Virus TR/Sirefef.A.50
chrisetx
Messages postés
22
Statut
Membre
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai un souci avec un virus (trojan) détecté toutes les 3min par Avira.
Voici le lien du virus répertorié chez Avira :
http://www.avira.com/en/support-threats-summary/tid/7656/tlang/en
J'ai aussi une ou deux fois eu une autre alerte, genre TR/Rogue et peut etre un autre aussi.
Je précise que c'est bien la 1ere fois en 15 ans de surf que je n'arrive pas à m'en débarrasser, je fais bien attention mais là j'ai du le choper sur un site de pièces détachées pour électroménager et je n'ai rien vu venir.
A la base, c'est le virus "Live security platinium" (faux antivir) qui s'est installé et a du ouvrir une faille. J'ai je pense réussi à le supprimer mais avira détecte encore tout cela toutes les 3min.
J'ai passé plein de scan genre AD-R, Malwarebyte, Spyhunter, TDSSkiller, spybot...sans succès. Après je n'ai rien modifié comme code, juste scanné et nettoyé.
Si quelqu'un peut m'aider ou a des infos je suis preneur car pour le moment à part la sonnerie Avira je n'ai pas de problème mais je ne pense pas que cela puisse durer. Merci d'avance.
J'ai un souci avec un virus (trojan) détecté toutes les 3min par Avira.
Voici le lien du virus répertorié chez Avira :
http://www.avira.com/en/support-threats-summary/tid/7656/tlang/en
J'ai aussi une ou deux fois eu une autre alerte, genre TR/Rogue et peut etre un autre aussi.
Je précise que c'est bien la 1ere fois en 15 ans de surf que je n'arrive pas à m'en débarrasser, je fais bien attention mais là j'ai du le choper sur un site de pièces détachées pour électroménager et je n'ai rien vu venir.
A la base, c'est le virus "Live security platinium" (faux antivir) qui s'est installé et a du ouvrir une faille. J'ai je pense réussi à le supprimer mais avira détecte encore tout cela toutes les 3min.
J'ai passé plein de scan genre AD-R, Malwarebyte, Spyhunter, TDSSkiller, spybot...sans succès. Après je n'ai rien modifié comme code, juste scanné et nettoyé.
Si quelqu'un peut m'aider ou a des infos je suis preneur car pour le moment à part la sonnerie Avira je n'ai pas de problème mais je ne pense pas que cela puisse durer. Merci d'avance.
A voir également:
- Virus TR/Sirefef.A.50
- Virus mcafee - Accueil - Piratage
- Softonic virus ✓ - Forum Virus
- Virus facebook demande d'amis - Accueil - Facebook
- 06 50 quel opérateur ✓ - Forum Orange
- Virus informatique - Guide
21 réponses
hello c'est quoi cette prise en charge ????
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
merci de suivre ceci : https://forums.commentcamarche.net/forum/affich-25974748-virus-tr-sirefef-a-50#23
Désinstalle Spybot et SpyHunter
Inutile et très inutile
======================
▶ Télécharge sur cette page: AdwCleaner (de Xplode)
▶ Lance-le
clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
======================
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
● Uniquement en cas de problème de mise à jour:
● Télécharger mises à jour manuelles MBAM
● Exécute le fichier après l'installation de MBAM
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
Inutile et très inutile
======================
▶ Télécharge sur cette page: AdwCleaner (de Xplode)
▶ Lance-le
clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
======================
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
● Uniquement en cas de problème de mise à jour:
● Télécharger mises à jour manuelles MBAM
● Exécute le fichier après l'installation de MBAM
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Et le rapport RogueKiller :
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : _ [Droits d'admin]
Mode : Recherche -- Date : 31/08/2012 16:49:57
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy171.ac-dijon.fr:3128) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-4249258000-1679446350-1100494931-1000\$cced714b348e29baf6a11cacf2a4ea0f\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82866DE5 -> HOOKED (Unknown @ 0x8C6C4B96)
SSDT[276] : NtRequestWaitReplyPort @ 0x82878F90 -> HOOKED (Unknown @ 0x8C6C4BA0)
SSDT[289] : NtSetContextThread @ 0x828C806F -> HOOKED (Unknown @ 0x8C6C4B9B)
SSDT[314] : NtSetSecurityObject @ 0x827F5038 -> HOOKED (Unknown @ 0x8C6C4BA5)
SSDT[332] : NtSystemDebugControl @ 0x8282DEC1 -> HOOKED (Unknown @ 0x8C6C4BAA)
SSDT[334] : NtTerminateProcess @ 0x82826143 -> HOOKED (Unknown @ 0x8C6C4B37)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8C6C4BBE)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8C6C4BC3)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 ATA Device +++++
--- User ---
[MBR] 9e4ec042fbeba2c0824041ec6aba1049
