Sujet Précédent Sujet Suivant

Infection

Résolu/Fermé
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013 - 6 sept. 2012 à 18:42
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013 - 15 sept. 2012 à 13:58
Bonjour,
Mon portable est infecté. Cela ne charge plus avira au démarrage. Je ne suis pas assez calé pour supprimer l'infection et faire le nettoyage.
Merci de votre aide
Manu


44 réponses

Précédent
Réponse 21 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
7 sept. 2012 à 17:03
Re,
Pour bien vérifier que le fichier ci-dessous est infecté rend toi sur ce site
Virus Total

* Clique sur " choose file "
* Vas sur ton disque chercher ce fichier à cet emplacement :

c:\windows\System32\autochk.exe


* Clique ensuite sur le bouton « Scan it »
* Patiente le temps de l'analyse qui dépend de la taille du fichier
* Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio)
* Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse

0
Réponse 22 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
7 sept. 2012 à 17:17
Detection ratio 4/42
https://www.virustotal.com/gui/file/9b8d23a8d20945eb51c42365b1c356771aedb9496254aa377ac63e4ef6c6f83c
0
Réponse 23 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
7 sept. 2012 à 20:30
Re,
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
-----------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
* Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
__________________________________________________

KillAll::

DDS::
uSearchURL,(Default) = hxxp://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"=-
"LanguageShortcut"=-

__________________________________________________

* Enregistre ce fichier sous le nom CFScript
* Fait un glisser/déposer de ce fichier CFScript sur le fichier
ComboFix.exe comme sur : cette capture
* Combofix se lance, laisse toi guider..

