Problème security shield
chamoisien
Messages postés
30
Statut
Membre
-
chamoisien Messages postés 30 Statut Membre -
chamoisien Messages postés 30 Statut Membre -
Bonjour,
le pc de ma fille a été infecté par le virus security shield qui demande d'acheter l'antivirus du meme nom...
Après petite recherche, j'ai vu que le sujet a deja ete traité ici car d'autres en ont été "victime". Quelqu'un peut-il m'aider à essayer de rendre à ma fille son pc en état d'usage ?
Attention, mes connaissances informatiques sont limitées et il faudra sans doute me guider en mode "boulet" avec explications détaillées....
merci d'avance
le pc de ma fille a été infecté par le virus security shield qui demande d'acheter l'antivirus du meme nom...
Après petite recherche, j'ai vu que le sujet a deja ete traité ici car d'autres en ont été "victime". Quelqu'un peut-il m'aider à essayer de rendre à ma fille son pc en état d'usage ?
Attention, mes connaissances informatiques sont limitées et il faudra sans doute me guider en mode "boulet" avec explications détaillées....
merci d'avance
A voir également:
- Problème security shield
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Antivirus gratuit norton internet security - Télécharger - Antivirus & Antimalwares
- Cube security box - Forum Réseaux sociaux
- Account-security-noreply@ accountprotection.microsoft.com spam ✓ - Forum Hotmail / Outlook.com
- Pc privacy shield ✓ - Forum Virus
58 réponses
desinstalle tout Java
desinstalle adobe reader
=============
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\system32\Gettsrvc.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
desinstalle adobe reader
=============
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\system32\Gettsrvc.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
desinstalle spybot search and destroy rien du tout
===========
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BIlaULHFXd6
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
===========
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BIlaULHFXd6
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il n'y a aucune page qui se soit ouverte me demandant de coller le texte dont tu me parlais...
Après redémarrage de l'ordi, j'ai obtenu un pre script que voici
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0909 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Admin Parents : Windows 7 Professional (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 00:54:33
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{15B3FB63-66F4-4EFC-B717-BB283B85E79B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{358E6F10-DE8A-4602-8424-179CA217F8EE}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8E1F80F4-953F-41E7-8460-E64AE5BE4ED3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C6A861C-B233-4994-AFB1-C158EE4FC578}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-587851288-542970392-1891882332-1001\Software\Safer Networking Limited
Key Deleted : HKLM\Software\BrowserChoice
¤
Impossible to move File : |A| - C:\Windows\system32\Gettsrvc.dll
File Deleted : |A| - C:\Windows\À÷"
File Deleted : |A| - C:\Users\Admin Parents\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk
File Deleted : |A| - C:\Users\Collégien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Opwaod
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Tyokv
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Ucyvup
Folder Deleted : |D| - C:\ProgramData\036DFF6665365A8E887DAB4EF875EF7E
File Deleted : |A| - C:\Users\Admin Parents\AppData\Local\iqudoo.exe
File Deleted : |A| - C:\Users\Admin Parents\AppData\Local\hwfnsrbpl.exe
¤¤¤¤¤¤¤¤¤¤ | MBR
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 00:57:34
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Après redémarrage de l'ordi, j'ai obtenu un pre script que voici
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0909 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Admin Parents : Windows 7 Professional (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 00:54:33
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{15B3FB63-66F4-4EFC-B717-BB283B85E79B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{358E6F10-DE8A-4602-8424-179CA217F8EE}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8E1F80F4-953F-41E7-8460-E64AE5BE4ED3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C6A861C-B233-4994-AFB1-C158EE4FC578}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-587851288-542970392-1891882332-1001\Software\Safer Networking Limited
Key Deleted : HKLM\Software\BrowserChoice
¤
Impossible to move File : |A| - C:\Windows\system32\Gettsrvc.dll
File Deleted : |A| - C:\Windows\À÷"
File Deleted : |A| - C:\Users\Admin Parents\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk
File Deleted : |A| - C:\Users\Collégien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Opwaod
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Tyokv
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Ucyvup
Folder Deleted : |D| - C:\ProgramData\036DFF6665365A8E887DAB4EF875EF7E
File Deleted : |A| - C:\Users\Admin Parents\AppData\Local\iqudoo.exe
File Deleted : |A| - C:\Users\Admin Parents\AppData\Local\hwfnsrbpl.exe
¤¤¤¤¤¤¤¤¤¤ | MBR
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 00:57:34
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
grrrrR....!!!!