[BSP] 5605fae4f07814a3ed28a8c84c6a7a6d : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20482048 | Size: 71317 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166539264 | Size: 71308 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : _ [Droits d'admin]
Mode : Recherche -- Date : 31/08/2012 16:49:57
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy171.ac-dijon.fr:3128) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-4249258000-1679446350-1100494931-1000\$cced714b348e29baf6a11cacf2a4ea0f\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82866DE5 -> HOOKED (Unknown @ 0x8C6C4B96)
SSDT[276] : NtRequestWaitReplyPort @ 0x82878F90 -> HOOKED (Unknown @ 0x8C6C4BA0)
SSDT[289] : NtSetContextThread @ 0x828C806F -> HOOKED (Unknown @ 0x8C6C4B9B)
SSDT[314] : NtSetSecurityObject @ 0x827F5038 -> HOOKED (Unknown @ 0x8C6C4BA5)
SSDT[332] : NtSystemDebugControl @ 0x8282DEC1 -> HOOKED (Unknown @ 0x8C6C4BAA)
SSDT[334] : NtTerminateProcess @ 0x82826143 -> HOOKED (Unknown @ 0x8C6C4B37)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8C6C4BBE)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8C6C4BC3)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 ATA Device +++++
--- User ---
[MBR] 9e4ec042fbeba2c0824041ec6aba1049
[BSP] 5605fae4f07814a3ed28a8c84c6a7a6d : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20482048 | Size: 71317 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166539264 | Size: 71308 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Bon, cela a été long mais bénéfique je crois: j'ai cru voir pendant la suppression le nom des fichiers où je pense qu'il y avait les trojans...Avira n'a pas sonné au démarrage en plus pour le moment... Je mets quand même le rapport Combo pour être sur :
ComboFix 12-08-30.05 - _ 31/08/2012 17:03:22.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3000.1701 [GMT 2:00]
Lancé depuis: c:\users\_\Desktop\chrisetx.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\@
c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\n
c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U\80000000.@
c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U\800000cb.@
C:\DFRCECD.tmp
c:\windows\system32\Cache
c:\windows\system32\Oleaut32.1
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-28 au 2012-08-31 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-31 15:16 . 2012-08-31 15:22 -------- d-----w- c:\users\_\AppData\Local\temp
2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Mcx1\AppData\Local\temp
2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Elève\AppData\Local\temp
2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-31 14:39 . 2012-08-31 14:39 -------- d-----w- c:\program files\ZHPDiag
2012-08-31 14:10 . 2012-08-31 14:42 -------- d-----w- C:\ZHP
2012-08-31 14:08 . 2012-08-31 14:08 -------- d-----w- c:\program files\ZHPFix
2012-08-31 11:10 . 2012-08-31 11:10 -------- d-----w- c:\program files\Ad-Remover
2012-08-31 09:22 . 2012-08-31 09:22 -------- d-----w- C:\TDSSKiller_Quarantine
2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconF7A21AF7.exe
2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconD7F16134.exe
2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconCAE74F08.exe
2012-08-30 07:16 . 2012-08-30 07:20 -------- d-----w- c:\windows\9890A983C203434CB2B02099E29FB7ED.TMP
2012-08-29 20:01 . 2012-08-29 20:01 -------- d-----w- c:\users\_\AppData\Roaming\Malwarebytes
2012-08-29 20:01 . 2012-08-29 20:01 -------- d-----w- c:\programdata\Malwarebytes
2012-08-29 20:01 . 2012-08-29 20:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-29 20:01 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-29 19:54 . 2012-08-30 07:20 -------- d-----w- C:\sh4ldr
2012-08-29 19:54 . 2012-08-29 19:54 -------- d-----w- c:\program files\Enigma Software Group
2012-08-29 19:54 . 2012-08-30 07:20 -------- d-----w- c:\windows\E89CB20F47BF47399536CA74215185AE.TMP
2012-08-29 19:54 . 2012-08-30 07:16 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2012-08-29 09:57 . 2012-08-29 15:59 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2012-08-29 09:57 . 2012-08-29 09:57 -------- d-----w- c:\program files\Spybot - Search & Destroy
2012-08-29 09:29 . 2012-08-29 09:31 -------- d-----w- c:\programdata\036DFF980000035702CA74452F3B707C
2012-08-15 06:54 . 2012-05-11 15:57 623616 ----a-w- c:\windows\system32\localspl.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-29 09:29 . 2012-03-31 06:59 696520 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-29 09:29 . 2011-05-16 05:33 73416 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-23 07:15 . 2012-08-29 05:45 7022536 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{157514C5-E516-48EB-AF36-4685C70737B8}\mpengine.dll