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

0
Réponse 24 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
7 sept. 2012 à 22:24
ComboFix 12-09-07.01 - Manuel 07/09/2012 21:41:52.2.2 - x86
Microsoft® Windows Vista(TM) Home Basic 6.0.6001.1.1252.34.3082.18.2038.1052 [GMT 2:00]
Running from: c:\users\Manuel\Desktop\ComboFix.exe
Command switches used :: c:\users\Manuel\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
FW: COMODO Firewall *Enabled* {9F6B8402-CD67-6410-5B6A-D652628C89DE}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: COMODO Defense+ *Disabled/Updated* {1C31E4C3-A132-6AC6-4A85-4415E7D88418}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\System32\autochk.exe . . . is infected!!
.
.
((((((((((((((((((((((((( Files Created from 2012-08-07 to 2012-09-07 )))))))))))))))))))))))))))))))
.
.
2012-09-07 20:00 . 2012-09-07 20:00 -------- d-----w- C:\A
2012-09-07 19:57 . 2012-09-07 20:00 -------- d-----w- c:\users\Manuel\AppData\Local\temp
2012-09-07 19:57 . 2012-09-07 19:57 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-09-06 16:18 . 2012-09-06 16:19 -------- d-----w- c:\program files\Mozilla Maintenance Service
2012-09-06 16:18 . 2012-09-06 16:18 588728 ----a-w- c:\program files\Mozilla Firefox\gkmedias.dll
2012-09-06 16:18 . 2012-09-06 16:18 43960 ----a-w- c:\program files\Mozilla Firefox\mozglue.dll
2012-09-06 16:18 . 2012-09-06 16:18 157352 ----a-w- c:\program files\Mozilla Firefox\maintenanceservice_installer.exe
2012-09-06 16:18 . 2012-09-06 16:18 129976 ----a-w- c:\program files\Mozilla Firefox\maintenanceservice.exe
2012-09-05 20:36 . 2012-09-05 20:38 -------- d-----w- C:\ToolBar SD
2012-09-05 20:33 . 2012-09-06 14:36 -------- d-----w- C:\FyK
2012-09-05 17:37 . 2012-09-07 10:21 -------- d-----w- C:\ZHP
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-07 19:58 . 2011-03-25 11:28 17408 ----a-w- c:\windows\system32\rpcnetp.dll
2012-09-07 19:58 . 2011-03-25 11:27 17408 ----a-w- c:\windows\system32\rpcnetp.exe
2012-09-07 19:28 . 2011-03-27 15:11 309 ----a-w- c:\windows\system32\upgrd.bat
2012-09-07 19:27 . 2011-03-27 15:09 13160 ----a-w- c:\windows\system32\Upgrd.exe
2012-09-07 19:27 . 2011-03-27 15:11 58288 ----a-w- c:\windows\system32\rpcnet.exe
2012-09-07 19:27 . 2011-03-27 15:11 58288 ----a-w- c:\windows\system32\rpcnet.dll
2012-09-07 19:27 . 2011-03-27 15:08 58288 ----a-w- c:\windows\system32\NTAgent.exe
2012-09-06 16:18 . 2011-04-05 20:43 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FingerPrintSoftware"="c:\program files\Lenovo Fingerprint Software\fpapp.exe \s" [X]
"TPFNF7"="c:\program files\Lenovo\NPDIRECT\TPFNF7SP.exe" [2007-11-29 59168]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
"PMHandler"="c:\progra~1\Lenovo\PMDRIV~1\PMHandler.exe" [2007-06-05 34352]
"TPWAUDAP"="c:\program files\Lenovo\HOTKEY\TpWAudAp.exe" [2006-09-06 54824]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 174872]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 4423680]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-05-04 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-05-04 154392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-05-04 138008]
"LenovoOobeOffers"="c:\swtools\LenovoWelcome\LenovoOobeOffers.exe" [2007-09-25 28672]
"TVT Scheduler Proxy"="c:\program files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"LPManager"="c:\progra~1\Lenovo\LENOVO~2\LPMGR.exe" [2007-04-26 120368]
"AwaySch"="c:\program files\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"nmapp"="c:\program files\Pure Networks\Network Magic\nmapp.exe" [2007-03-14 321088]
"cssauth"="c:\program files\Lenovo\Client Security Solution\cssauth.exe" [2007-08-09 2630968]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-02-04 281768]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2009-12-20 1800464]
"AMSG"="c:\program files\ThinkVantage\AMSG\Amsg.exe" [2007-02-01 439856]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2007-3-29 719664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\guard32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACTray]
2007-07-05 13:48 419112 ----a-w- c:\program files\ThinkPad\ConnectUtilities\ACTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACWLIcon]
2007-07-05 13:49 124200 ----a-w- c:\program files\ThinkPad\ConnectUtilities\ACWLIcon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
.
Contents of the 'Scheduled Tasks' folder
.
2012-06-05 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-27 18:02]
.
2012-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-08 11:18]
.
2012-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-08 11:18]
.
2012-09-05 c:\windows\Tasks\NeroLiveEpgUpdate-Manuel1_Manuel.job
- c:\program files\Nero\Nero 9\Nero Live\NeroLive.exe [2008-09-18 12:51]
.
2012-09-07 c:\windows\Tasks\User_Feed_Synchronization-{3335D749-4BAD-4854-A673-300AE69CB57C}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:34]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://google.fr/
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
IE: Abrir con Wordperfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Enviar imagen al dispositivo &Bluetooth... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Enviar página al dispositivo &Bluetooth... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.2.1
DPF: {4C833081-D026-4FF8-968F-7EAB660D2FBA} - hxxp://download.livetv.ru/livetv.ru/cab/tvants.cab.rar
FF - ProfilePath - c:\users\Manuel\AppData\Roaming\Mozilla\Firefox\Profiles\hguvhb99.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-09-07 21:59
Windows 6.0.6001 Service Pack 1 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msiserver]
"ImagePath"="%systemroot%\system32\msiexec /V"
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'Explorer.exe'(4316)
c:\windows\system32\btmmhook.dll
c:\windows\system32\btncopy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\system32\IPSSVC.EXE
c:\program files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\LENOVO\HOTKEY\FNF5SVC.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\Lenovo\PM Driver\PMSveH.exe
c:\windows\system32\PSIService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\System32\rpcnetp.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\Common Files\Lenovo\tvt_reg_monitor_svc.exe
c:\program files\LENOVO\HOTKEY\TPHKSVC.exe
c:\program files\Lenovo\Client Security Solution\tvttcsd.exe
c:\program files\Lenovo\Rescue and Recovery\rrpservice.exe
c:\program files\Lenovo\Rescue and Recovery\rrservice.exe
c:\program files\Common Files\Lenovo\Scheduler\tvtsched.exe
c:\program files\ThinkPad\ConnectUtilities\AcSvc.exe
c:\program files\Pure Networks\Network Magic\nmsrvc.exe
c:\program files\Lenovo\System Update\SUService.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conime.exe
c:\program files\Lenovo\PM Driver\PMHandler.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Lenovo\LenovoCare\LPMGR.EXE
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Lenovo\Bluetooth Software\BtStackServer.exe
c:\windows\System32\lpksetup.exe
.
**************************************************************************
.
Completion time: 2012-09-07 22:09:03 - machine was rebooted
ComboFix-quarantined-files.txt 2012-09-07 20:08
ComboFix2.txt 2012-09-07 14:29
.
Pre-Run: 87.813.328.896 bytes libres
Post-Run: 87.632.920.576 bytes libres
.
- - End Of File - - 3643E0C54C6E55BAFC3D83C46587D0CE

Mes problemes sont que Avira a un message d erreur et quand on ferme le message, l'icone disparait de la barre des taches.
Ce message est ecrit en mode sans echec, car apres la manip de combofix, au demarrage, je ne peux plus lancer, ni Firefox, ni IE, avec un message comme quoi ils sont lances avec une clé qui doit etre eliminée.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
7 sept. 2012 à 22:37
Après un redémarrage, Firefox et internet-explorer fonctionnent. Toujours le message d erreur de avira. Je pense que je devrai désinstaller et réinstaller.
0
Réponse 26 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
Modifié par Fish66 le 8/09/2012 à 09:58
Bonjour,
1* Télécharge Avira antivir V12 à partir ce lien :
http://www.commentcamarche.net/download/telecharger-55-antivir
2* Désinstalle ta version d'Avira via panneau de configuration
3* Télécharge avira-registrycleaner à partir ce lien :
https://www.avira.com/fr/download/product/avira-registry-cleaner
Exécute le en suivant les instructions
* Exécute le fichier téléchargé en 1* pour installation
(A ne pas cocher la case Askbar ) et en choisissant : la configuration optimale
Lance ensuite une analyse puis poste le rapport d'Avira

==================================
Fais la mise à jour de ton windows pour passer au pack2


¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 27 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
8 sept. 2012 à 20:03
Slt


