter sinon enregistrer
* Lance Malwarebytes' Anti-Malware

=================================
Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

==> Ce logiciel gratuit est à garder.

=================================

* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message


Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
13 août 2012 à 10:49
Bonjour Fish,

Bon ca m'a pris 10h pour effectuer le dernier scan MBAM, mais la c'est fait!

1) Ci-dessous le rapport ADWCleaner:


# AdwCleaner v1.800 - Logfile created 08/13/2012 at 00:40:27
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Home Basic Service Pack 1 (32 bits)
# User : think - THINK-THINK
# Running from : C:\Users\think\Downloads\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Deleted : HKLM\SOFTWARE\DT Soft

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Google Chrome v21.0.1180.75

File : C:\Users\think\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

*************************

AdwCleaner[S1].txt - [795 octets] - [13/08/2012 00:40:27]

########## EOF - C:\AdwCleaner[S1].txt - [922 octets] ##########


2) Ci-dessous le rapport ZHP

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2012-08-13-12-47-11 AM.txt
Run by think at 2012-08-13 12:47:04 AM
Windows 7 Home Basic Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Registry Value ==========
No Value in Standard Profile Register Key FirewallRaz :
No Value in Domain Profile Register Key FirewallRaz :
No Value in Firewall Exception Register Key (FirewallRaz)

========== Repertory ==========
DELETE on Reboot Folder**: C:\ProgramData\Xunlei
NOT FOUND C:\ProgramData\¡¸¿ªÊ¼¡¹²Ëµ¥
NOT FOUND C:\ProgramData\ÊղؼÐ
NOT FOUND C:\ProgramData\×ÀÃæ
DELETED Folder: C:\Users\think\AppData\Roaming\360Login
DELETED Folder: C:\Users\think\AppData\Roaming\360mobilemgr
DELETE on Reboot Folder**: C:\Program Files\Chicony Electronics Co.,Ltd
DELETED Folder: C:\Users\think\AppData\Roaming\PwrMgr
DELETED Window Temporary:
DELETED Flash Cookies:

========== File ==========
DELETE on Reboot c:\windows\tasks\autokms.job
DELETE on Reboot c:\windows\tasks\autokmsdaily.job
DELETED Window Temporary:
DELETED Flash Cookies:

========== Task ==========
DELETED Task: {8FB72191-1469-4140-A1C3-F22E9E9DBC15}


========== Summary ==========
3 : Registry Value
10 : Repertory
4 : File
1 : Task


End of clean in 07mn AMs

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 2012-08-13 12:47:04 AM [1441]




3) Et enfin le rapport MBAM:

Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.12.04

Windows 7 Service Pack 1 x86 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
think :: THINK-THINK [administrateur]

Protection: Désactivé

2012-08-13 1:03:28 PM
mbam-log-2012-08-13 (13-03-28).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 460135
Temps écoulé: 2 heure(s), 57 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 12
HKCR\AppID\{1DD31B76-C57E-49ba-94BC-BF53F0C82CD4} (PUP.Funshion) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1DD31B76-C57E-49ba-94BC-BF53F0C82CD4} (PUP.Funshion) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{91878E42-FC03-4785-B513-1F9E613D1027} (PUP.Funshion) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{D02E3AB9-7796-40CB-BDFC-20D834FE1F75} (PUP.Funshion) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{FCB380C4-D350-44BE-8791-50216F4747AC} (PUP.Funshion) -> Mis en quarantaine et supprimé avec succès.
HKCR\ASBarBroker.BDBroker.1 (PUP.Funshion) -> Mis en quarantaine et supprimé avec succès.
HKCR\ASBarBroker.BDBroker (PUP.Funshion) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A7F05EE4-0426-454F-8013-C41E3596E9E9} (Trojan.Cinmus) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46} (Adware.BDSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\thunder (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Baidu (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Baidu (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{B580CF65-E151-49C3-B73F-70B13FCA8E86} (Trojan.Cinmus) -> Données: e???I?p???CLSID -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 11
C:\ProgramData\Baidu (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\AutoUpdate (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowser (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate\updatelog (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\AppData\Roaming\baidu (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\AppData\Roaming\baidu\browser (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\AppData\Roaming\baidu\browser\ClientStat (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\AppData\Roaming\baidu\browser\ClientStat\MainPath (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\AppData\Roaming\baidu\hao123 (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 17
C:\Program Files\Baidu\{056662AD-5242-83D0-5C2A-D651BBE3282F}\ASBarBroker.exe (PUP.Funshion) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\Downloads\MPlayer_Setup (1).exe (PUP.Bundle.Installer.OI) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\Downloads\MPlayer_Setup (2).exe (PUP.Bundle.Installer.OI) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\Downloads\MPlayer_Setup.exe (PUP.Bundle.Installer.OI) -> Mis en quarantaine et supprimé avec succès.
E:\Program Files\MyDrivers\DriverGenius2012\DIFxAPI_x86.dll (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
F:\Mes Documents\logiciels & setup\pyjj.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
F:\Mes Documents\logiciels & setup\uusee_uusee_v3.0.15_autres_42827.exe (PUP.Uusee) -> Mis en quarantaine et supprimé avec succès.
F:\Mes Documents\logiciels & setup\nouveaux setup\TvAnts_1.0.0.59_build_0834.exe (Adware.Onlinegames) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate\update_info.txt (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate\updatelog\autoupdate_20120525091427_7864.log (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate\updatelog\autoupdate_20120525091431_7996.log (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate\updatelog\autoupdate_20120525091435_8096.log (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate\updatelog\autoupdate_20120525094814_7372.log (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate\updatelog\autoupdate_20120525094815_6812.log (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Baidu\BaiduBrowserGA\AutoUpdate\updatelog\autoupdate_20120525094816_3776.log (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\AppData\Roaming\baidu\browser\ClientStat\MainPath\statfailed.xml (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.
C:\Users\think\AppData\Roaming\baidu\hao123\1.0.0.1080.hao123.exe (PUP.Baidu) -> Mis en quarantaine et supprimé avec succès.