2012-08-13 19:34 . 2011-12-18 08:17 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-08-13 19:34 . 2011-12-18 08:17 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-06-06 18:59 . 2012-06-06 18:59 1070152 ----a-w- c:\windows\system32\MSCOMCTL.OCX
2012-06-05 16:47 . 2012-07-12 06:24 1401856 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 16:47 . 2012-07-12 06:24 1248768 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 15:26 . 2012-07-12 06:24 440704 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-06-02 22:19 . 2012-06-21 05:34 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-21 05:34 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-21 05:34 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-21 05:33 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-21 05:34 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-21 05:34 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-21 05:34 88576 ----a-w- c:\windows\system32\wudriver.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-05-14 15:05 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-26 39408]
"KiesHelper"="c:\program files\Samsung\Kies\KiesHelper.exe" [2011-01-29 888120]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2011-01-29 3372856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1049896]
"BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-06 34040]
"RtHDVCpl"="RtHDVCpl.exe" [2008-06-13 6183456]
"Skytel"="Skytel.exe" [2007-11-21 1826816]
"PLFSetI"="c:\windows\PLFSetI.exe" [2007-10-23 200704]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-09-10 809480]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-05-14 526896]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-06-11 409600]
"WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-13 348664]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\Elève\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Camera Monitor HD.lnk - c:\program files\PIXELA\Everio MediaBrowser HD Edition\MBCameraMonitor.exe [2009-11-8 541976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 16:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-31 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 09:29]
.
2012-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-18 12:31]
.
2012-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-18 12:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = proxy171.ac-dijon.fr:3128
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20111123062837
FF - ProfilePath - c:\users\_\AppData\Roaming\Mozilla\Firefox\Profiles\5tkoa6pv.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=244506&p=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-10 - (no file)
HKCU-Run-Facebook Update - c:\users\_\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM-Run-eRecoveryService - (no file)
HKLM-Run-NPSStartup - (no file)
SafeBoot-62305102.sys
AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe
AddRemove-EADM - c:\program files\Electronic Arts\EADM\Uninstall.exe
AddRemove-Utilitaires Sierra - c:\program files\Sierra On-Line\sutil32.exe
AddRemove-Windows Live OneCare safety scanner - c:\program files\Windows Live Safety Center\UnInstall.exe
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
.
.
.
**************************************************************************
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés:
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msiserver]
"ImagePath"="%systemroot%\system32\msiexec /V"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(2728)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
c:\program files\Acer\Empowering Technology\Service\ETService.exe
c:\windows\system32\FsUsbExService.Exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\conime.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2012-08-31 17:32:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-08-31 15:31
.
Avant-CF: 33 203 957 760 octets libres
Après-CF: 33 652 826 112 octets libres
.
- - End Of File - - 09012EDA254DDD6B87FEB484C857D8C0
ComboFix 12-08-30.05 - _ 31/08/2012 17:03:22.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3000.1701 [GMT 2:00]
Lancé depuis: c:\users\_\Desktop\chrisetx.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\@
c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\n
c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U\80000000.@
c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U\800000cb.@
C:\DFRCECD.tmp
c:\windows\system32\Cache
c:\windows\system32\Oleaut32.1
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-07-28 au 2012-08-31 ))))))))))))))))))))))))))))))))))))
.