Avira Free Antivirus
Date de création du fichier de rapport : sábado, 08 de septiembre de 2012 16:42

La recherche porte sur 4175903 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista (TM) Home Basic
Version de Windows : (Service Pack 1) [6.0.6001]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : MANUEL1

Informations de version :
BUILD.DAT : 12.0.0.348 40868 Bytes 23/07/2012 15:03:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 02/07/2012 13:39:18
AVSCAN.DLL : 12.3.0.15 65488 Bytes 05/06/2012 22:39:45
LUKE.DLL : 12.3.0.15 68304 Bytes 02/07/2012 13:39:25
AVSCPLR.DLL : 12.3.0.27 97064 Bytes 02/07/2012 13:39:18
AVREG.DLL : 12.3.0.33 232232 Bytes 02/07/2012 13:39:17
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 23:25:30
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 23:33:56
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 22:39:33
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 08:15:36
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 14:03:13
VBASE007.VDF : 7.11.41.251 2048 Bytes 06/09/2012 14:03:13
VBASE008.VDF : 7.11.41.252 2048 Bytes 06/09/2012 14:03:14
VBASE009.VDF : 7.11.41.253 2048 Bytes 06/09/2012 14:03:14
VBASE010.VDF : 7.11.41.254 2048 Bytes 06/09/2012 14:03:15
VBASE011.VDF : 7.11.41.255 2048 Bytes 06/09/2012 14:03:15
VBASE012.VDF : 7.11.42.0 2048 Bytes 06/09/2012 14:03:16
VBASE013.VDF : 7.11.42.1 2048 Bytes 06/09/2012 14:03:16
VBASE014.VDF : 7.11.42.2 2048 Bytes 06/09/2012 14:03:17
VBASE015.VDF : 7.11.42.3 2048 Bytes 06/09/2012 14:03:17
VBASE016.VDF : 7.11.42.4 2048 Bytes 06/09/2012 14:03:17
VBASE017.VDF : 7.11.42.5 2048 Bytes 06/09/2012 14:03:18
VBASE018.VDF : 7.11.42.6 2048 Bytes 06/09/2012 14:03:18
VBASE019.VDF : 7.11.42.7 2048 Bytes 06/09/2012 14:03:18
VBASE020.VDF : 7.11.42.8 2048 Bytes 06/09/2012 14:03:18
VBASE021.VDF : 7.11.42.9 2048 Bytes 06/09/2012 14:03:19
VBASE022.VDF : 7.11.42.10 2048 Bytes 06/09/2012 14:03:19
VBASE023.VDF : 7.11.42.11 2048 Bytes 06/09/2012 14:03:19
VBASE024.VDF : 7.11.42.12 2048 Bytes 06/09/2012 14:03:19
VBASE025.VDF : 7.11.42.13 2048 Bytes 06/09/2012 14:03:20
VBASE026.VDF : 7.11.42.14 2048 Bytes 06/09/2012 14:03:20
VBASE027.VDF : 7.11.42.15 2048 Bytes 06/09/2012 14:03:20
VBASE028.VDF : 7.11.42.16 2048 Bytes 06/09/2012 14:03:21
VBASE029.VDF : 7.11.42.17 2048 Bytes 06/09/2012 14:03:21
VBASE030.VDF : 7.11.42.18 2048 Bytes 06/09/2012 14:03:21
VBASE031.VDF : 7.11.42.56 145408 Bytes 08/09/2012 14:03:23
Version du moteur : 8.2.10.158
AEVDF.DLL : 8.1.2.10 102772 Bytes 23/07/2012 12:28:35
AESCRIPT.DLL : 8.1.4.48 459130 Bytes 08/09/2012 14:03:48
AESCN.DLL : 8.1.8.2 131444 Bytes 16/02/2012 16:11:36
AESBX.DLL : 8.2.5.12 606578 Bytes 10/07/2012 08:15:52
AERDL.DLL : 8.1.9.15 639348 Bytes 20/01/2012 23:24:52
AEPACK.DLL : 8.3.0.34 811383 Bytes 08/09/2012 14:03:47
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 23/07/2012 12:28:35
AEHEUR.DLL : 8.1.4.96 5267830 Bytes 08/09/2012 14:03:44
AEHELP.DLL : 8.1.23.2 258422 Bytes 10/07/2012 08:15:52
AEGEN.DLL : 8.1.5.36 434549 Bytes 08/09/2012 14:03:29
AEEXP.DLL : 8.1.0.86 90484 Bytes 08/09/2012 14:03:49
AEEMU.DLL : 8.1.3.2 393587 Bytes 23/07/2012 12:28:35
AECORE.DLL : 8.1.27.4 201078 Bytes 08/09/2012 14:03:27
AEBB.DLL : 8.1.1.0 53618 Bytes 20/01/2012 23:24:48
AVWINLL.DLL : 12.3.0.15 27344 Bytes 02/07/2012 13:39:19
AVPREF.DLL : 12.3.0.15 51920 Bytes 02/07/2012 13:39:17
AVREP.DLL : 12.3.0.15 179208 Bytes 02/07/2012 13:39:17
AVARKT.DLL : 12.3.0.15 211408 Bytes 02/07/2012 13:39:15
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 02/07/2012 13:39:17
SQLITE3.DLL : 3.7.0.1 398288 Bytes 02/07/2012 13:39:29
AVSMTP.DLL : 12.3.0.32 63992 Bytes 02/07/2012 13:39:18
NETNT.DLL : 12.3.0.15 17104 Bytes 02/07/2012 13:39:26
RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 20/01/2012 23:25:46
RCTEXT.DLL : 12.3.0.31 101368 Bytes 02/07/2012 13:39:30

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20120908-163422-04EBD15E.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : sábado, 08 de septiembre de 2012 16:42

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche d'objets cachés commence.
Pilote caché
[REMARQUE] Une modification de la mémoire a été détectée, qui pourrait éventuellement être utilisée abusivement pour des accès fichiers cachés.