(fin)


Je ne sais pas si ca a ete bien enleve car mon Ordi rame toujours autant, surtout lorsque je lance outlook ou WORD.

Merci de tes precieux conseils.

Charly.
0
Réponse 6 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
13 août 2012 à 10:55
Bonjour,
Redémarre ton PC, lance ZHPDiag depuis le bureau, ensuite coche tout au tournevis puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans ta prochaine réponse
0
Réponse 7 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
Modifié par charly_sh le 13/08/2012 à 11:25
Bonjour,

Voici le rapport ZHPDiag apres avoir coche toutes les cases du tournevis:


EDIT: Desole, je ne l'avais pas herberge.

C'est chose faite:

https://www.cjoint.com/?BHnlyodUzif

Merci!

CH
0
Réponse 8 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
13 août 2012 à 11:35
Re,
Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le

* Une fenêtre apparait : clique sur "Disable"

* Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

===================================================

Attention, avant de commencer, lis attentivement la procédure

********************************************************

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »
Voici Aide combofix

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

*Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 9 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
13 août 2012 à 15:31
Salut Fish,

J'ai suivi tes conseils, et voici le log de COMBOFIX ci-dessous, penses tu que je me suis debarasse des saletes?

Merci


ComboFix 12-08-10.02 - think 2012-08-13 21:10:21.1.4 - x86
Microsoft Windows 7 Home Basic 6.1.7601.1.936.86.1033.18.3493.2379 [GMT 8:00]
????: c:\users\think\Desktop\charly_sh.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* ????????
.
.
((((((((((((((((((((((((((((((((((((((( ?????? )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\bidconfig_v1.2.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\cloudcodecsdll_v1.2.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\cloudcodecsdll_v1.3.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\cmdengine_v1.2.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\collecttask_v1.2.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\commondc_v1.2.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\comptip_v1.1.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\dictrule_v1.1.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\dsicon_v1.1.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\mediadc_v1.3.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\mediatag_v1.3.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\mediatip_v1.2.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\setdrvflag_v1.1.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\tasklist_v1.3.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\tip_v1.4.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\update_v1.3.dat
c:\windows\system32\Thumbs.db
Q:\AUTORUN.INF
.
.
((((((((((((((((((((((((( 2012-07-13 ? 2012-08-13 ????? )))))))))))))))))))))))))))))))
.
.
2012-08-13 13:21 . 2012-08-13 13:21 -------- d-----w- c:\users\think\AppData\Local\temp
2012-08-13 13:21 . 2012-08-13 13:21 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-13 09:20 . 2012-08-13 09:20 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2012-08-13 08:54 . 2012-08-13 08:54 -------- d-----w- c:\users\think\AppData\Roaming\PwrMgr
2012-08-12 16:51 . 2012-08-12 16:51 -------- d-----w- c:\users\think\AppData\Roaming\Malwarebytes
2012-08-12 16:50 . 2012-08-12 16:50 -------- d-----w- c:\programdata\Malwarebytes
2012-08-12 16:50 . 2012-07-03 05:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-12 16:50 . 2012-08-12 16:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-12 15:25 . 2012-08-12 15:25 -------- d-----w- C:\$AVG
2012-08-12 14:25 . 2012-08-12 14:25 -------- d-----w- c:\users\think\AppData\Roaming\AVG2012
2012-08-12 14:20 . 2012-08-13 00:28 -------- d-----w- c:\windows\system32\drivers\AVG
2012-08-12 14:20 . 2012-08-12 14:30 -------- d-----w- c:\programdata\AVG2012
2012-08-12 14:20 . 2012-08-12 14:20 -------- d-----w- c:\program files\AVG
2012-08-12 14:14 . 2012-08-12 14:14 -------- d--h--w- c:\programdata\Common Files
2012-08-12 14:13 . 2012-08-13 09:39 -------- d-----w- c:\programdata\MFAData
2012-08-12 13:55 . 2012-08-13 09:20 -------- d-----w- c:\program files\ZHPDiag
2012-08-12 13:55 . 2012-08-13 09:17 -------- d-----w- C:\ZHP
2012-08-12 10:39 . 2012-08-12 10:39 388096 ----a-r- c:\users\think\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-08-12 10:39 . 2012-08-12 10:39 -------- d-----w- c:\program files\Trend Micro