selectionne ces lignes puis relance l option script :
Kill::
Replace::
"C:\Windows\system32\Gettsrvc.dll" "C:\Pre_scan\Quarantine\gettsrvc.dll.P_S"
Reboot::
selectionne ces lignes puis relance l option script :
Kill::
Replace::
"C:\Windows\system32\Gettsrvc.dll" "C:\Pre_scan\Quarantine\gettsrvc.dll.P_S"
Reboot::
c'est fait
le rapport pre script me donne ça :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0909 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Admin Parents : Windows 7 Professional (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 01:35:13
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤
Fin : 01:35:17
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
le rapport pre script me donne ça :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0909 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Admin Parents : Windows 7 Professional (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 01:35:13
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤
Fin : 01:35:17
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
non il n'est plus là...
Merci d'etre encore dispo a cette heure ci... Tu es aussi un oiseau de nuit visiblement...
Merci d'etre encore dispo a cette heure ci... Tu es aussi un oiseau de nuit visiblement...
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
=====================================================
Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Combofix
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
=====================================================
Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Combofix
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
deux trois précisions avant de lancer tout ça qui m'a l'air assez périlleux...
AVG je ne sais meme pas ce que c'est mais je ne pense pas l'avoir sur le pc... je ne le vois pas dans la liste des programmes
si j'ai bien compris, quand je telecharge combofix, je dois l'appeler christophe.exe (je l'enregistre sur le bureau ?)
ma fille n'avait pas d'antivirus... donc je ne le désactive pas...
quant aux antispywares... je ne sais meme pas ce que c'est...
AVG je ne sais meme pas ce que c'est mais je ne pense pas l'avoir sur le pc... je ne le vois pas dans la liste des programmes
si j'ai bien compris, quand je telecharge combofix, je dois l'appeler christophe.exe (je l'enregistre sur le bureau ?)
ma fille n'avait pas d'antivirus... donc je ne le désactive pas...
quant aux antispywares... je ne sais meme pas ce que c'est...
ok renomme combofix en christophe ou jeanclaude ^^ puis lance-le dans ce cas si tu n'as pas d'antivirus passe outre ces recommandations
Je ne peux plus ouvrir Firefox ni IE sur le pc de ma fille...
J'ai passé le rapport de combofix sur un autre pc avec ma cle usb
Voici le rapport
ComboFix 12-09-10.04 - Admin Parents 11/09/2012 3:21.1.2 - x86
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.1911.1145 [GMT 2:00]
Lancé depuis: c:\users\Admin Parents\Desktop\Christophe.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BF5CEBDC-F2D3-7540-343C-F0CE11FD6E66}
SP: Microsoft Security Essentials *Disabled/Updated* {043D0A38-D4E9-7ACE-0E8C-CBBC6A7A24DB}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Admin Parents\AppData\Local\twcqg.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-08-11 au 2012-09-11 ))))))))))))))))))))))))))))))))))))
.
.