La recherche sur les processus démarrés commence :
Processus de recherche 'vssvc.exe' - '49' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '83' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '29' module(s) sont contrôlés
Processus de recherche 'BtStackServer.exe' - '71' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés
Processus de recherche 'BTTray.exe' - '61' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '55' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '72' module(s) sont contrôlés
Processus de recherche 'Amsg.exe' - '42' module(s) sont contrôlés
Processus de recherche 'cfp.exe' - '61' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '33' module(s) sont contrôlés
Processus de recherche 'cssauth.exe' - '57' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '28' module(s) sont contrôlés
Processus de recherche 'nmapp.exe' - '61' module(s) sont contrôlés
Processus de recherche 'AwaySch.EXE' - '25' module(s) sont contrôlés
Processus de recherche 'LPMGR.EXE' - '52' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '25' module(s) sont contrôlés
Processus de recherche 'scheduler_proxy.exe' - '35' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '20' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '23' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '24' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '47' module(s) sont contrôlés
Processus de recherche 'IAAnotif.exe' - '38' module(s) sont contrôlés
Processus de recherche 'TpWAudAp.exe' - '14' module(s) sont contrôlés
Processus de recherche 'PMHandler.exe' - '32' module(s) sont contrôlés
Processus de recherche 'SvcGuiHlpr.exe' - '80' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '33' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '52' module(s) sont contrôlés
Processus de recherche 'SUService.exe' - '61' module(s) sont contrôlés
Processus de recherche 'nmsrvc.exe' - '92' module(s) sont contrôlés
Processus de recherche 'AcSvc.exe' - '83' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '57' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '7' module(s) sont contrôlés
Processus de recherche 'tvtsched.exe' - '38' module(s) sont contrôlés
Processus de recherche 'rrservice.exe' - '56' module(s) sont contrôlés
Processus de recherche 'rrpservice.exe' - '23' module(s) sont contrôlés
Processus de recherche 'tvttcsd.exe' - '16' module(s) sont contrôlés
Processus de recherche 'TPHKSVC.exe' - '25' module(s) sont contrôlés
Processus de recherche 'tvt_reg_monitor_svc.exe' - '23' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '44' module(s) sont contrôlés
Processus de recherche 'StarWindServiceAE.exe' - '38' module(s) sont contrôlés
Processus de recherche 'sqlwriter.exe' - '31' module(s) sont contrôlés
Processus de recherche 'sqlbrowser.exe' - '20' module(s) sont contrôlés
Processus de recherche 'rpcnet.exe' - '45' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '22' module(s) sont contrôlés
Processus de recherche 'PSIService.exe' - '26' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '40' module(s) sont contrôlés
Processus de recherche 'PMSveH.exe' - '12' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '38' module(s) sont contrôlés
Processus de recherche 'sqlservr.exe' - '51' module(s) sont contrôlés
Processus de recherche 'Iaantmon.exe' - '36' module(s) sont contrôlés
Processus de recherche 'FNF5SVC.exe' - '5' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '59' module(s) sont contrôlés
Processus de recherche 'agrsmsvc.exe' - '16' module(s) sont contrôlés
Processus de recherche 'AcPrfMgrSvc.exe' - '70' module(s) sont contrôlés
Processus de recherche 'IPSSVC.EXE' - '23' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '27' module(s) sont contrôlés
Processus de recherche 'tpfnf7sp.exe' - '25' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '82' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '134' module(s) sont contrôlés
Processus de recherche 'Dwm.exe' - '38' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '59' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '52' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '48' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '80' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '82' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '23' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '155' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '117' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '65' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '93' module(s) sont contrôlés
Processus de recherche 'cmdagent.exe' - '84' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '33' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '40' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '30' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '22' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '65' module(s) sont contrôlés
Processus de recherche 'services.exe' - '33' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '26' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

Début du contrôle des fichiers système :
Signé -> 'C:\Windows\system32\svchost.exe'
Signé -> 'C:\Windows\system32\winlogon.exe'
Signé -> 'C:\Windows\explorer.exe'
Signé -> 'C:\Windows\system32\smss.exe'
Signé -> 'C:\Windows\system32\wininet.DLL'
Signé -> 'C:\Windows\system32\wsock32.DLL'
Signé -> 'C:\Windows\system32\ws2_32.DLL'
Signé -> 'C:\Windows\system32\services.exe'
Signé -> 'C:\Windows\system32\lsass.exe'
Signé -> 'C:\Windows\system32\csrss.exe'
Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signé -> 'C:\Windows\system32\spoolsv.exe'
Signé -> 'C:\Windows\system32\alg.exe'
Signé -> 'C:\Windows\system32\wuauclt.exe'
Signé -> 'C:\Windows\system32\advapi32.DLL'
Signé -> 'C:\Windows\system32\user32.DLL'
Signé -> 'C:\Windows\system32\gdi32.DLL'
Signé -> 'C:\Windows\system32\kernel32.DLL'
Signé -> 'C:\Windows\system32\ntdll.DLL'
Signé -> 'C:\Windows\system32\ntoskrnl.exe'
Signé -> 'C:\Windows\system32\ctfmon.exe'
Les fichiers système ont été contrôlés ('21' fichiers)