2012-08-11 05:05 . 2012-06-29 08:44 6891424 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9B3C9976-C8B7-4234-94A4-5332A8EBEC0F}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( ??????????? ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-12 02:40 . 2012-07-11 04:25 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-06-06 05:05 . 2012-07-11 00:29 1390080 ----a-w- c:\windows\system32\msxml6.dll
2012-06-06 05:05 . 2012-07-11 00:29 1236992 ----a-w- c:\windows\system32\msxml3.dll
2012-06-06 05:03 . 2012-07-11 00:29 805376 ----a-w- c:\windows\system32\cdosys.dll
2012-06-02 22:19 . 2012-06-25 05:16 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-25 05:16 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-25 05:16 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-25 05:16 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-25 05:16 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-25 05:16 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-25 05:16 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-02 08:33 . 2012-07-11 04:26 1800192 ----a-w- c:\windows\system32\jscript9.dll
2012-06-02 08:25 . 2012-07-11 04:26 1129472 ----a-w- c:\windows\system32\wininet.dll
2012-06-02 08:25 . 2012-07-11 04:26 1427968 ----a-w- c:\windows\system32\inetcpl.cpl
2012-06-02 08:20 . 2012-07-11 04:26 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2012-06-02 08:16 . 2012-07-11 04:26 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-06-02 07:19 . 2012-06-25 05:16 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-02 07:12 . 2012-06-25 05:16 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-02 04:45 . 2012-07-11 00:30 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-06-02 04:45 . 2012-07-11 00:30 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-06-02 04:40 . 2012-07-11 00:30 369336 ----a-w- c:\windows\system32\drivers\cng.sys
2012-06-02 04:40 . 2012-07-11 00:30 225280 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 04:39 . 2012-07-11 00:30 219136 ----a-w- c:\windows\system32\ncrypt.dll
2012-05-31 04:25 . 2012-05-24 04:28 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-05-25 01:12 . 2012-05-25 01:12 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2012-05-23 05:06 . 2012-05-23 05:06 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-23 05:06 . 2012-05-23 05:06 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-22 10:06 . 2010-06-24 03:33 19736 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
.
.
((((((((((((((((((((((((((((((((((((( ????? ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*??* ???????????????
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AAADesktopTips]
@="{4562B511-62E9-4533-B7B2-56A8BB10B482}"
[HKEY_CLASSES_ROOT\CLSID\{4562B511-62E9-4533-B7B2-56A8BB10B482}]
2012-02-21 10:32 247408 ----a-w- c:\program files\Common Files\Thunder Network\Kankan\xappex.1.1.1.38.(880).dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TpShocks"="TpShocks.exe" [2011-01-14 337256]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2011-05-19 2270504]
"SmartAudio"="c:\program files\CONEXANT\SAII\SAIICpl.exe" [2011-03-14 316032]
"RotateImage"="c:\program files\Integrated Camera Driver\RCIMGDIR.exe" [2008-10-30 31744]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2012-04-19 336952]
"PWMTRV"="c:\progra~1\ThinkPad\UTILIT~1\PWMTR32V.DLL" [2011-08-31 1320296]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-08-18 176408]
"LENOVO.TPKNRRES"="c:\program files\Lenovo\Communications Utility\TPKNRRES.exe" [2011-05-31 40808]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-03-26 421736]
"IME14 CHS Setup"="c:\progra~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE" [2012-03-13 81200]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-08-18 142616]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-08-18 177432]
"ForteConfig"="c:\program files\Conexant\ForteConfig\fmapp.exe" [2010-10-26 49568]
"ALCKRESI.EXE"="c:\program files\Lenovo\AutoLock\ALCKRESI.EXE" [2011-05-25 281960]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2012-01-03 815512]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\keyboard layouts\e0200804]
IME File REG_SZ IMSC14.IME
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\keyboard layouts\e0210804]
IME File REG_SZ IMSCE14.IME
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2012-01-03 13:10 36760 ----a-w- c:\program files\Adobe\Acrobat 10.0\Acrobat\acrobat_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 13:10 843712 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-02-20 13:28 59240 ----a-w- c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]
2010-03-13 06:54 91520 ----a-w- c:\program files\Microsoft Office\Office14\BCSSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