2012-09-11 01:29 . 2012-09-11 01:32 -------- d-----w- c:\users\Admin Parents\AppData\Local\temp
2012-09-11 01:29 . 2012-09-11 01:29 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-09-11 01:29 . 2012-09-11 01:29 -------- d-----w- c:\users\Collégien\AppData\Local\temp
2012-09-09 21:30 . 2012-09-10 17:26 -------- d-----w- C:\ZHP
2012-09-09 21:30 . 2012-09-10 17:25 -------- d-----w- c:\program files\ZHPDiag
2012-09-09 21:10 . 2012-09-09 21:10 -------- d-----w- c:\users\Admin Parents\AppData\Local\VirtualStore
2012-09-09 14:25 . 2009-07-14 01:14 259072 ----a-w- c:\windows\system32\services.exe
2012-09-09 13:09 . 2012-09-11 00:25 -------- d-----w- C:\Pre_Scan
2012-08-21 17:34 . 2012-08-22 06:59 -------- d-----w- c:\users\Collégien\AppData\Local\{63C194BB-2242-4F3B-8FDF-B7EFFD696C90}
2012-08-21 12:54 . 2012-08-01 22:51 7023536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{A9595D22-ABE7-4038-AAC4-63BA1E779ACB}\mpengine.dll
2012-08-20 12:06 . 2012-08-20 12:06 -------- d-----w- c:\users\Collégien\AppData\Local\{F2378E56-7CB7-4B4E-B592-5C0E63A5DDCB}
2012-08-19 10:57 . 2012-08-19 10:57 -------- d-----w- c:\users\Collégien\AppData\Local\{6F2253C8-451F-4FFA-BFD7-F2655BA147B6}
2012-08-18 10:13 . 2012-08-18 10:13 -------- d-----w- c:\users\Collégien\AppData\Local\{C0822902-6FF0-450B-A414-DCBF81AEDC26}
2012-08-18 10:13 . 2012-08-18 10:13 -------- d-----w- c:\users\Collégien\AppData\Local\{3DC45695-FA99-442A-B5B3-932CE484F99B}
2012-08-17 09:08 . 2012-08-17 09:08 -------- d-----w- c:\users\Collégien\AppData\Local\{888F5622-1001-4A40-B7C5-79DD11A819F9}
2012-08-16 16:53 . 2012-08-17 09:08 -------- d-----w- c:\users\Collégien\AppData\Local\{931B2CFD-A928-4C5F-A1EA-B7103D9F5192}
2012-08-16 08:43 . 2012-08-16 08:43 -------- d-----w- c:\users\Collégien\AppData\Local\{FCF9D209-9039-4114-8532-E121CD18783A}
2012-08-15 17:54 . 2012-08-15 17:54 -------- d-----w- c:\users\Admin Parents\AppData\Local\Macromedia
2012-08-15 16:42 . 2012-08-15 16:52 -------- d-----w- c:\users\Admin Parents\AppData\Local\Microsoft Games
2012-08-15 09:34 . 2012-08-15 09:34 -------- d-----w- c:\users\Collégien\AppData\Local\{D4AE2196-BE6E-4347-8432-E88A16C802E6}
2012-08-15 09:33 . 2012-08-15 09:34 -------- d-----w- c:\users\Collégien\AppData\Local\{B94A508F-FCE5-4C0F-A46D-AC56A99265DA}
2012-08-14 18:45 . 2012-08-14 18:45 -------- d-----w- c:\users\Collégien\AppData\Local\Macromedia
2012-08-14 18:34 . 2012-05-05 07:46 400896 ----a-w- c:\windows\system32\srcore.dll
2012-08-14 18:34 . 2012-07-18 17:47 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-08-14 18:34 . 2012-02-11 05:43 492032 ----a-w- c:\windows\system32\win32spl.dll
2012-08-14 18:34 . 2012-02-11 05:37 317440 ----a-w- c:\windows\system32\spoolsv.exe
2012-08-14 18:34 . 2012-07-04 21:14 41984 ----a-w- c:\windows\system32\browcli.dll
2012-08-14 18:34 . 2012-07-04 21:14 102912 ----a-w- c:\windows\system32\browser.dll
2012-08-14 18:34 . 2012-05-14 04:33 769024 ----a-w- c:\windows\system32\localspl.dll
2012-08-14 18:20 . 2012-08-14 18:21 -------- d-----w- c:\users\Collégien\AppData\Local\{1B41CE26-CF70-4DCE-9060-8E7F17C73808}
2012-08-14 18:20 . 2012-08-14 18:20 -------- d-----w- c:\users\Collégien\AppData\Local\{10BBC6CA-3A2D-44A1-A80D-3BB0C317E891}
2012-08-13 11:35 . 2012-08-13 11:35 5115584 ----a-w- c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}\components\SkypeFfComponent.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-14 20:38 . 2012-07-19 13:39 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-14 20:38 . 2012-07-19 13:39 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-08 11:09 . 2009-07-14 02:05 152576 ----a-w- c:\windows\system32\msclmd.dll
2012-06-29 08:44 . 2010-08-12 14:13 6891424 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2003-03-21 11:45 . 2010-08-14 12:30 250544 ----a-w- c:\program files\Common Files\keyhelp.ocx
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-05-03 17355912]
"Steam"="c:\program files\Steam\steam.exe" [2012-08-15 1353080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-03-10 1697064]
"Teco"="c:\program files\TOSHIBA\TECO\Teco.exe" [2010-03-17 1328480]
"TosWaitSrv"="c:\program files\TOSHIBA\TPHM\TosWaitSrv.exe" [2010-02-23 611672]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 22840]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-09-15 1094224]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-02-05 611672]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2009-08-21 476512]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2009-03-09 55160]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2009-08-13 521528]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2009-08-05 738616]
"TOSDCR"="c:\program files\TOSHIBA\PasswordUtility\TOSDCR.exe" [2007-08-28 169296]
"LAUNCHER_FILTER"="c:\program files\Profil Parental Filter\LaunchAppEpcp2.exe" [2012-04-24 13712]
"LOGGING_FILTER"="c:\program files\Profil Parental Filter\LoggingEpcp2.exe" [2012-04-24 193984]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
.