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '6001' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <c>
C:\Program Files\Fluendo\Moovida\uninstall.exe
[AVERTISSEMENT] Fin inattendue du fichier atteinte
C:\Program Files\K-Lite Codec Pack\Tools\CodecTweakTool-1.bin
[AVERTISSEMENT] Certains fichiers de cette archive sont répartis sur plusieurs archives partielles (volume multiple)
C:\Program Files\WinRAR\rarnew.dat
[AVERTISSEMENT] L'archive est inconnue ou défectueuse
C:\ProgramData\comodo\tmp\avira_free_antivirus_fr.exe.zip
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315AR00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315BR00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315CZ00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315DK00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315FI00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315FR00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315GK00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315GR00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315HB00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315HK00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315HU00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315IT00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315JP00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315KR00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315NL00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315NO00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315PL00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315PO00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315RU00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315SC00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315SP00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315SV00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315TC00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315TR00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\apps\rnr\Z503ZAB1315US00.TVT
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\SWTOOLS\VistaOOBEFirstRun\NZ-CW_Setup.exe
[AVERTISSEMENT] La version de cette archive n'est pas prise en charge
C:\Users\All Users\comodo\tmp\avira_free_antivirus_fr.exe.zip
[AVERTISSEMENT] Le fichier est protégé par mot de passe
C:\Users\Manuel\Desktop\Karaoke\ANGLAIS\CDG_Plug-In_.exe
[AVERTISSEMENT] La version de cette archive n'est pas prise en charge
C:\Users\Manuel\Downloads\avira_free_antivirus_fr.exe
[AVERTISSEMENT] Le fichier est protégé par mot de passe


Fin de la recherche : sábado, 08 de septiembre de 2012 19:23
Temps nécessaire: 2:40:51 Heure(s)

La recherche a été effectuée intégralement

45303 Les répertoires ont été contrôlés
1035099 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
1035099 Fichiers non infectés
6644 Les archives ont été contrôlées
33 Avertissements
1 Consignes
477549 Des objets ont été contrôlés lors du Rootkitscan
1 Des objets cachés ont été trouvés
0
Réponse 28 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
8 sept. 2012 à 21:46
Bonsoir,
1/
Y'a t'il encore le message d'erreur ?

2/
S'il est possible de préparer un nouveau rapport ZHPDiag

0
Réponse 29 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
10 sept. 2012 à 14:44
bonjour j avais poste une reponse hier, mais apparemment c est pas passe.
Plus de message d erreur d avira.
Par contre avira trouve un processus cache.
Rogue killer trouve une entree de Registre:
RogueKiller V8.0.2 [08/31/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Started in : Normal mode
User : Manuel [Admin rights]
Mode : Scan -- Date : 09/08/2012 20:13:53

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 1 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [LOADED] ¤¤¤
SSDT[75] : NtCreateSection @ 0x83A3DB1F -> HOOKED (Unknown @ 0x8079D53E)
SSDT[276] : NtRequestWaitReplyPort @ 0x83A519B1 -> HOOKED (Unknown @ 0x8079D548)
SSDT[289] : NtSetContextThread @ 0x83ABCD6F -> HOOKED (Unknown @ 0x8079D543)
SSDT[314] : NtSetSecurityObject @ 0x83A0148A -> HOOKED (Unknown @ 0x8079D54D)
SSDT[332] : NtSystemDebugControl @ 0x839D7A33 -> HOOKED (Unknown @ 0x8079D552)
SSDT[334] : NtTerminateProcess @ 0x83A4CFA9 -> HOOKED (Unknown @ 0x8079D4DF)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8079D566)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8079D56B)
IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x8660E1F8)
IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x8660E1F8)
IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x8660E1F8)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x8660E1F8)
IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x8660E1F8)
IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x8660E1F8)
IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x8660E1F8)

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVS-08RST3 +++++
--- User ---
[MBR] 8e34cc278ea83934284507f91ba20207
[BSP] 5da46cf0951881b40ef59a0636f24e61 : Lenovo tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 5174 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 10598400 | Size: 147451 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[9].txt >>
RKreport[1].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt

Rapport Zhp:
https://www.cjoint.com/?BIkoSfkEj61
Merci
0
Réponse 30 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
10 sept. 2012 à 20:29
Salut,
Lance AdwCleaner
Clique sur le bouton [ Recherche ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

0
Réponse 31 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
11 sept. 2012 à 11:57
Slt


***** [Servicios] *****


***** [Ficheros / Carpetas] *****


***** [Registro] *****


***** [Navegadores] *****

-\\ Internet Explorer v7.0.6001.18000

[OK] El registro no contiene ninguna entrada ilegítima.