.
2012-08-31 15:16 . 2012-08-31 15:22 -------- d-----w- c:\users\_\AppData\Local\temp
2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Mcx1\AppData\Local\temp
2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Elève\AppData\Local\temp
2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-31 14:39 . 2012-08-31 14:39 -------- d-----w- c:\program files\ZHPDiag
2012-08-31 14:10 . 2012-08-31 14:42 -------- d-----w- C:\ZHP
2012-08-31 14:08 . 2012-08-31 14:08 -------- d-----w- c:\program files\ZHPFix
2012-08-31 11:10 . 2012-08-31 11:10 -------- d-----w- c:\program files\Ad-Remover
2012-08-31 09:22 . 2012-08-31 09:22 -------- d-----w- C:\TDSSKiller_Quarantine
2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconF7A21AF7.exe
2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconD7F16134.exe
2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconCAE74F08.exe
2012-08-30 07:16 . 2012-08-30 07:20 -------- d-----w- c:\windows\9890A983C203434CB2B02099E29FB7ED.TMP
2012-08-29 20:01 . 2012-08-29 20:01 -------- d-----w- c:\users\_\AppData\Roaming\Malwarebytes
2012-08-29 20:01 . 2012-08-29 20:01 -------- d-----w- c:\programdata\Malwarebytes
2012-08-29 20:01 . 2012-08-29 20:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-29 20:01 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-29 19:54 . 2012-08-30 07:20 -------- d-----w- C:\sh4ldr
2012-08-29 19:54 . 2012-08-29 19:54 -------- d-----w- c:\program files\Enigma Software Group
2012-08-29 19:54 . 2012-08-30 07:20 -------- d-----w- c:\windows\E89CB20F47BF47399536CA74215185AE.TMP
2012-08-29 19:54 . 2012-08-30 07:16 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2012-08-29 09:57 . 2012-08-29 15:59 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2012-08-29 09:57 . 2012-08-29 09:57 -------- d-----w- c:\program files\Spybot - Search & Destroy
2012-08-29 09:29 . 2012-08-29 09:31 -------- d-----w- c:\programdata\036DFF980000035702CA74452F3B707C
2012-08-15 06:54 . 2012-05-11 15:57 623616 ----a-w- c:\windows\system32\localspl.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-29 09:29 . 2012-03-31 06:59 696520 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-29 09:29 . 2011-05-16 05:33 73416 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-23 07:15 . 2012-08-29 05:45 7022536 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{157514C5-E516-48EB-AF36-4685C70737B8}\mpengine.dll
2012-08-13 19:34 . 2011-12-18 08:17 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-08-13 19:34 . 2011-12-18 08:17 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-06-06 18:59 . 2012-06-06 18:59 1070152 ----a-w- c:\windows\system32\MSCOMCTL.OCX
2012-06-05 16:47 . 2012-07-12 06:24 1401856 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 16:47 . 2012-07-12 06:24 1248768 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 15:26 . 2012-07-12 06:24 440704 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-06-02 22:19 . 2012-06-21 05:34 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-21 05:34 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-21 05:34 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-21 05:33 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-21 05:34 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-21 05:34 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-21 05:34 88576 ----a-w- c:\windows\system32\wudriver.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-05-14 15:05 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-26 39408]
"KiesHelper"="c:\program files\Samsung\Kies\KiesHelper.exe" [2011-01-29 888120]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2011-01-29 3372856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1049896]
"BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-06 34040]
"RtHDVCpl"="RtHDVCpl.exe" [2008-06-13 6183456]
"Skytel"="Skytel.exe" [2007-11-21 1826816]
"PLFSetI"="c:\windows\PLFSetI.exe" [2007-10-23 200704]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-09-10 809480]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-05-14 526896]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-06-11 409600]
"WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-13 348664]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\Elève\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Camera Monitor HD.lnk - c:\program files\PIXELA\Everio MediaBrowser HD Edition\MBCameraMonitor.exe [2009-11-8 541976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 16:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-08-31 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 09:29]
.
2012-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-18 12:31]
.