c:\users\Collégien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
.
c:\users\Admin Parents\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
TestAdmin.lnk - c:\windows\System32\sysprep\TestAdmin.bat [2010-9-27 484]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentProgForNewUserInStartMenu"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TWebCamera]
2010-02-23 23:54 2454840 ----a-w- c:\program files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 ServiceFilterEpcp2;Profil Parental Filter;c:\program files\Profil Parental Filter\ServiceEpcp2.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 AlfaFF;Alfa File System Mini-Filter;c:\windows\System32\Drivers\AlfaFF.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [x]
S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [x]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [x]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [x]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [x]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-09-11 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-19 20:38]
.
2012-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-19 13:39]
.
2012-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-19 13:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
LSP: c:\program files\Profil Parental Filter\hooklib.dll
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Admin Parents\AppData\Roaming\Mozilla\Firefox\Profiles\qp9e3fio.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=IE0004&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Skype Click to Call: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-MsMpSvc
SafeBoot-SRService
AddRemove-Atelier de géométrie (V 2.0)_is1 - c:\program files\ATELIERS\geom2D\unins000.exe
AddRemove-Atelier de géométrie 3D (V 1.01)_is1 - c:\program files\ATELIERS\geom3D\unins000.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(4072)
c:\program files\RocketDock\RocketDock.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\atieclxx.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\system32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\System32\rundll32.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\sppsvc.exe
c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSENotify.exe
c:\program files\TOSHIBA\TPHM\TPCHWMsg.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2012-09-11 03:40:22 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-09-11 01:40
.
Avant-CF: 58 798 247 936 octets libres
Après-CF: 58 925 428 736 octets libres
.
- - End Of File - - 7581FAECA1620F1CA11B988A0637FD30
VUl'heure, je vais me coucher....je dois me lever à 7 h demain... ou ce matin plus précisément
Merci en tout cas pour tout le mal que tu te donnes pour me débarrasser de cette ........
Je passerai demain matin avant de partir au travail voir s'il y a une manip à faire, sinon je rentre en fin d'après midi seulement
Merci encore
J'ai passé le rapport de combofix sur un autre pc avec ma cle usb
Voici le rapport
ComboFix 12-09-10.04 - Admin Parents 11/09/2012 3:21.1.2 - x86
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.1911.1145 [GMT 2:00]
Lancé depuis: c:\users\Admin Parents\Desktop\Christophe.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BF5CEBDC-F2D3-7540-343C-F0CE11FD6E66}
SP: Microsoft Security Essentials *Disabled/Updated* {043D0A38-D4E9-7ACE-0E8C-CBBC6A7A24DB}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Admin Parents\AppData\Local\twcqg.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-08-11 au 2012-09-11 ))))))))))))))))))))))))))))))))))))
.
.