-\\ Mozilla Firefox v15.0.1 (fr)

Perfil : default
Fichero : C:\Users\Manuel\AppData\Roaming\Mozilla\Firefox\Profiles\hguvhb99.default\prefs.js

[OK] El fichero no contiene ninguna entrada ilegítima.

-\\ Google Chrome v [Imposible obtener la versión]

Fichero : C:\Users\Manuel\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] El fichero no contiene ninguna entrada ilegítima.

*************************

AdwCleaner[S1].txt - [3406 octets] - [06/09/2012 21:33:54]
AdwCleaner[R1].txt - [967 octets] - [06/09/2012 21:55:10]
AdwCleaner[S6].txt - [967 octets] - [06/09/2012 23:09:43]
AdwCleaner[R2].txt - [967 octets] - [07/09/2012 15:20:23]
AdwCleaner[R3].txt - [1026 octets] - [08/09/2012 20:17:07]
AdwCleaner[R4].txt - [961 octets] - [11/09/2012 11:52:40]

########## EOF - C:\AdwCleaner[R4].txt - [1020 octets] ##########
0
Réponse 32 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
11 sept. 2012 à 13:55
Salut,
Le rapport d'ADWCleaner n'est pas complet et tu l'as passé 6 fois en mode suppression!
====================
1/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )



[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
O4 - Global Startup: C:\Users\Manuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Moovida.lnk . (.Fluendo Embedded.) -- C:\Program Files\Fluendo\Moovida\Moovida.exe
O4 - Global Startup: C:\Users\Manuel\Desktop\Moovida.lnk . (.Fluendo Embedded.) -- C:\Program Files\Fluendo\Moovida\Moovida.exe
O43 - CFD: 22/12/2010 - 20:18:53 - [50,777] ----D C:\Program Files\Fluendo
O43 - CFD: 22/12/2010 - 20:19:12 - [0,001] ----D C:\Users\Manuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Moovida
O44 - LFC:[MD5.63107C7D72889CE6A5AEFE451623D20E] - 09/09/2012 - 9:02:45 ---A- . (...) -- C:\Windows\System32\rpcnetp.dll [17408]
O87 - FAEL: "{7BA70CE5-092B-424F-8406-C8EFE4C83141}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\searchresults1\dtUser.exe (.not file.)
O87 - FAEL: "{C8104681-82DB-420A-8D35-AACF57423135}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\searchresults1\dtUser.exe (.not file.)
[HKLM\Software\Classes\TypeLib\{14816CF6-426C-40D7-904C-E5600F015EC2}]
[HKLM\Software\Classes\TypeLib\{282D18C0-5424-44F4-A531-55F9AC5B8FD8}]
[HKLM\Software\Classes\CLSID\{58EFBE9C-4621-4d79-90E7-8BEE265CA951}] => Infection BT (Adware.SmartShopper)
[HKLM\Software\Classes\CLSID\{7935436E-8F14-4C84-9ECF-BEB791296619}]
[HKLM\Software\Classes\Interface\{7935436E-8F14-4C84-9ECF-BEB791296619}]
[HKLM\Software\Classes\Interface\{7CF4E72E-C9C0-4CA8-A039-1F5BAD426CCE}]
[HKLM\Software\Classes\Interface\{81B32B9F-AFDC-4F7E-8F13-E39BB8ECF638}]
[HKLM\Software\Classes\Interface\{925C24DC-0C0B-4AE7-98F5-18252822C89C}]
[HKLM\Software\Classes\CLSID\{B3DBB2D5-5F06-4EC2-904D-812ECE520509}]
[HKLM\Software\Classes\Interface\{B3DBB2D5-5F06-4EC2-904D-812ECE520509}]
[HKLM\Software\Classes\CLSID\{C4A743DE-EAAC-4cd0-9BF6-378E8141868B}] => Infection BT (Adware.SmartShopper)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C4A743DE-EAAC-4cd0-9BF6-378E8141868B}]
[HKLM\Software\Classes\Interface\{CA1BC665-4B6B-435C-80C1-0E12D993ED49}]
[HKLM\Software\Classes\Interface\{D5AB027D-C91A-4324-8C78-12CF1A588C48}]
[HKLM\Software\Classes\CLSID\{DCE997C8-5920-4c09-99EE-59F46634FE2C}] => Infection BT (Adware.SmartShopper)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DCE997C8-5920-4c09-99EE-59F46634FE2C}]
[HKLM\Software\Classes\Interface\{E5DB89B8-5BE1-461C-A7EF-89B68211889D}]
[HKLM\Software\Classes\TypeLib\{FD06B491-1EA6-4F5C-86D2-C86D3A3A3731}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{fee1002d-90a5-4a5d-aabe-01803ffbcf7a}]
[HKLM\Software\Mozilla\Firefox\Extensions]:moovida@spointer.com
C:\Program Files\Fluendo\Moovida
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5DB24F50-8C65-4772-9844-47FE8701BE57}]
C:\Users\Manuel\AppData\LocalLow\searchresultstb

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/
Lance Malwarebytes, fais la mise à jour, choisis une analyse complète, supprime tout ce qu'il trouve puis poste le rapport stp
0
Réponse 33 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
11 sept. 2012 à 16:31
slt
Adwcleaner c est tout ce qu il m'a sorti.