2012-07-03 02:59 6077848 ----a-w- c:\program files\BitTorrent\BitTorrent.exe
.
R2 HyperW7Svc;HyperW7 Service;c:\program files\Lenovo\RapidBoot\HyperW7Svc.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 ASOVPNHelper;Astrill OpenVPN Service;c:\program files\Astrill\ASOvpnSvc.exe [x]
R3 ASProxy;ASProxy;c:\program files\Astrill\ASProxy.exe [x]
R3 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [x]
R3 DozeSvc;Lenovo Doze Mode Service;c:\program files\ThinkPad\Utilities\DOZESVC.EXE [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [x]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [x]
R3 Power Manager DBC Service;Power Manager DBC Service;c:\program files\ThinkPad\Utilities\PWMDBSVC.EXE [x]
R3 PwmEWSvc;Cisco EnergyWise Enabler;c:\program files\ThinkPad\Utilities\PWMEWSVC.EXE [x]
R3 TcHardWare;TcHardWare;c:\program files\Tencent\QQPCMgr\4.7.1303.400\QQPCHW.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [x]
S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [x]
S0 DozeHDD;DozeHDD;c:\windows\System32\DRIVERS\DozeHDD.sys [x]
S0 TPDIGIMN;TPDIGIMN;c:\windows\System32\DRIVERS\ApsHM86.sys [x]
S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [x]
S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\DRIVERS\smiif32.sys [x]
S1 PHCORE;PHCORE;c:\program files\Lenovo\RapidBoot\PHCORE.SYS [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [x]
S2 CxAudMsg;Conexant Audio Message Service;c:\windows\system32\CxAudMsg32.exe [x]
S2 ImeDictUpdateService;Microsoft IME Dictionary Update;c:\program files\Common Files\Microsoft Shared\IME14\SHARED\IMEDICTUPDATE.EXE [x]
S2 jhi_service;Intel(R) Identity Protection Technology Host Interface Service;c:\program files\Intel\Services\IPT\jhi_service.exe [x]
S2 LENOVO.CAMMUTE;Lenovo Camera Mute;c:\program files\Lenovo\Communications Utility\CAMMUTE.exe [x]
S2 LENOVO.MICMUTE;Lenovo Microphone Mute;c:\program files\LENOVO\HOTKEY\MICMUTE.exe [x]
S2 LENOVO.TPKNRSVC;Lenovo Keyboard Noise Reduction;c:\program files\Lenovo\Communications Utility\TPKNRSVC.exe [x]
S2 Lenovo.VIRTSCRLSVC;Lenovo Auto Scroll;c:\program files\LENOVO\VIRTSCRL\lvvsst.exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S2 risdxc;risdxc;c:\windows\system32\DRIVERS\risdxc86.sys [x]
S2 SAService;Conexant SmartAudio service;c:\windows\system32\SAsrv.exe [x]
S2 SROSVC;Screen Reading Optimizer Service Program;c:\program files\Lenovo\Screen Reading Optimizer\SROSVC.exe [x]
S2 TPHKLOAD;Lenovo Hotkey Client Loader;c:\program files\LENOVO\HOTKEY\TPHKLOAD.exe [x]
S2 TPHKSVC;On Screen Display;c:\program files\LENOVO\HOTKEY\TPHKSVC.exe [x]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
S3 5U877;USB Video Device;c:\windows\system32\DRIVERS\5U877.sys [x]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [x]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [x]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys [x]
S3 e1cexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver C;c:\windows\system32\DRIVERS\e1c6232.sys [x]
S3 IntcDAud;???(R) ?????;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 MEI;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECI.sys [x]
S3 RTL8192Ce;Realtek Wireless LAN 802.11n PCI-E NIC Driver;c:\windows\system32\DRIVERS\rtl8192Ce.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
XLServicePlatform REG_MULTI_SZ XLServicePlatform
.
`????' ??? ????
.
2012-08-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2188159331-2074844314-1143547654-1001Core.job
- c:\users\think\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-24 13:50]
.
2012-08-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2188159331-2074844314-1143547654-1001UA.job
- c:\users\think\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-24 13:50]
.
.
------- ????? -------
.
uStart Page = hxxp://www.hao123.com/?tn=54066025_1_hao_pg
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000
IE: Se&nd to OneNote - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105
LSP: c:\windows\system32\ASProxy.dll
TCP: DhcpNameServer = 180.168.255.118 116.228.111.18
.
- - - - ORPHANS REMOVED - - - -
.
Toolbar-Locked - (no file)
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
????: 2012-08-13 21:22:15
ComboFix-quarantined-files.txt 2012-08-13 13:22
.
Pre-Run: 21,852,803,072 bytes free
Post-Run: 22,161,625,088 bytes free
.
- - End Of File - - AAC76C66766EE8B3BADC1731869EE980
0
Réponse 10 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
Modifié par Fish66 le 13/08/2012 à 18:30
Re,
Il reste encore un peu de travail! :-)
================
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
-----------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
* Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
__________________________________________________