2012-09-11 01:29 . 2012-09-11 01:32 -------- d-----w- c:\users\Admin Parents\AppData\Local\temp
2012-09-11 01:29 . 2012-09-11 01:29 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-09-11 01:29 . 2012-09-11 01:29 -------- d-----w- c:\users\Collégien\AppData\Local\temp
2012-09-09 21:30 . 2012-09-10 17:26 -------- d-----w- C:\ZHP
2012-09-09 21:30 . 2012-09-10 17:25 -------- d-----w- c:\program files\ZHPDiag
2012-09-09 21:10 . 2012-09-09 21:10 -------- d-----w- c:\users\Admin Parents\AppData\Local\VirtualStore
2012-09-09 14:25 . 2009-07-14 01:14 259072 ----a-w- c:\windows\system32\services.exe
2012-09-09 13:09 . 2012-09-11 00:25 -------- d-----w- C:\Pre_Scan
2012-08-21 17:34 . 2012-08-22 06:59 -------- d-----w- c:\users\Collégien\AppData\Local\{63C194BB-2242-4F3B-8FDF-B7EFFD696C90}
2012-08-21 12:54 . 2012-08-01 22:51 7023536 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{A9595D22-ABE7-4038-AAC4-63BA1E779ACB}\mpengine.dll
2012-08-20 12:06 . 2012-08-20 12:06 -------- d-----w- c:\users\Collégien\AppData\Local\{F2378E56-7CB7-4B4E-B592-5C0E63A5DDCB}
2012-08-19 10:57 . 2012-08-19 10:57 -------- d-----w- c:\users\Collégien\AppData\Local\{6F2253C8-451F-4FFA-BFD7-F2655BA147B6}
2012-08-18 10:13 . 2012-08-18 10:13 -------- d-----w- c:\users\Collégien\AppData\Local\{C0822902-6FF0-450B-A414-DCBF81AEDC26}
2012-08-18 10:13 . 2012-08-18 10:13 -------- d-----w- c:\users\Collégien\AppData\Local\{3DC45695-FA99-442A-B5B3-932CE484F99B}
2012-08-17 09:08 . 2012-08-17 09:08 -------- d-----w- c:\users\Collégien\AppData\Local\{888F5622-1001-4A40-B7C5-79DD11A819F9}
2012-08-16 16:53 . 2012-08-17 09:08 -------- d-----w- c:\users\Collégien\AppData\Local\{931B2CFD-A928-4C5F-A1EA-B7103D9F5192}
2012-08-16 08:43 . 2012-08-16 08:43 -------- d-----w- c:\users\Collégien\AppData\Local\{FCF9D209-9039-4114-8532-E121CD18783A}
2012-08-15 17:54 . 2012-08-15 17:54 -------- d-----w- c:\users\Admin Parents\AppData\Local\Macromedia
2012-08-15 16:42 . 2012-08-15 16:52 -------- d-----w- c:\users\Admin Parents\AppData\Local\Microsoft Games
2012-08-15 09:34 . 2012-08-15 09:34 -------- d-----w- c:\users\Collégien\AppData\Local\{D4AE2196-BE6E-4347-8432-E88A16C802E6}
2012-08-15 09:33 . 2012-08-15 09:34 -------- d-----w- c:\users\Collégien\AppData\Local\{B94A508F-FCE5-4C0F-A46D-AC56A99265DA}
2012-08-14 18:45 . 2012-08-14 18:45 -------- d-----w- c:\users\Collégien\AppData\Local\Macromedia
2012-08-14 18:34 . 2012-05-05 07:46 400896 ----a-w- c:\windows\system32\srcore.dll
2012-08-14 18:34 . 2012-07-18 17:47 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-08-14 18:34 . 2012-02-11 05:43 492032 ----a-w- c:\windows\system32\win32spl.dll
2012-08-14 18:34 . 2012-02-11 05:37 317440 ----a-w- c:\windows\system32\spoolsv.exe
2012-08-14 18:34 . 2012-07-04 21:14 41984 ----a-w- c:\windows\system32\browcli.dll
2012-08-14 18:34 . 2012-07-04 21:14 102912 ----a-w- c:\windows\system32\browser.dll
2012-08-14 18:34 . 2012-05-14 04:33 769024 ----a-w- c:\windows\system32\localspl.dll
2012-08-14 18:20 . 2012-08-14 18:21 -------- d-----w- c:\users\Collégien\AppData\Local\{1B41CE26-CF70-4DCE-9060-8E7F17C73808}
2012-08-14 18:20 . 2012-08-14 18:20 -------- d-----w- c:\users\Collégien\AppData\Local\{10BBC6CA-3A2D-44A1-A80D-3BB0C317E891}
2012-08-13 11:35 . 2012-08-13 11:35 5115584 ----a-w- c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}\components\SkypeFfComponent.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-14 20:38 . 2012-07-19 13:39 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-14 20:38 . 2012-07-19 13:39 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-08 11:09 . 2009-07-14 02:05 152576 ----a-w- c:\windows\system32\msclmd.dll
2012-06-29 08:44 . 2010-08-12 14:13 6891424 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2003-03-21 11:45 . 2010-08-14 12:30 250544 ----a-w- c:\program files\Common Files\keyhelp.ocx
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-05-03 17355912]
"Steam"="c:\program files\Steam\steam.exe" [2012-08-15 1353080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-03-10 1697064]
"Teco"="c:\program files\TOSHIBA\TECO\Teco.exe" [2010-03-17 1328480]