Rapport de ZHPFix 1.2.09 par Nicolas Coolman, Update du 01/09/2012
Fichier d'export Registre :
Run by Manuel at 11/09/2012 14:07:30
Windows Vista Home Basic Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/


========== Registry Key ==========
DELETED Key: HKLM\Software\Classes\TypeLib\{14816CF6-426C-40D7-904C-E5600F015EC2}
DELETED Key: HKLM\Software\Classes\TypeLib\{282D18C0-5424-44F4-A531-55F9AC5B8FD8}
DELETED Key: HKLM\Software\Classes\CLSID\{58EFBE9C-4621-4d79-90E7-8BEE265CA951}
DELETED Key: HKLM\Software\Classes\CLSID\{7935436E-8F14-4C84-9ECF-BEB791296619}
DELETED Key: HKLM\Software\Classes\Interface\{7935436E-8F14-4C84-9ECF-BEB791296619}
DELETED Key: HKLM\Software\Classes\Interface\{7CF4E72E-C9C0-4CA8-A039-1F5BAD426CCE}
DELETED Key: HKLM\Software\Classes\Interface\{81B32B9F-AFDC-4F7E-8F13-E39BB8ECF638}
DELETED Key: HKLM\Software\Classes\Interface\{925C24DC-0C0B-4AE7-98F5-18252822C89C}
DELETED Key: HKLM\Software\Classes\CLSID\{B3DBB2D5-5F06-4EC2-904D-812ECE520509}
DELETED Key: HKLM\Software\Classes\Interface\{B3DBB2D5-5F06-4EC2-904D-812ECE520509}
DELETED Key: HKLM\Software\Classes\CLSID\{C4A743DE-EAAC-4cd0-9BF6-378E8141868B}
DELETED Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C4A743DE-EAAC-4cd0-9BF6-378E8141868B}
DELETED Key: HKLM\Software\Classes\Interface\{CA1BC665-4B6B-435C-80C1-0E12D993ED49}
DELETED Key: HKLM\Software\Classes\Interface\{D5AB027D-C91A-4324-8C78-12CF1A588C48}
DELETED Key: HKLM\Software\Classes\CLSID\{DCE997C8-5920-4c09-99EE-59F46634FE2C}
DELETED Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DCE997C8-5920-4c09-99EE-59F46634FE2C}
DELETED Key: HKLM\Software\Classes\Interface\{E5DB89B8-5BE1-461C-A7EF-89B68211889D}
DELETED Key: HKLM\Software\Classes\TypeLib\{FD06B491-1EA6-4F5C-86D2-C86D3A3A3731}
DELETED Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{fee1002d-90a5-4a5d-aabe-01803ffbcf7a}
DELETED Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5DB24F50-8C65-4772-9844-47FE8701BE57}

========== Registry Value ==========
NOT FOUND Value Key: AntiVirusOverride
NOT FOUND {7BA70CE5-092B-424F-8406-C8EFE4C83141}
NOT FOUND {C8104681-82DB-420A-8D35-AACF57423135}
NOT FOUND [HKLM\Software\Mozilla\Firefox\Extensions]:moovida@spointer.com
No Value in Standard Profile Register Key FirewallRaz :
No Value in Domain Profile Register Key FirewallRaz :
No Value in Firewall Exception Register Key (FirewallRaz)

========== Repertory ==========
DELETE on Reboot Folder**: C:\Program Files\Fluendo
DELETED Folder: C:\Users\Manuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Moovida
DELETE on Reboot Folder**: c:\program files\fluendo\moovida
DELETED Folder: c:\users\manuel\appdata\locallow\searchresultstb
DELETED Window Temporary:
DELETED Flash Cookies:

========== File ==========
DELETED File: c:\users\manuel\appdata\roaming\microsoft\windows\start menu\programs\moovida.lnk
DELETE on Reboot c:\program files\fluendo\moovida\moovida.exe
DELETED File: c:\users\manuel\desktop\moovida.lnk
DELETE on Reboot c:\windows\system32\rpcnetp.dll
DELETED Window Temporary:
DELETED Flash Cookies:


========== Summary ==========
20 : Registry Key
7 : Registry Value
6 : Repertory
6 : File


End of clean in 01mn 01s

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 11/09/2012 14:07:34 [3459]

Rapport bis

C:\ZHP\Quarantine\moovida.lnk.VIR,c:\users\manuel\appdata\roaming\microsoft\windows\start menu\programs\moovida.lnk
C:\ZHP\Quarantine\moovida.exe.VIR,c:\program files\fluendo\moovida\moovida.exe
C:\ZHP\Quarantine\moovida.lnk.VIR,c:\users\manuel\desktop\moovida.lnk
C:\ZHP\Quarantine\moovida.exe.VIR,c:\program files\fluendo\moovida\moovida.exe
C:\ZHP\Quarantine\Fluendo.DIR,C:\Program Files\Fluendo
C:\ZHP\Quarantine\Fluendo.DIR,C:\Program Files\Fluendo
C:\ZHP\Quarantine\Moovida.DIR,C:\Users\Manuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Moovida
C:\ZHP\Quarantine\rpcnetp.dll.VIR,c:\windows\system32\rpcnetp.dll
C:\ZHP\Quarantine\moovida.DIR,c:\program files\fluendo\moovida
C:\ZHP\Quarantine\moovida.DIR,c:\program files\fluendo\moovida
C:\ZHP\Quarantine\searchresultstb.DIR,c:\users\manuel\appdata\locallow\searchresultstb


rapport Malwarebytes:
0
Réponse 34 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
11 sept. 2012 à 16:33
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.09.11.05

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Manuel :: MANUEL1 [administrateur]

11/09/2012 14:25:18
mbam-log-2012-09-11 (14-25-18).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 331200
Temps écoulé: 1 heure(s), 45 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Manuel\Desktop\ultra\u992.exe (PUP.UltraReach) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Réponse 35 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
11 sept. 2012 à 19:01
Re,
Il me faut un dernier rapport ZHPDiag, merci

0
Réponse 36 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
11 sept. 2012 à 19:46
hi
https://www.cjoint.com/?BIltTXFkDqq
0
Réponse 37 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
11 sept. 2012 à 20:45
Re,
1/
* Télécharge OTM (OldTimer) sur ton Bureau

ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:files
C:\Program Files\Fluendo
C:\Windows\System32\rpcnetp.dll
C:\Program Files\searchresults1\dtUser.exe
C:\Program Files\Fluendo\Moovida

:Reg
[-HKLM\Software\Classes\TypeLib\{14816CF6-426C-40D7-904C-E5600F015EC2}]
[-HKLM\Software\Classes\TypeLib\{282D18C0-5424-44F4-A531-55F9AC5B8FD8}]
[-HKLM\Software\Classes\CLSID\{58EFBE9C-4621-4d79-90E7-8BEE265CA951}]
[-HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5DB24F50-8C65-4772-9844-47FE8701BE57}]
[-HKLM\Software\Classes\CLSID\{7935436E-8F14-4C84-9ECF-BEB791296619}]
[-HKLM\Software\Classes\Interface\{7935436E-8F14-4C84-9ECF-BEB791296619}]
[-HKLM\Software\Classes\Interface\{7CF4E72E-C9C0-4CA8-A039-1F5BAD426CCE}]
[-HKLM\Software\Classes\Interface\{81B32B9F-AFDC-4F7E-8F13-E39BB8ECF638}]
[-HKLM\Software\Classes\Interface\{925C24DC-0C0B-4AE7-98F5-18252822C89C}]
[-HKLM\Software\Classes\CLSID\{B3DBB2D5-5F06-4EC2-904D-812ECE520509}]
[-HKLM\Software\Classes\Interface\{B3DBB2D5-5F06-4EC2-904D-812ECE520509}]
[-HKLM\Software\Classes\CLSID\{C4A743DE-EAAC-4cd0-9BF6-378E8141868B}]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C4A743DE-EAAC-4cd0-9BF6-378E8141868B}]
[-HKLM\Software\Classes\Interface\{CA1BC665-4B6B-435C-80C1-0E12D993ED49}]
[-HKLM\Software\Classes\Interface\{D5AB027D-C91A-4324-8C78-12CF1A588C48}]
[-HKLM\Software\Classes\CLSID\{DCE997C8-5920-4c09-99EE-59F46634FE2C}]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DCE997C8-5920-4c09-99EE-59F46634FE2C}]
[-HKLM\Software\Classes\Interface\{E5DB89B8-5BE1-461C-A7EF-89B68211889D}]
[-HKLM\Software\Classes\TypeLib\{FD06B491-1EA6-4F5C-86D2-C86D3A3A3731}]
[-HKLM\Software\Mozilla\Firefox\Extensions]:moovida@spointer.com

:commands
[emptytemp]



- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

2/
Fais la mise à jour de ton windows

3/
* Tu peux vérifier ta Console Java en cliquant sur ce lien :https://www.java.com/fr/download/uninstalltool.jsp
* Installe la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller JavaRa:

* Télécharge ce fichier à partir ce lien : http://raproducts.org/click/click.php?id=1
* Décompresse JavaRa sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis
une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
0
Réponse 38 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
13 sept. 2012 à 19:12
bonjour
https://www.cjoint.com/?BInopz0Clg8

javara n'a pas généré de rapport.
L actualisation de windows plante pour le moment.
<slt
0
Réponse 39 / 44
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
13 sept. 2012 à 20:40
Salut,
Télécharge Dr Web CureIt sur ton Bureau :
? redemarre en mode sans échec
?- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
?- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
?- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
?- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques

?- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
?- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
?- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite héberge le rapport sur : http://pjjoint.malekal.com/
?- Ferme Dr.Web Cureit
?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
Tu trouves ici: un tutoriel explicatif



Rapport dr web se trouve ici : c:\documents and settings\la session\DrWeb\CureIt.log

0
Réponse 40 / 44
Baheras Messages postés 70 Date d'inscription samedi 10 janvier 2009 Statut Membre Dernière intervention 28 septembre 2013
14 sept. 2012 à 15:54
bjr
?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable
Cette etape n'a pas ete possible a faire.

https://www.cjoint.com/?BIop2pJ63fP
0

Discussions similaires

Infection ?
Tomy -
MisteryBean -

10 réponses
infection ou pas?
jpn1000 -
mcvivien2 -

5 réponses
Infection ou pas ???
karissia -
helpcenter -

1 réponse
Avast detecte une menace "infection URL:MAL"
elbreton -
cloclomaz -

36 réponses
Infection pc
Nanie24 -
Nanie24 -

22 réponses