KillAll::

Folder::
c:\program files\BitTorrent
c:\program files\Tencent

Driver::
TcHardWare

DDS::
uStart Page = hxxp://www.hao123.com/?tn=54066025_1_hao_pg

__________________________________________________

* Enregistre ce fichier sous le nom CFScript
* Fait un glisser/déposer de ce fichier CFScript sur le fichier
ComboFix.exe comme sur : cette capture
* Combofix se lance, laisse toi guider..

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

_ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 11 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
13 août 2012 à 19:20
Salut Fish,

Je viens de finir le scan combofix comme demande.

J ai redemarre mon PC et toujours le meme probleme lors de l'utilisation de Word ou de Outlook qui freeze tout mon systeme...
Parallelement a ca, j'ai reactive MBAM et il m'a indique que j'ai eu plusieurs tentatives sortantes de connexion a des sites malveillants (Adresses de ces sites en 222.73.49.125).

Je te met le rapport ci-dessous.

J'espere que ce n'etait pas la derniere option!

Merci pour ton aide.

Charly.


ComboFix 12-08-10.02 - think 2012-08-14 0:51.2.4 - x86
Microsoft Windows 7 Home Basic 6.1.7601.1.936.86.1033.18.3493.2266 [GMT 8:00]
????: c:\users\think\Desktop\charly_sh.exe
Command switches used :: c:\users\think\Desktop\CFScript.txt
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* ????????
.
.
((((((((((((((((((((((((((((((((((((((( ?????? )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\BitTorrent
c:\program files\BitTorrent\BitTorrent.exe
c:\program files\Tencent
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\bidconfig_v1.2.dat
c:\users\think\AppData\Local\Microsoft\Windows\Temporary Internet Files\collecttask_v1.2.dat
.
.
((((((((((((((((((((((((((((((((((((((( ??/?? )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_TCHARDWARE
-------\Service_TcHardWare
.
.
((((((((((((((((((((((((( 2012-07-13 ? 2012-08-13 ????? )))))))))))))))))))))))))))))))
.
.
2012-08-13 17:02 . 2012-08-13 17:04 -------- d-----w- c:\users\think\AppData\Local\temp
2012-08-13 17:02 . 2012-08-13 17:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-13 16:01 . 2012-08-13 16:01 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-08-13 09:20 . 2012-08-13 09:20 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2012-08-13 08:54 . 2012-08-13 08:54 -------- d-----w- c:\users\think\AppData\Roaming\PwrMgr
2012-08-12 16:51 . 2012-08-12 16:51 -------- d-----w- c:\users\think\AppData\Roaming\Malwarebytes
2012-08-12 16:50 . 2012-08-12 16:50 -------- d-----w- c:\programdata\Malwarebytes
2012-08-12 16:50 . 2012-07-03 05:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-12 16:50 . 2012-08-12 16:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-12 15:25 . 2012-08-12 15:25 -------- d-----w- C:\$AVG
2012-08-12 14:25 . 2012-08-12 14:25 -------- d-----w- c:\users\think\AppData\Roaming\AVG2012
2012-08-12 14:20 . 2012-08-13 00:28 -------- d-----w- c:\windows\system32\drivers\AVG
2012-08-12 14:20 . 2012-08-12 14:30 -------- d-----w- c:\programdata\AVG2012
2012-08-12 14:20 . 2012-08-12 14:20 -------- d-----w- c:\program files\AVG
2012-08-12 14:14 . 2012-08-12 14:14 -------- d--h--w- c:\programdata\Common Files
2012-08-12 14:13 . 2012-08-13 09:39 -------- d-----w- c:\programdata\MFAData
2012-08-12 13:55 . 2012-08-13 09:20 -------- d-----w- c:\program files\ZHPDiag
2012-08-12 13:55 . 2012-08-13 09:17 -------- d-----w- C:\ZHP
2012-08-12 10:39 . 2012-08-12 10:39 388096 ----a-r- c:\users\think\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-08-12 10:39 . 2012-08-12 10:39 -------- d-----w- c:\program files\Trend Micro
2012-08-11 05:05 . 2012-06-29 08:44 6891424 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9B3C9976-C8B7-4234-94A4-5332A8EBEC0F}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( ??????????? ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-12 02:40 . 2012-07-11 04:25 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-06-06 05:05 . 2012-07-11 00:29 1390080 ----a-w- c:\windows\system32\msxml6.dll
2012-06-06 05:05 . 2012-07-11 00:29 1236992 ----a-w- c:\windows\system32\msxml3.dll
2012-06-06 05:03 . 2012-07-11 00:29 805376 ----a-w- c:\windows\system32\cdosys.dll
2012-06-02 22:19 . 2012-06-25 05:16 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-25 05:16 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-25 05:16 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-25 05:16 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-25 05:16 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-25 05:16 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-25 05:16 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-02 08:33 . 2012-07-11 04:26 1800192 ----a-w- c:\windows\system32\jscript9.dll
2012-06-02 08:25 . 2012-07-11 04:26 1129472 ----a-w- c:\windows\system32\wininet.dll