"TosWaitSrv"="c:\program files\TOSHIBA\TPHM\TosWaitSrv.exe" [2010-02-23 611672]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 22840]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-09-15 1094224]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-02-05 611672]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2009-08-21 476512]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2009-03-09 55160]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2009-08-13 521528]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2009-08-05 738616]
"TOSDCR"="c:\program files\TOSHIBA\PasswordUtility\TOSDCR.exe" [2007-08-28 169296]
"LAUNCHER_FILTER"="c:\program files\Profil Parental Filter\LaunchAppEpcp2.exe" [2012-04-24 13712]
"LOGGING_FILTER"="c:\program files\Profil Parental Filter\LoggingEpcp2.exe" [2012-04-24 193984]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
.
c:\users\Collégien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
.
c:\users\Admin Parents\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
TestAdmin.lnk - c:\windows\System32\sysprep\TestAdmin.bat [2010-9-27 484]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentProgForNewUserInStartMenu"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TWebCamera]
2010-02-23 23:54 2454840 ----a-w- c:\program files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 ServiceFilterEpcp2;Profil Parental Filter;c:\program files\Profil Parental Filter\ServiceEpcp2.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 AlfaFF;Alfa File System Mini-Filter;c:\windows\System32\Drivers\AlfaFF.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [x]
S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [x]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [x]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [x]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [x]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-09-11 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-19 20:38]
.
2012-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-19 13:39]
.
2012-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-19 13:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
LSP: c:\program files\Profil Parental Filter\hooklib.dll
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Admin Parents\AppData\Roaming\Mozilla\Firefox\Profiles\qp9e3fio.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=IE0004&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Skype Click to Call: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-MsMpSvc
SafeBoot-SRService
AddRemove-Atelier de géométrie (V 2.0)_is1 - c:\program files\ATELIERS\geom2D\unins000.exe
AddRemove-Atelier de géométrie 3D (V 1.01)_is1 - c:\program files\ATELIERS\geom3D\unins000.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(4072)
c:\program files\RocketDock\RocketDock.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\atieclxx.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\system32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\System32\rundll32.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\sppsvc.exe
c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSENotify.exe
c:\program files\TOSHIBA\TPHM\TPCHWMsg.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2012-09-11 03:40:22 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-09-11 01:40
.
Avant-CF: 58 798 247 936 octets libres
Après-CF: 58 925 428 736 octets libres
.
- - End Of File - - 7581FAECA1620F1CA11B988A0637FD30
VUl'heure, je vais me coucher....je dois me lever à 7 h demain... ou ce matin plus précisément
Merci en tout cas pour tout le mal que tu te donnes pour me débarrasser de cette ........
Je passerai demain matin avant de partir au travail voir s'il y a une manip à faire, sinon je rentre en fin d'après midi seulement
Merci encore
Salut
Non en fait ça y est j'ai pu me connecter à l'instant.
Après que l'ordi ait été éteint, Firefox est à nouveau accessible
Non en fait ça y est j'ai pu me connecter à l'instant.
Après que l'ordi ait été éteint, Firefox est à nouveau accessible
<
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