2012-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-18 12:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = proxy171.ac-dijon.fr:3128
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20111123062837
FF - ProfilePath - c:\users\_\AppData\Roaming\Mozilla\Firefox\Profiles\5tkoa6pv.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=244506&p=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-10 - (no file)
HKCU-Run-Facebook Update - c:\users\_\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM-Run-eRecoveryService - (no file)
HKLM-Run-NPSStartup - (no file)
SafeBoot-62305102.sys
AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe
AddRemove-EADM - c:\program files\Electronic Arts\EADM\Uninstall.exe
AddRemove-Utilitaires Sierra - c:\program files\Sierra On-Line\sutil32.exe
AddRemove-Windows Live OneCare safety scanner - c:\program files\Windows Live Safety Center\UnInstall.exe
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
.
.
.
**************************************************************************
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés:
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msiserver]
"ImagePath"="%systemroot%\system32\msiexec /V"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(2728)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
c:\program files\Acer\Empowering Technology\Service\ETService.exe
c:\windows\system32\FsUsbExService.Exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\conime.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2012-08-31 17:32:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-08-31 15:31
.
Avant-CF: 33 203 957 760 octets libres
Après-CF: 33 652 826 112 octets libres
.
- - End Of File - - 09012EDA254DDD6B87FEB484C857D8C0
Si cela confirme que je suis "clean", vous avez des conseils pour éviter que cela ne se reproduise, à part Avira ?
J'ai eu un nouveau truc : "icone google en bas à droite qui me disait que l'on tentait d'accéder aux paramètres google" pendant l'execution d'adw, c'est normal ?
Sinon le Rapport ADW et je fais la suite maintenant :
# AdwCleaner v2.000 - Rapport créé le 31/08/2012 à 17:57:07
# Mis à jour le 30/08/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : _ - PC-DE-_
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\_\Downloads\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
-\\ Mozilla Firefox v3.5.4 (fr)
Nom du profil : default
Fichier : C:\Users\_\AppData\Roaming\Mozilla\Firefox\Profiles\5tkoa6pv.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\_\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[R1].txt - [8891 octets] - [31/08/2012 13:17:22]
AdwCleaner[S1].txt - [9357 octets] - [31/08/2012 13:18:02]
AdwCleaner[S3].txt - [1268 octets] - [31/08/2012 13:57:55]
AdwCleaner[R2].txt - [1298 octets] - [31/08/2012 17:56:44]
AdwCleaner[S4].txt - [1351 octets] - [31/08/2012 17:57:07]
########## EOF - C:\AdwCleaner[S4].txt - [1411 octets] ##########
Sinon le Rapport ADW et je fais la suite maintenant :
# AdwCleaner v2.000 - Rapport créé le 31/08/2012 à 17:57:07
# Mis à jour le 30/08/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : _ - PC-DE-_
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\_\Downloads\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
-\\ Mozilla Firefox v3.5.4 (fr)
Nom du profil : default
Fichier : C:\Users\_\AppData\Roaming\Mozilla\Firefox\Profiles\5tkoa6pv.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\_\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[R1].txt - [8891 octets] - [31/08/2012 13:17:22]
AdwCleaner[S1].txt - [9357 octets] - [31/08/2012 13:18:02]
AdwCleaner[S3].txt - [1268 octets] - [31/08/2012 13:57:55]
AdwCleaner[R2].txt - [1298 octets] - [31/08/2012 17:56:44]
AdwCleaner[S4].txt - [1351 octets] - [31/08/2012 17:57:07]
########## EOF - C:\AdwCleaner[S4].txt - [1411 octets] ##########
Problème pendant scan MBAM : écran bleu disant que l'ordi s'éteignait pour pas planter...
Que fais-je ? Je relance ou pas ? Merci de m'aider c'est gentil.
Que fais-je ? Je relance ou pas ? Merci de m'aider c'est gentil.
hum bizarre
on va voir ce qu'il veut dire par cet écran bleu
Télécharge ici : Blue screen View
Décompresse l'archive sur ton Bureau.
Double clique sur le fichier BlueScreenView.exe pour le lancer. (Clic droit Executer en tant qu'administrateur sous Vista/Seven)
A la fin du scan, , clique sur Edit puis Select All.