2012-06-02 08:25 . 2012-07-11 04:26 1427968 ----a-w- c:\windows\system32\inetcpl.cpl
2012-06-02 08:20 . 2012-07-11 04:26 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2012-06-02 08:16 . 2012-07-11 04:26 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-06-02 07:19 . 2012-06-25 05:16 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-02 07:12 . 2012-06-25 05:16 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-02 04:45 . 2012-07-11 00:30 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-06-02 04:45 . 2012-07-11 00:30 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-06-02 04:40 . 2012-07-11 00:30 369336 ----a-w- c:\windows\system32\drivers\cng.sys
2012-06-02 04:40 . 2012-07-11 00:30 225280 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 04:39 . 2012-07-11 00:30 219136 ----a-w- c:\windows\system32\ncrypt.dll
2012-05-31 04:25 . 2012-05-24 04:28 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-05-25 01:12 . 2012-05-25 01:12 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2012-05-23 05:06 . 2012-05-23 05:06 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-23 05:06 . 2012-05-23 05:06 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-22 10:06 . 2010-06-24 03:33 19736 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
.
.
((((((((((((((((((((((((((((((((((((( ????? ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*??* ???????????????
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AAADesktopTips]
@="{4562B511-62E9-4533-B7B2-56A8BB10B482}"
[HKEY_CLASSES_ROOT\CLSID\{4562B511-62E9-4533-B7B2-56A8BB10B482}]
2012-02-21 10:32 247408 ----a-w- c:\program files\Common Files\Thunder Network\Kankan\xappex.1.1.1.38.(880).dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TpShocks"="TpShocks.exe" [2011-01-14 337256]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2011-05-19 2270504]
"SmartAudio"="c:\program files\CONEXANT\SAII\SAIICpl.exe" [2011-03-14 316032]
"RotateImage"="c:\program files\Integrated Camera Driver\RCIMGDIR.exe" [2008-10-30 31744]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2012-04-19 336952]
"PWMTRV"="c:\progra~1\ThinkPad\UTILIT~1\PWMTR32V.DLL" [2011-08-31 1320296]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-08-18 176408]
"LENOVO.TPKNRRES"="c:\program files\Lenovo\Communications Utility\TPKNRRES.exe" [2011-05-31 40808]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-03-26 421736]
"IME14 CHS Setup"="c:\progra~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE" [2012-03-13 81200]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-08-18 142616]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-08-18 177432]
"ForteConfig"="c:\program files\Conexant\ForteConfig\fmapp.exe" [2010-10-26 49568]
"ALCKRESI.EXE"="c:\program files\Lenovo\AutoLock\ALCKRESI.EXE" [2011-05-25 281960]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2012-01-03 815512]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\keyboard layouts\e0200804]
IME File REG_SZ IMSC14.IME
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\keyboard layouts\e0210804]
IME File REG_SZ IMSCE14.IME
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2012-01-03 13:10 36760 ----a-w- c:\program files\Adobe\Acrobat 10.0\Acrobat\acrobat_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 13:10 843712 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-02-20 13:28 59240 ----a-w- c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]
2010-03-13 06:54 91520 ----a-w- c:\program files\Microsoft Office\Office14\BCSSync.exe
.
R2 HyperW7Svc;HyperW7 Service;c:\program files\Lenovo\RapidBoot\HyperW7Svc.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 ASOVPNHelper;Astrill OpenVPN Service;c:\program files\Astrill\ASOvpnSvc.exe [x]
R3 ASProxy;ASProxy;c:\program files\Astrill\ASProxy.exe [x]
R3 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [x]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [x]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [x]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys [x]
R3 DozeSvc;Lenovo Doze Mode Service;c:\program files\ThinkPad\Utilities\DOZESVC.EXE [x]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [x]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [x]
R3 Power Manager DBC Service;Power Manager DBC Service;c:\program files\ThinkPad\Utilities\PWMDBSVC.EXE [x]
R3 PwmEWSvc;Cisco EnergyWise Enabler;c:\program files\ThinkPad\Utilities\PWMEWSVC.EXE [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [x]
S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [x]
S0 DozeHDD;DozeHDD;c:\windows\System32\DRIVERS\DozeHDD.sys [x]
S0 TPDIGIMN;TPDIGIMN;c:\windows\System32\DRIVERS\ApsHM86.sys [x]
S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [x]
S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\DRIVERS\smiif32.sys [x]
S1 PHCORE;PHCORE;c:\program files\Lenovo\RapidBoot\PHCORE.SYS [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [x]
S2 CxAudMsg;Conexant Audio Message Service;c:\windows\system32\CxAudMsg32.exe [x]
S2 ImeDictUpdateService;Microsoft IME Dictionary Update;c:\program files\Common Files\Microsoft Shared\IME14\SHARED\IMEDICTUPDATE.EXE [x]
S2 jhi_service;Intel(R) Identity Protection Technology Host Interface Service;c:\program files\Intel\Services\IPT\jhi_service.exe [x]
S2 LENOVO.CAMMUTE;Lenovo Camera Mute;c:\program files\Lenovo\Communications Utility\CAMMUTE.exe [x]
S2 LENOVO.MICMUTE;Lenovo Microphone Mute;c:\program files\LENOVO\HOTKEY\MICMUTE.exe [x]
S2 LENOVO.TPKNRSVC;Lenovo Keyboard Noise Reduction;c:\program files\Lenovo\Communications Utility\TPKNRSVC.exe [x]
S2 Lenovo.VIRTSCRLSVC;Lenovo Auto Scroll;c:\program files\LENOVO\VIRTSCRL\lvvsst.exe [x]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S2 risdxc;risdxc;c:\windows\system32\DRIVERS\risdxc86.sys [x]
S2 SAService;Conexant SmartAudio service;c:\windows\system32\SAsrv.exe [x]
S2 SROSVC;Screen Reading Optimizer Service Program;c:\program files\Lenovo\Screen Reading Optimizer\SROSVC.exe [x]
S2 TPHKLOAD;Lenovo Hotkey Client Loader;c:\program files\LENOVO\HOTKEY\TPHKLOAD.exe [x]
S2 TPHKSVC;On Screen Display;c:\program files\LENOVO\HOTKEY\TPHKSVC.exe [x]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
S3 5U877;USB Video Device;c:\windows\system32\DRIVERS\5U877.sys [x]
S3 e1cexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver C;c:\windows\system32\DRIVERS\e1c6232.sys [x]
S3 IntcDAud;???(R) ?????;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 MEI;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECI.sys [x]
S3 RTL8192Ce;Realtek Wireless LAN 802.11n PCI-E NIC Driver;c:\windows\system32\DRIVERS\rtl8192Ce.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
XLServicePlatform REG_MULTI_SZ XLServicePlatform
.
`????' ??? ????
.
2012-08-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2188159331-2074844314-1143547654-1001Core.job
- c:\users\think\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-24 13:50]
.
2012-08-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2188159331-2074844314-1143547654-1001UA.job
- c:\users\think\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-24 13:50]
.
.
------- ????? -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000
IE: Se&nd to OneNote - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105
LSP: c:\windows\system32\ASProxy.dll
TCP: DhcpNameServer = 180.168.255.118 116.228.111.18
.
- - - - ORPHANS REMOVED - - - -
.
MSConfigStartUp-BitTorrent - c:\program files\BitTorrent\BitTorrent.exe
AddRemove-BitTorrent - c:\program files\BitTorrent\BitTorrent.exe
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- ??????????? ---------------------
.
- - - - - - - > 'Explorer.exe'(9636)
c:\program files\Common Files\Thunder Network\KanKan\xappex.1.1.1.38.(880).dll
c:\users\Public\Thunder Network\KanKan\Pusher\xappdrv.1.0.0.12.dll
c:\program files\ThinkPad\Utilities\PWMTR32V.DLL
c:\progra~1\ThinkPad\UTILIT~1\US\PWMRT32V.DLL
c:\progra~1\ThinkPad\UTILIT~1\PWMIF32V.DLL
.
------------------------ ?????? ------------------------
.
c:\progra~1\AVG\AVG2012\avgrsx.exe
c:\program files\AVG\AVG2012\avgcsrvx.exe
c:\windows\system32\ibmpmsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\progra~1\Lenovo\HOTKEY\tpnumlk.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\AVG\AVG2012\avgnsx.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\progra~1\LENOVO\VIRTSCRL\virtscrl.exe
c:\progra~1\Lenovo\HOTKEY\tpnumlkd.exe
c:\windows\system32\taskhost.exe
c:\windows\System32\rundll32.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\rundll32.exe
c:\progra~1\Lenovo\Zoom\TPSCREX.EXE
c:\progra~1\Lenovo\HOTKEY\TPONSCR.EXE
c:\windows\system32\conhost.exe
c:\program files\Lenovo\Screen Reading Optimizer\SRORest.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\System32\TpShocks.exe
c:\windows\System32\rundll32.exe
c:\program files\iPod\bin\iPodService.exe
c:\progra~1\ThinkPad\UTILIT~1\SCHTASK.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Common Files\Microsoft Shared\IME14\SHARED\IMECMNT.EXE
c:\program files\Lenovo\message center plus\mcplaunch.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\system32\sppsvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Lenovo\System Update\SUService.exe
.
**************************************************************************
.
????: 2012-08-14 01:06:57 - ???????
ComboFix-quarantined-files.txt 2012-08-13 17:06
ComboFix2.txt 2012-08-13 13:22
.
Pre-Run: 21,797,298,176 bytes free
Post-Run: 21,924,843,520 bytes free
.
- - End Of File - - 0B062B1BEFA9660E9009957FC0D49392
0
Réponse 12 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
15 août 2012 à 02:45
Hello Fish,