Puis rends-toi dans File et Save Selected Items.
Sauve le rapport sous BSOD.txt.
Ouvre BSOD.txt dans le Bloc-notes, copie son contenu et poste le dans ta réponse.
on va voir ce qu'il veut dire par cet écran bleu
Télécharge ici : Blue screen View
Décompresse l'archive sur ton Bureau.
Double clique sur le fichier BlueScreenView.exe pour le lancer. (Clic droit Executer en tant qu'administrateur sous Vista/Seven)
A la fin du scan, , clique sur Edit puis Select All.
Puis rends-toi dans File et Save Selected Items.
Sauve le rapport sous BSOD.txt.
Ouvre BSOD.txt dans le Bloc-notes, copie son contenu et poste le dans ta réponse.
Voila :
==================================================
Dump File : Mini083112-02.dmp
Crash Time : 31/08/2012 18:23:15
Bug Check String : KERNEL_DATA_INPAGE_ERROR
Bug Check Code : 0x0000007a
Parameter 1 : 0xc0572228
Parameter 2 : 0xc0000185
Parameter 3 : 0x4e12e860
Parameter 4 : 0xae4453d1
Caused By Driver : mrxsmb10.sys
Caused By Address : mrxsmb10.sys+1d3d1
File Description : Longhorn SMB Downlevel SubRdr
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.0.6002.18490 (vistasp2_gdr.110706-0539)
Processor : 32-bit
Crash Address : ntkrnlpa.exe+7cbf8
Stack Address 1 : ntkrnlpa.exe+77f4a
Stack Address 2 : ntkrnlpa.exe+992f1
Stack Address 3 : ntkrnlpa.exe+4dd94
Computer Name :
Full Path : C:\Windows\Minidump\Mini083112-02.dmp
Processors Count : 2
Major Version : 15
Minor Version : 6002
Dump File Size : 147 616
==================================================
==================================================
Dump File : Mini083112-01.dmp
Crash Time : 31/08/2012 12:53:18
Bug Check String : DRIVER_IRQL_NOT_LESS_OR_EQUAL
Bug Check Code : 0x000000d1
Parameter 1 : 0x00000000
Parameter 2 : 0x000000ff
Parameter 3 : 0x00000008
Parameter 4 : 0x00000000
Caused By Driver : hal.dll
Caused By Address : hal.dll+7838
File Description : Hardware Abstraction Layer DLL
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.0.6002.18005 (lh_sp2rtm.090410-1830)
Processor : 32-bit
Crash Address : ntkrnlpa.exe+4df99
Stack Address 1 :
Stack Address 2 :
Stack Address 3 :
Computer Name :
Full Path : C:\Windows\Minidump\Mini083112-01.dmp
Processors Count : 2
Major Version : 15
Minor Version : 6002
Dump File Size : 149 664
==================================================
==================================================
Dump File : Mini082912-01.dmp
Crash Time : 29/08/2012 22:22:04
Bug Check String : KERNEL_DATA_INPAGE_ERROR
Bug Check Code : 0x0000007a
Parameter 1 : 0xc0453560
Parameter 2 : 0xc0000185
Parameter 3 : 0x4b947860
Parameter 4 : 0x8a6aca9a
Caused By Driver : ataport.SYS
Caused By Address : ataport.SYS+fa9a
File Description : ATAPI Driver Extension
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.0.6002.18005 (lh_sp2rtm.090410-1830)
Processor : 32-bit
Crash Address : ntkrnlpa.exe+7cbf8
Stack Address 1 : ntkrnlpa.exe+77f4a
Stack Address 2 : ntkrnlpa.exe+992f1
Stack Address 3 : ntkrnlpa.exe+4dd94
Computer Name :
Full Path : C:\Windows\Minidump\Mini082912-01.dmp
Processors Count : 2
Major Version : 15
Minor Version : 6002
Dump File Size : 147 664
==================================================
==================================================
Dump File : Mini083112-02.dmp
Crash Time : 31/08/2012 18:23:15
Bug Check String : KERNEL_DATA_INPAGE_ERROR
Bug Check Code : 0x0000007a
Parameter 1 : 0xc0572228
Parameter 2 : 0xc0000185
Parameter 3 : 0x4e12e860
Parameter 4 : 0xae4453d1
Caused By Driver : mrxsmb10.sys
Caused By Address : mrxsmb10.sys+1d3d1
File Description : Longhorn SMB Downlevel SubRdr
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.0.6002.18490 (vistasp2_gdr.110706-0539)
Processor : 32-bit
Crash Address : ntkrnlpa.exe+7cbf8
Stack Address 1 : ntkrnlpa.exe+77f4a
Stack Address 2 : ntkrnlpa.exe+992f1
Stack Address 3 : ntkrnlpa.exe+4dd94
Computer Name :
Full Path : C:\Windows\Minidump\Mini083112-02.dmp
Processors Count : 2
Major Version : 15
Minor Version : 6002
Dump File Size : 147 616
==================================================
==================================================
Dump File : Mini083112-01.dmp
Crash Time : 31/08/2012 12:53:18
Bug Check String : DRIVER_IRQL_NOT_LESS_OR_EQUAL
Bug Check Code : 0x000000d1
Parameter 1 : 0x00000000
Parameter 2 : 0x000000ff
Parameter 3 : 0x00000008
Parameter 4 : 0x00000000
Caused By Driver : hal.dll
Caused By Address : hal.dll+7838
File Description : Hardware Abstraction Layer DLL
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.0.6002.18005 (lh_sp2rtm.090410-1830)
Processor : 32-bit
Crash Address : ntkrnlpa.exe+4df99
Stack Address 1 :
Stack Address 2 :
Stack Address 3 :
Computer Name :
Full Path : C:\Windows\Minidump\Mini083112-01.dmp
Processors Count : 2
Major Version : 15
Minor Version : 6002
Dump File Size : 149 664
==================================================
==================================================
Dump File : Mini082912-01.dmp
Crash Time : 29/08/2012 22:22:04
Bug Check String : KERNEL_DATA_INPAGE_ERROR
Bug Check Code : 0x0000007a
Parameter 1 : 0xc0453560
Parameter 2 : 0xc0000185
Parameter 3 : 0x4b947860
Parameter 4 : 0x8a6aca9a
Caused By Driver : ataport.SYS
Caused By Address : ataport.SYS+fa9a
File Description : ATAPI Driver Extension
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.0.6002.18005 (lh_sp2rtm.090410-1830)
Processor : 32-bit
Crash Address : ntkrnlpa.exe+7cbf8
Stack Address 1 : ntkrnlpa.exe+77f4a
Stack Address 2 : ntkrnlpa.exe+992f1
Stack Address 3 : ntkrnlpa.exe+4dd94
Computer Name :
Full Path : C:\Windows\Minidump\Mini082912-01.dmp
Processors Count : 2
Major Version : 15
Minor Version : 6002
Dump File Size : 147 664
==================================================
J'ai bien peur que ça soit un problème matériel, de mémoire ...
Fais ça : https://www.commentcamarche.net/informatique/composants/1437-tester-la-memoire-vive-ram-d-un-ordinateur-avec-memtest86/
Fais ça : https://www.commentcamarche.net/informatique/composants/1437-tester-la-memoire-vive-ram-d-un-ordinateur-avec-memtest86/
Arf...memtest marche pas pour 3go (la version windows) et en 3 fois cela a planté...bref je laisse tombé ce problème là.
Pour le virus j'espère qu'il est vaincu, en tout cas il n'est plus visible je n'ai plus d'alerte...
Merci pour tout.
Pour le virus j'espère qu'il est vaincu, en tout cas il n'est plus visible je n'ai plus d'alerte...
Merci pour tout.
Oui mais j'aurais bien voulu mon MBAM moi ...
Fais le en mode sans échec voir
Fais le en mode sans échec voir
Il n'ya rien de drôle, j'ai emmené hier soir ma fille de 2ans aux urgences pédiatriques donc le pc est passé après... De plus j'ai déjà remercié juju666 qui m'a bien aidé lui...et je souhaite en rester là car je n'ai plus d'alertes et je n'ai pas envie de perdre des données sur ce pc sachant que c'est un ordi professionel donc pas officiellement le mien. Encore merci de m'avoir aider juju666. Bonne route à tous.