Le scan complet Dr Web bug systematiquement, je suis donc incapable de te fournir le log...

Aurais tu une solution alternative, ou suis-je contraint de formater mon DD et reinstaller Windows ETC?

Merci
0
Réponse 13 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
15 août 2012 à 08:49
Bonjour,
* Ce live CD contient DrWeb CureIt, un antivirus. Le principal avantage du live CD est qu'il permet d'être chargé avant le démarrage de windows.
* Il peut donc être utilisé même si l'ordinateur ne démarre plus.

/!\ Le temps d'analyse peut être très long si l'ordinateur possède beaucoup de données /!\

Tu vas effectuer les deux étapes citées ci-dessous :

* Etape N° 1 : elle s'effectue sur un PC fonctionnel disposant d'un graveur, la deuxième étape s'effectue sur le PC infecté qui ne démarre pas.

****** Etape n°1 : Téléchargement/Gravure du Live CD ******

[x] Télécharge le live CD de DrWeb à cette adresse : ftp://ftp.drweb.com/pub/drweb/livecd/
( prendre le .iso )

[x] Une fois le téléchargement fini, il faut que tu graves l'image ISO sur un CD vierge. Pour ce faire, suis ce tutoriel : https://www.commentcamarche.net/faq/3942-graver-une-image-disque-iso-nrg

****** Etape n°2 : Utilisation du Live CD ******

[x] Une fois en possession du CD correctement gravé, place le dans le lecteur CD du PC infecté.

[x] Redémarre celui ci. Au redémarrage, le live CD se chargera de lui même.

[x] A l'écran principal, sélectionne [Dr.Web LiveCD (Default)] puis appuie sur [Entrée]

[x] Patiente pendant le chargement du système.

[x] Une fois arrivé sur le bureau, une fenêtre "Dr.Web Scanner" s'ouvrira.

[x] Dans la partie supérieure, coche toutes les partitions présentes ( C: , etc.. ) et vérifie que la case "Scan subdirectories" est également cochée.

[x] Clique maintenant sur le rond vert ( Update Bases ) afin de mettre à jour DrWeb.

[x] Une fois la mise à jour terminée, clique sur [Start] pour lancer l'analyse.

[x] Une fois l'analyse terminée, clique sur [Select All] puis sur [Cure]

[x] Clique sur l'icône " Terminal " ( icône en forme de carré noir tout en bas à gauche du bureau )

[x] Tape la commande suivante dans le terminal :

leafpad /root/.drweb/logs/scanner.log

[x] Valide en appuyant sur [Entrée] pour ouvrir le rapport de DrWeb.

[x] Poste son contenu dans ton prochain message en accédant à ce sujet directement via le live CD de DrWeb ( Firefox ).


Note : Si le PC ne démarre pas sur le CD, c'est qu'il faut modifier la séquence de démarrage du BIOS.
Un tutoriel est disponible ici : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot pour t'aider à modifier ces paramètres.
0
Réponse 14 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
15 août 2012 à 10:30
Salut Fish,

Le probleme ets que mon Lenovo ne dispose pas de lecteur CD.

Y-a-t-il une solution alternative pour mon cas? (Ex: utiliser power iso et son lecteur virtuel?)

Merci!
0
Réponse 15 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
15 août 2012 à 10:56
Tu peux mettre le CD Live sur une clef USB

Tu trouveras toutes les informations nécessaires ici :
* https://forum.malekal.com/viewtopic.php?t=21820&start=

0
Réponse 16 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
15 août 2012 à 16:53
Salut Fish,

Je desespere car petousb ne reconnait mas mc lef USB, et wintoflash n arrive pas a configurer ma clef, Message d erreur ci-dessous:


Can't find file C:\Users\think\Desktop\OTLPENet\sources\boot.wim
Can't find file C:\Users\think\Desktop\OTLPENet\bootmgr
Can't find folder C:\Users\think\Desktop\OTLPENet\boot\

Qu'en penses-tu?

Merci,

Charly.
0
Réponse 17 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
15 août 2012 à 18:28
Re,
* Est ce que la clé USB est en bonne état ?
* Tu peux essayer une autre fois, si ca ne marche pas, malheureusement je n'ai pas d'autres solutions et il ne reste qu'à formater !!!
0
Réponse 18 / 19
charly_sh Messages postés 11 Date d'inscription dimanche 12 août 2012 Statut Membre Dernière intervention 15 août 2012 1
15 août 2012 à 19:05
Ok, je vais ressayer avec une autre clef USB.

et effectivement je vais peut etre devoir formater!

Merci en tout cas pour ton support, et si j y arrive finalement je te tiens au jus.

Merci!
0
Réponse 19 / 19
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
15 août 2012 à 19:31
De rien et bon courage!!
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Colis SHEIN
Louise -
Jean -

28 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses