Virus Backdoor:Win32 et HackTool32

Résolu/Fermé
MPB35220 - 4 oct. 2012 à 09:45
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014 - 16 oct. 2012 à 16:08
Bonjour,


C'est une histoire de fou ! Impossible de se débarrasser de virus avec Microsoft Security Essentials. le virus est détecté, mis en quarantaine, après relancement poste, il réapparait !!!!!

Que faire ?? Pouvez-vous m'aider .... merci

58 réponses

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
9 oct. 2012 à 23:02
Bonsoir,

Télécharger Malwarebyte's Anti-Malware - depuis ce lien
https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/?1 .
Enfoncer le bouton radio [Download Now],
- puis sur le bouton [Enregistrer], choisir sur le Bureau.
Sur le bureau s'affiche alors l'icône "mbam-setup-****.exe"

Imprimer ces instructions (ou les copier dans un fichier texte à enregistrer sue le Bureau) car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

1°- Installation

- Double-cliquer sur l'icône "mbam-setup-****.exe" du bureau pour démarrer le programme d'installation > [Exécuter] > Choisir "Français" et valider par [OK] > l'assistant d'installation s'affiche.
Cliquer sur "Suivant" > cocher la case du bouton ratio devant "... accepter ... la licence" > "Suivant" > "Suivant" > "Suivant" > "Suivant" > "Suivant" > et cliquer sur
[Installer] (laisser faire)
/!\ Cocher la case du bouton ratio devant "Mettre à jour ... ".
/!\ Décocher la case du bouton ration devant "Exécuter MBAM"


Ensuite cliquer sur [Terminer]

Attention, à ce moment, la mise à jour démarre (laisser faire) > à la suite du message "Succès de la mise à jour ..." cliquer sur [OK]

NB : Si un message s'affiche signalant qu'il manque COMCTL32.OCX (ce qui est peu probable), alors le télécharger [ https://www.malekal.com/tutorial-aboutbuster/ ]; et faire les mises à jour (cliquer sur "Mises à jour" puis "Recherche de mises à jour")

2°- Vérifier que tous les disques amovibles soient encore branchés et sans les ouvrir.

3°- Analyse
/!\ Utilisateur de Windows 7 : Clic-droit sur le logo de Malwarebytes' Anti-Malware, et choisir « Exécuter en tant qu'Administrateur »

Cliquer sur l'icône de raccourci Malwarebytes's Anti-Malware du bureau.

Sur la page affichée, choisir l'onglet "Recherche" et cocher la case du bouton ratio "Exécuter un examen Complet", ensuite enfoncer le bouton radio [Rechercher]
Cocher alors la case devant chaque disques à analyser, clés USB incluses, puis [Rechercher] pour lancer l'analyse.
Le scan est relativement long (+ de 1 heure généralement), c'est normal.

4°- A la fin de l'analyse, un message s'affiche
==> Citation : L'examen s'est terminé normalement.
==> Cliquer sur "Ok" pour poursuivre.
Si des malwares ont été détectés, cliquer sur "Afficher les résultats".
Sélectionner tout (ou laisser coché) ( ATTENTION Vérifier que toutes les cases soient cochées, surtout si présence de TUTO4PC! ) et cliquer sur "Supprimer la sélection"
MBAM va détruire les fichiers et clés de registre, et en mettre une copie dans la quarantaine.

5°- MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
Copier-coller ce rapport et le poster dans la prochaine réponse sur le topic en cours.

NB : Si MBAM demande à redémarrer, il faut le faire, mais seulement après avoir posté le rapport.

Une aide précieuse dans ce Tutoriel


0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
10 oct. 2012 à 08:40
Bonjour,
Et merci encore
J'ai vérifier dans les registres:
IM existe avec comme clé "UPN2" et une autre "valeur non définie"
il y a également IM Providers.

Je vais devoir m'absenter ce matin, je ferai la manip indiquée cet AM;

A tout à l'heure ...
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
10 oct. 2012 à 17:31
Re Bonjour,
Me revoici,
Voici le rapport d'analyse obtenu:

Malwarebytes Anti-Malware (Essai) 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.10.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Marie-Pierre :: MARIE-PIERRE-HP [administrateur]

Protection: Activé

10/10/2012 15:15:04
mbam-log-2012-10-10 (15-15-04).txt

Type d'examen: Examen complet (C:\|D:\|I:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 604025
Temps écoulé: 2 heure(s), 54 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Program Files (x86)\CreepTD\CreepTD.exe (Trojan.Agent.VGENX) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Uninstall Information\ib_uninst_514\uninstall.exe (PUP.BundleInstaller.IB) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Uninstall Information\ib_uninst_540\uninstall.exe (PUP.BundleInstaller.IB) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Uninstall Information\ib_uninst_555\uninstall.exe (PUP.BundleInstaller.IB) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Marie-Pierre\Downloads\Camtasia Studio 7 + Keygen\Camtasia_Studio_7_Keygen.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

(fin)

Je vais maintenant redémarrer le PC comme le demande MBAM.
Merci de ta réponse et de toutes ces précisions pour exécuter les manip. C'est super
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 10/10/2012 à 20:23
Bonsoir MPB35220,

Désolé pour ce contretemps, mais j'ai dû faire une mauvaise manoeuvre; à savoir que j'ai omis de cliquer sur "Valider mon message".

Bon!

Pour ton souci, maintenant que MBAM a supprimé ce fichier "Camtasia_Studio_7_Ke*gen.exe (RiskWare.Tool.CK)",relatif à "Camtasia_Studio_7"; j'aimerais que tu relances la recherche de " IM " avec "SEAF" comme indiqué là https://forums.commentcamarche.net/forum/affich-26194563-virus-backdoor-win32-et-hacktool32#20

Cela répond bien à ce que tu rapportais: « ... SEAF est bloqué sur un dossier dans ... CAMTASIA STUDIO\7.0 »

Sinon, on reviendra à ce que tu avais trouvé là : « J'ai vérifier dans les registres: IM existe avec comme clé "UPN2" et une autre "valeur non définie"; il y a également IM Providers. »

Est-ce que "Microsoft Security Essentials" lance encore une alerte ?

Merci
Al.

Patience-Vigilance-Amour.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
11 oct. 2012 à 08:59
Bonjour,

Oui Microsoft a remis ce matin en quarantaine:
Adware:Win32/Adkubru

Je relance donc la recherchE IM avec SEAF
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
11 oct. 2012 à 10:41
Allons-nous nous en sortir !
SEAF semble bloqué sur:
HKU\S-1-5-18\Software\Microsoft\WindowsNT\CurrentVersion\ AppCompatFlags

A ton avis ... Faut-il attendre malgré tout ?

Merci
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 11/10/2012 à 12:05
Bonjour

Exécute cette procédure COMBOFIX, s'il te plaît.

/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS /!\

- Ce logiciel n'est à utiliser que prescrit par un helper membre inscrit et formé à cet outil (c'est mon cas).
- Ne pas l'utiliser en dehors de ce sujet, ou par un autre internaute parcourant cette discussion.
- Imprimer (ou l'enregister en document texte sur le Bureau) cette procédure avant de continuer plus avant, parce que le PC aura à redémarrer.

==> Pour ton PC actuel, il faudra renommer Combofix avant qu'il soit enregistré.
Par défaut, Firefox ne permet pas le "renommage" avant sauvegarde ; il faut donc utiliser plutôt IE.

A)- Procédure de renommage

Clic-droit sur ce lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe ce lien de téléchargement (seul lien crédible).
Choisir "Enregistrer la cible (du lien) sous" > une fenêtre s'ouvre >
Dans la zone de saisie, à droite de "Nom du Fichier" (au bas de la fenêtre), modifier le nom ComboFix.exe présent par Ali007.exe
Choisir de l'enregistrer sur le Bureau ; alors, cliquer sur [Enregistrer].
Une icône circulaire rouge est maintenant sur visible à l'écran.
Note : Tutoriel pour renommer https://forum.pcastuces.com/combofix___renommer_au_telechargement-f31s22.htm
(Ne considérer ce tuto QUE pour la manipulation de renommage !!)

B)- Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection.
Si c'est le cas sur cet ordinateur, utiliser Defogger pour les désactiver temporairement ; en appliquant cette procédure :
Télécharger http://www.jpshortstuff.247fixes.com/Defogger.exe Defogger (de jpshortstuff) et l'enregistrer sur le bureau. Le lancer. Une fenêtre apparaît > cliquer sur "Disable".
Faire redémarrer l'ordinateur si l'outil le demande
Note : Quand nous aurons terminé la désinfection, il faudra penser à réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable".

C)- Avertissements
- Fermer les fenêtres de tous les programmes en cours.
- Déconnecter le PC du Net.
- Désactiver, provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de l'Antivirus et des Antispywares, y compris Windows Defender ou Microsoft Security Essential, susceptibles de faire échouer la procédure de recherche et de nettoyage par ComboFix.
En image : Désactivez les protections résidentes https://forum.pcastuces.com/default.asp
- Pour Microsoft Security Essentials : « *Right click on the system tray icon, and select " Open " Faites un clic droit sur ??l'icône de barre d'état système et sélectionnez «Ouvrir»
*Click on the " Settings " tab Cliquez sur l'onglet "Paramètres"
*On the left side of the screen, click on " Real-time protection " Sur le côté gauche de l'écran, cliquez sur "Protection en temps réel"
*Uncheck " Turn on Real-time protection " Décochez la case "Activer la protection en temps réel"
*Click on " Save Changes " Cliquez sur "Enregistrer les modifications" »

- Connecter tous les disques amovibles (disque dur externe, clé USB...).
- NE TOUCHER strictement à RIEN durant le travail de ComboFix ( souris, clavier, imprimante, etc.) !!

D)- Procédure d'analyse Combofix :

1- Lancement > Sur l'icône [combofix.exe] (éventuellement renommé),
- sous Vista ou Windows 7 => faire clic-droit, et choisir [Exécuter en tant qu'administrateur]

2- Accepter la mise à jour de CF, éventuellement aussi vers la dernière version CF.
Il y aura 50 étapes; après quoi le bureau s'éteint.
Attendre.
Il y aura un redémarre du PC.
Laisser faire jusqu'à la production du compte-rendu.
Durée ± 15 minutes si peu ou pas infecté.

4- Une fois le scanning achevé, un rapport va s'afficher à l'écran.
Ne pas oublier de réactiver les protections résidentes sur antivirus et antispywares, avant de reconnecter le PC à Internet pour poster le rapport.

Pour Windows Defender, réactivez-le dans le centre de sécurité. https://forum.zebulon.fr/topic/158081-probl%C3%A8me-windows-defender/#entry1338686

5- Revenir sur le forum, et copier/coller la totalité du contenu (se trouve aussi en C:\Combofix.txt) dans le prochain message en réponse.

Merci
Al.

Patience-Vigilance-Amour.
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
11 oct. 2012 à 15:38
Ouf ! ça y est !
Voici le compte rendu Combofix:

ComboFix 12-10-11.01 - Marie-Pierre 11/10/2012 13:24:30.1.2 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3839.2580 [GMT 2:00]
Lancé depuis: c:\users\Marie-Pierre\Desktop\Alli007.exe
AV: Microsoft Security Essentials *Disabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}
SP: Microsoft Security Essentials *Disabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\program files (x86)\Windows Live\Messenger\msacm32.dll
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NkbMonitor.exe.lnk
I:\Autorun.inf
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-09-11 au 2012-10-11 ))))))))))))))))))))))))))))))))))))
.
.
2012-10-11 11:40 . 2012-10-11 11:40 -------- d-----w- c:\users\Pierre\AppData\Local\temp
2012-10-11 11:40 . 2012-10-11 11:40 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-10-11 10:37 . 2012-08-30 07:27 9308616 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{15CCC1F0-FFDA-447A-B17C-BE218143D313}\mpengine.dll
2012-10-10 13:11 . 2012-10-10 13:11 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\Malwarebytes
2012-10-10 13:10 . 2012-10-10 13:10 -------- d-----w- c:\programdata\Malwarebytes
2012-10-10 13:10 . 2012-10-10 13:10 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-10-10 13:10 . 2012-09-07 15:04 25928 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-10-10 10:26 . 2012-08-30 07:27 9308616 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-10-10 06:34 . 2012-09-14 19:19 2048 ----a-w- c:\windows\system32\tzres.dll
2012-10-10 06:34 . 2012-09-14 18:28 2048 ----a-w- c:\windows\SysWow64\tzres.dll
2012-10-10 06:34 . 2012-08-11 00:56 715776 ----a-w- c:\windows\system32\kerberos.dll
2012-10-10 06:34 . 2012-08-10 23:56 542208 ----a-w- c:\windows\SysWow64\kerberos.dll
2012-10-10 06:34 . 2012-06-02 05:41 1464320 ----a-w- c:\windows\system32\crypt32.dll
2012-10-10 06:34 . 2012-06-02 04:36 1159680 ----a-w- c:\windows\SysWow64\crypt32.dll
2012-10-10 06:34 . 2012-06-02 05:41 184320 ----a-w- c:\windows\system32\cryptsvc.dll
2012-10-10 06:34 . 2012-06-02 05:41 140288 ----a-w- c:\windows\system32\cryptnet.dll
2012-10-10 06:34 . 2012-06-02 04:36 140288 ----a-w- c:\windows\SysWow64\cryptsvc.dll
2012-10-10 06:34 . 2012-06-02 04:36 103936 ----a-w- c:\windows\SysWow64\cryptnet.dll
2012-10-09 09:48 . 2012-10-09 09:48 -------- d-----w- c:\program files (x86)\SEAF
2012-10-07 13:42 . 2012-10-07 13:42 -------- d-----w- c:\program files\CCleaner
2012-10-07 13:24 . 2012-10-07 13:25 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\QuickScan
2012-10-06 15:24 . 2012-10-06 15:24 -------- d-----w- C:\After Effcet
2012-10-06 15:19 . 2012-10-06 15:19 -------- d-----w- c:\program files (x86)\Adobe Download Assistant
2012-10-06 11:45 . 2012-10-11 06:16 -------- d-----w- c:\users\Marie-Pierre\AppData\Local\LogMeIn Hamachi
2012-10-06 11:44 . 2012-10-06 11:44 -------- d-----w- c:\program files (x86)\LogMeIn Hamachi
2012-10-05 16:57 . 2012-10-05 16:57 -------- d-----w- C:\Twixtor5AEManual
2012-10-05 10:01 . 2012-10-02 06:43 972192 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{69615943-099E-43A0-87D7-8F9AB7E46296}\gapaengine.dll
2012-10-02 20:00 . 2012-10-02 20:00 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\DVDVideoSoft
2012-10-02 20:00 . 2012-10-02 20:00 -------- d-----w- c:\program files (x86)\Common Files\DVDVideoSoft
2012-10-02 20:00 . 2012-10-02 20:00 -------- d-----w- c:\program files (x86)\DVDVideoSoft
2012-09-29 07:00 . 2012-09-29 07:05 -------- d-----w- c:\users\Marie-Pierre\AppData\Local\Mixxx
2012-09-29 06:59 . 2012-09-29 07:00 -------- d-----w- c:\program files (x86)\DjMixerStudio
2012-09-29 06:28 . 2012-09-01 06:43 -------- d-----w- C:\MdcCCPack
2012-09-28 18:33 . 2012-10-10 18:33 -------- d-----w- C:\Motion Tracking
2012-09-26 14:22 . 2012-08-21 21:01 245760 ----a-w- c:\windows\system32\OxpsConverter.exe
2012-09-19 19:19 . 2012-09-19 19:19 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\Gyazo
2012-09-19 19:18 . 2012-09-19 19:18 -------- d-----w- c:\program files (x86)\Gyazo
2012-09-17 05:57 . 2012-08-21 11:01 33240 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2012-09-17 05:57 . 2012-09-17 05:57 -------- d-----w- c:\programdata\34BE82C4-E596-4e99-A191-52C6199EBF69
2012-09-17 05:57 . 2012-09-17 05:57 -------- d-----w- c:\program files\iTunes
2012-09-17 05:57 . 2012-09-17 05:57 -------- d-----w- c:\program files (x86)\iTunes
2012-09-17 05:57 . 2012-09-17 05:57 -------- d-----w- c:\program files\iPod
2012-09-15 09:17 . 2012-09-15 09:17 -------- d-----w- c:\program files (x86)\Common Files\Java
2012-09-15 09:17 . 2012-09-15 09:16 95208 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-14 16:44 . 2012-09-14 16:44 -------- d-----w- c:\program files (x86)\GUM4922.tmp
2012-09-13 15:11 . 2012-09-13 15:12 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\Notepad++
2012-09-13 15:11 . 2012-09-13 15:11 -------- d-----w- c:\program files (x86)\Notepad++
2012-09-12 09:31 . 2012-10-02 11:14 -------- d-----w- c:\windows\SysWow64\WNLT
2012-09-12 09:31 . 2012-10-02 06:27 -------- d-----w- c:\windows\system32\ARFC
2012-09-12 09:31 . 2012-09-13 13:26 1259888 ----a-w- c:\windows\system32\dmwu.exe
2012-09-12 09:31 . 2012-09-13 13:25 35328 ----a-w- c:\windows\system32\ImHttpComm.dll
2012-09-12 06:22 . 2012-08-22 18:12 950128 ----a-w- c:\windows\system32\drivers\ndis.sys
2012-09-12 06:22 . 2012-07-04 20:26 41472 ----a-w- c:\windows\system32\drivers\RNDISMP.sys
2012-09-12 06:22 . 2012-08-22 18:12 1913200 ----a-w- c:\windows\system32\drivers\tcpip.sys
2012-09-12 06:22 . 2012-08-02 17:58 574464 ----a-w- c:\windows\system32\d3d10level9.dll
2012-09-12 06:22 . 2012-08-02 16:57 490496 ----a-w- c:\windows\SysWow64\d3d10level9.dll
2012-09-12 06:22 . 2012-08-22 18:12 376688 ----a-w- c:\windows\system32\drivers\netio.sys
2012-09-12 06:22 . 2012-08-22 18:12 288624 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-10 07:06 . 2011-08-03 08:36 65309168 ----a-w- c:\windows\system32\MRT.exe
2012-10-09 09:06 . 2012-05-31 17:42 696760 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-09 09:06 . 2011-07-22 15:45 73656 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-10-02 06:43 . 2011-10-11 15:17 972192 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2012-09-21 12:17 . 2011-07-20 07:40 899184 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll
2012-09-21 12:17 . 2011-07-20 07:40 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2012-09-17 13:31 . 2012-07-28 18:58 2300528 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2012-09-17 13:11 . 2012-07-28 18:58 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2012-09-15 09:16 . 2012-06-04 20:15 821736 ----a-w- c:\windows\SysWow64\npdeployJava1.dll
2012-09-15 09:16 . 2011-07-15 13:01 746984 ----a-w- c:\windows\SysWow64\deployJava1.dll
2012-09-03 17:17 . 2012-09-03 17:17 31080 ----a-w- c:\windows\system32\drivers\avgtpx64.sys
2012-08-30 20:03 . 2012-08-30 20:03 228768 ----a-w- c:\windows\system32\drivers\MpFilter.sys
2012-08-30 20:03 . 2011-04-27 13:25 128456 ----a-w- c:\windows\system32\drivers\NisDrvWFP.sys
2012-08-21 11:01 . 2012-05-15 06:53 125872 ----a-w- c:\windows\system32\GEARAspi64.dll
2012-08-21 11:01 . 2012-05-15 06:53 106928 ----a-w- c:\windows\SysWow64\GEARAspi.dll
2012-08-20 17:38 . 2012-10-10 06:35 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2012-07-28 18:57 . 2011-07-20 07:40 639312 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2012-07-18 18:15 . 2012-08-15 07:02 3148800 ----a-w- c:\windows\system32\win32k.sys
2010-07-22 22:40 . 2011-11-13 11:35 2944904 ----a-w- c:\program files (x86)\Common Files\AskToolbarInstaller.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\Dock\HPAdvisorDock.exe" [2010-02-10 1712184]
"uTorrent"="c:\program files (x86)\uTorrent\uTorrent.exe" [2012-08-08 896400]
"Akamai NetSession Interface"="c:\users\Marie-Pierre\AppData\Local\Akamai\netsession_win.exe" [2012-08-10 4440896]
"Facebook Update"="c:\users\Marie-Pierre\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"MP3 Skype Recorder"="c:\program files (x86)\MP3 Skype Recorder\MP3 Skype Recorder.exe" [2011-11-17 1975296]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-07-13 17418928]
"Clownfish"="c:\program files (x86)\Clownfish\Clownfish.exe" [2012-09-27 1122040]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2009-10-14 563736]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"AdobeCS5.5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"anon_proxy_server"="c:\program files (x86)\Anon Proxy Server\htdocs\anon_proxy_server\pserver.exe" [2008-01-28 94208]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"AdobeCS6ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-06-25 1073352]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-08-29 1996200]
.
c:\users\Marie-Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AutoStart IR.lnk - c:\program files (x86)\WinTV\Ir.exe [2011-12-25 117344]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 BBSvc;BingBar Service;c:\program files (x86)\Microsoft\BingBar\7.1.361.0\BBSvc.exe [2012-02-10 193816]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-05 136176]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-09-07 676936]
R2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [2012-08-13 3064000]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944]
R2 vToolbarUpdater12.2.6;vToolbarUpdater12.2.6;c:\program files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-09 250808]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-05 136176]
R3 hcwhdpvr;Hauppauge HD PVR Capture Device;c:\windows\system32\DRIVERS\hcwhdpvr.sys [2010-06-23 189952]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-09-07 25928]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2012-08-30 128456]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2012-09-12 368896]
R3 SwitchBoard;Adobe SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-07-09 52736]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-07-16 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx64.sys [2012-09-03 31080]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-11-22 270912]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-07-27 63960]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 anon_proxy_config;anon_proxy_config;c:\program files (x86)\Anon Proxy Server\bin\Apache.exe [2007-01-09 20539]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-01-13 821664]
S2 ezSharedSvc;Easybits Services for Windows;c:\windows\System32\ezSharedSvcHost.exe [x]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-08-29 2369960]
S2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-09-07 399432]
S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2009-10-14 635416]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2009-12-02 483688]
S2 WebOptimizer;WebOptimizer;c:\windows\system32\dmwu.exe [2012-09-13 1259888]
S3 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\7.1.361.0\SeaPort.exe [2012-02-10 240408]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2009-12-02 721768]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2009-12-02 269672]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2009-12-02 25960]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2009-12-02 22376]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2009-12-02 209768]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2012-10-11 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-31 09:06]
.
2012-10-11 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1622724560-4051104470-475039880-1000Core.job
- c:\users\Marie-Pierre\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-03-19 08:19]
.
2012-10-11 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1622724560-4051104470-475039880-1000UA.job
- c:\users\Marie-Pierre\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-03-19 08:19]
.
2012-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-05 14:17]
.
2012-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-05 14:17]
.
2012-09-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1622724560-4051104470-475039880-1000Core.job
- c:\users\Marie-Pierre\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-07 18:42]
.
2012-10-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1622724560-4051104470-475039880-1000UA.job
- c:\users\Marie-Pierre\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-07 18:42]
.
2012-10-07 c:\windows\Tasks\HPCeeScheduleForMarie-Pierre.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 10:53]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-09-20 444904]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-09-12 1289704]
.
------- Examen supplémentaire -------
.
uStart Page = https://www.google.fr/
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://www.google.com
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
mSearchAssistant =
IE: &Bloquer cette image (ABP) - c:\program files (x86)\Adblock Pro\blockimg.html
IE: Free YouTube to MP3 Converter - c:\users\Marie-Pierre\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
Trusted Zone: clonewarsadventures.com
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20111020140028
FF - ProfilePath - c:\users\Marie-Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\6rnxcbsi.default\
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{0cc09160-108c-4759-bab1-5c12c216e005} - (no file)
URLSearchHooks-{09152f0b-739c-4dec-a245-1aa8a37594f1} - (no file)
Toolbar-10 - (no file)
Toolbar-{0cc09160-108c-4759-bab1-5c12c216e005} - (no file)
Toolbar-!{26c9e18c-3717-4be1-a225-04e4471f5b6e} - (no file)
Toolbar-!{95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
Toolbar-!{977AE9CC-AF83-45E8-9E03-E2798216E2D5} - (no file)
Toolbar-!{F9639E4A-801B-4843-AEE3-03D9DA199E77} - (no file)
Wow6432Node-HKCU-Run-AdobeBridge - (no file)
Wow6432Node-HKCU-Run-EA Core - c:\program files (x86)\Electronic Arts\EADM\Core.exe
Wow6432Node-HKLM-Run-Easybits Recovery - c:\program files (x86)\EasyBits For Kids\ezRecover.exe
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
Wow6432Node-HKLM-Run-ArcSoft Connection Service - c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
Wow6432Node-HKLM-Run-vProt - c:\program files (x86)\AVG Secure Search\vprot.exe
Wow6432Node-HKLM-Run-ROC_ROC_JULY_P1 - c:\program files (x86)\AVG Secure Search\ROC_ROC_JULY_P1.exe
Toolbar-10 - (no file)
Toolbar-!{26c9e18c-3717-4be1-a225-04e4471f5b6e} - (no file)
Toolbar-!{95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
Toolbar-!{977AE9CC-AF83-45E8-9E03-E2798216E2D5} - (no file)
WebBrowser-{0CC09160-108C-4759-BAB1-5C12C216E005} - (no file)
WebBrowser-{09152F0B-739C-4DEC-A245-1AA8A37594F1} - (no file)
AddRemove-Steam App 201870 - c:\program files (x86)\cracked steam\steam.exe
AddRemove-Steam App 33230 - c:\program files (x86)\cracked steam\steam.exe
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\bm_installer.exe
AddRemove-{6F44AF95-3CDE-4513-AD3F-6D45F17BF324} - c:\program files (x86)\InstallShield Installation Information\{6F44AF95-3CDE-4513-AD3F-6D45F17BF324}\setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai]
"ServiceDll"="c:\program files (x86)\common files\akamai/netsession_win_5891ae0.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
@Denied: (2) (LocalSystem)
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=hex:51,66,7a,6c,4c,1d,3b,1b,08,4b,65,
1a,82,e9,65,3d,9d,e9,17,af,a2,b0,e5,ab
"{0CC09160-108C-4759-BAB1-5C12C216E005}"=hex:51,66,7a,6c,4c,1d,38,12,0e,92,d3,
08,be,5e,37,02,c5,a7,1f,52,c7,48,a4,11
"{4D2D3B0F-69BE-477A-90F5-FDDB05357975}"=hex:51,66,7a,6c,4c,1d,38,12,61,38,3e,
49,8c,27,14,02,ef,e3,be,9b,00,6b,3d,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-10-11 14:52:58
ComboFix-quarantined-files.txt 2012-10-11 12:52
.
Avant-CF: 221 789 081 600 octets libres
Après-CF: 221 939 212 288 octets libres
.
- - End Of File - - CF3547990F0009F49FA7A65DFA07DEC1
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
11 oct. 2012 à 17:30
Bonsoir et Bravo !

A)- Ceci désinstallera ComboFix

Accéder à la commande [Exécuter] en appuyant simultanément sur les touches Windows [img]http://res2.windows.microsoft.com/resbox/en/Windows%207/main/0d8a4985-b5e2-41a6-a1b6-e4bafb517937_92.png[/img] et R > Exécuter > Copier/Coller le texte en gras suivant: ComboFix / Uninstall dans la boîte de dialogue "Exécuter" et cliquer sur [OK] pour valider.


B)- Étais-tu intervenue ce que tu avais trouvé là : « J'ai vérifier dans les registres: IM existe avec comme clé "UPN2" et une autre "valeur non définie"; il y a également IM Providers. » ?


C)- As-tu l'usage de ce programme ArcSoft situé là :
Wow6432Node-HKLM-Run-ArcSoft Connection Service - c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe


D)- As-tu installé un serveur PROXY, tel qu'on le voit là (est-ce un PC avec connexion chez ton employeur par exemple) ?

* [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"anon_proxy_server"="c:\program files (x86)\Anon Proxy Server\htdocs\anon_proxy_server\pserver.exe" [2008-01-28 94208]
* S2 anon_proxy_config;anon_proxy_config;c:\program files (x86)\Anon Proxy Server\bin\Apache.exe [2007-01-09 20539]


E)- Je n'aime pas AKAMAI et je voudrais le supprimer

* [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=- "c:\users\Marie-Pierre\AppData\Local\Akamai\netsession_win.exe"
* [HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai]
"ServiceDll"="c:\program files (x86)\common files\akamai/netsession_win_5891ae0.dll"


F)- Redis-moi si tu as des DD externes, s'il te plaît.


Vois-tu un changement de comportement du PC ?
Merci
Al.
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
11 oct. 2012 à 18:54
Me revoici,
J'ai lancer la désinstallation et ça m'a généré un nouveau rapport !!,????
Que voici:

ComboFix 12-10-11.01 - Marie-Pierre 11/10/2012 18:10:29.2.2 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3839.1868 [GMT 2:00]
Lancé depuis: c:\users\Marie-Pierre\Desktop\Alli007.exe
Commutateurs utilisés :: / Uninstall
AV: Microsoft Security Essentials *Enabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}
SP: Microsoft Security Essentials *Enabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Une copie infectée de c:\windows\SysWow64\Version.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\erdnt\cache86\version.dll
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-09-11 au 2012-10-11 ))))))))))))))))))))))))))))))))))))
.
.
2012-10-11 16:20 . 2012-10-11 16:20 -------- d-----w- c:\users\Pierre\AppData\Local\temp
2012-10-11 16:20 . 2012-10-11 16:20 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-10-11 13:05 . 2012-08-30 07:27 9308616 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{5B19C019-2F34-4FDE-9202-B4E0B62DB10E}\mpengine.dll
2012-10-10 13:11 . 2012-10-10 13:11 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\Malwarebytes
2012-10-10 13:10 . 2012-10-10 13:10 -------- d-----w- c:\programdata\Malwarebytes
2012-10-10 13:10 . 2012-10-10 13:10 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-10-10 13:10 . 2012-09-07 15:04 25928 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-10-10 10:26 . 2012-08-30 07:27 9308616 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-10-10 06:34 . 2012-09-14 19:19 2048 ----a-w- c:\windows\system32\tzres.dll
2012-10-10 06:34 . 2012-09-14 18:28 2048 ----a-w- c:\windows\SysWow64\tzres.dll
2012-10-10 06:34 . 2012-08-11 00:56 715776 ----a-w- c:\windows\system32\kerberos.dll
2012-10-10 06:34 . 2012-08-10 23:56 542208 ----a-w- c:\windows\SysWow64\kerberos.dll
2012-10-10 06:34 . 2012-06-02 05:41 1464320 ----a-w- c:\windows\system32\crypt32.dll
2012-10-10 06:34 . 2012-06-02 04:36 1159680 ----a-w- c:\windows\SysWow64\crypt32.dll
2012-10-10 06:34 . 2012-06-02 05:41 184320 ----a-w- c:\windows\system32\cryptsvc.dll
2012-10-10 06:34 . 2012-06-02 05:41 140288 ----a-w- c:\windows\system32\cryptnet.dll
2012-10-10 06:34 . 2012-06-02 04:36 140288 ----a-w- c:\windows\SysWow64\cryptsvc.dll
2012-10-10 06:34 . 2012-06-02 04:36 103936 ----a-w- c:\windows\SysWow64\cryptnet.dll
2012-10-09 09:48 . 2012-10-09 09:48 -------- d-----w- c:\program files (x86)\SEAF
2012-10-07 13:42 . 2012-10-07 13:42 -------- d-----w- c:\program files\CCleaner
2012-10-07 13:24 . 2012-10-07 13:25 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\QuickScan
2012-10-06 15:24 . 2012-10-06 15:24 -------- d-----w- C:\After Effcet
2012-10-06 15:19 . 2012-10-06 15:19 -------- d-----w- c:\program files (x86)\Adobe Download Assistant
2012-10-06 11:45 . 2012-10-11 16:21 -------- d-----w- c:\users\Marie-Pierre\AppData\Local\LogMeIn Hamachi
2012-10-06 11:44 . 2012-10-06 11:44 -------- d-----w- c:\program files (x86)\LogMeIn Hamachi
2012-10-05 16:57 . 2012-10-05 16:57 -------- d-----w- C:\Twixtor5AEManual
2012-10-05 10:01 . 2012-10-02 06:43 972192 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{69615943-099E-43A0-87D7-8F9AB7E46296}\gapaengine.dll
2012-10-02 20:00 . 2012-10-02 20:00 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\DVDVideoSoft
2012-10-02 20:00 . 2012-10-02 20:00 -------- d-----w- c:\program files (x86)\Common Files\DVDVideoSoft
2012-10-02 20:00 . 2012-10-02 20:00 -------- d-----w- c:\program files (x86)\DVDVideoSoft
2012-09-29 07:00 . 2012-09-29 07:05 -------- d-----w- c:\users\Marie-Pierre\AppData\Local\Mixxx
2012-09-29 06:59 . 2012-09-29 07:00 -------- d-----w- c:\program files (x86)\DjMixerStudio
2012-09-29 06:28 . 2012-09-01 06:43 -------- d-----w- C:\MdcCCPack
2012-09-28 18:33 . 2012-10-10 18:33 -------- d-----w- C:\Motion Tracking
2012-09-26 14:22 . 2012-08-21 21:01 245760 ----a-w- c:\windows\system32\OxpsConverter.exe
2012-09-19 19:19 . 2012-09-19 19:19 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\Gyazo
2012-09-19 19:18 . 2012-09-19 19:18 -------- d-----w- c:\program files (x86)\Gyazo
2012-09-17 05:57 . 2012-08-21 11:01 33240 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2012-09-17 05:57 . 2012-09-17 05:57 -------- d-----w- c:\programdata\34BE82C4-E596-4e99-A191-52C6199EBF69
2012-09-17 05:57 . 2012-09-17 05:57 -------- d-----w- c:\program files\iTunes
2012-09-17 05:57 . 2012-09-17 05:57 -------- d-----w- c:\program files (x86)\iTunes
2012-09-17 05:57 . 2012-09-17 05:57 -------- d-----w- c:\program files\iPod
2012-09-15 09:17 . 2012-09-15 09:17 -------- d-----w- c:\program files (x86)\Common Files\Java
2012-09-15 09:17 . 2012-09-15 09:16 95208 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-14 16:44 . 2012-09-14 16:44 -------- d-----w- c:\program files (x86)\GUM4922.tmp
2012-09-13 15:11 . 2012-09-13 15:12 -------- d-----w- c:\users\Marie-Pierre\AppData\Roaming\Notepad++
2012-09-13 15:11 . 2012-09-13 15:11 -------- d-----w- c:\program files (x86)\Notepad++
2012-09-12 09:31 . 2012-10-02 11:14 -------- d-----w- c:\windows\SysWow64\WNLT
2012-09-12 09:31 . 2012-10-02 06:27 -------- d-----w- c:\windows\system32\ARFC
2012-09-12 09:31 . 2012-09-13 13:26 1259888 ----a-w- c:\windows\system32\dmwu.exe
2012-09-12 09:31 . 2012-09-13 13:25 35328 ----a-w- c:\windows\system32\ImHttpComm.dll
2012-09-12 06:22 . 2012-08-22 18:12 950128 ----a-w- c:\windows\system32\drivers\ndis.sys
2012-09-12 06:22 . 2012-07-04 20:26 41472 ----a-w- c:\windows\system32\drivers\RNDISMP.sys
2012-09-12 06:22 . 2012-08-22 18:12 1913200 ----a-w- c:\windows\system32\drivers\tcpip.sys
2012-09-12 06:22 . 2012-08-02 17:58 574464 ----a-w- c:\windows\system32\d3d10level9.dll
2012-09-12 06:22 . 2012-08-02 16:57 490496 ----a-w- c:\windows\SysWow64\d3d10level9.dll
2012-09-12 06:22 . 2012-08-22 18:12 376688 ----a-w- c:\windows\system32\drivers\netio.sys
2012-09-12 06:22 . 2012-08-22 18:12 288624 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-11 14:01 . 2012-07-28 18:58 899184 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2012-10-11 14:01 . 2012-07-28 18:58 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2012-10-10 07:06 . 2011-08-03 08:36 65309168 ----a-w- c:\windows\system32\MRT.exe
2012-10-09 09:06 . 2012-05-31 17:42 696760 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-09 09:06 . 2011-07-22 15:45 73656 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-10-02 06:43 . 2011-10-11 15:17 972192 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2012-09-21 12:17 . 2011-07-20 07:40 899184 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll
2012-09-21 12:17 . 2011-07-20 07:40 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2012-09-15 09:16 . 2012-06-04 20:15 821736 ----a-w- c:\windows\SysWow64\npdeployJava1.dll
2012-09-15 09:16 . 2011-07-15 13:01 746984 ----a-w- c:\windows\SysWow64\deployJava1.dll
2012-09-03 17:17 . 2012-09-03 17:17 31080 ----a-w- c:\windows\system32\drivers\avgtpx64.sys
2012-08-30 20:03 . 2012-08-30 20:03 228768 ----a-w- c:\windows\system32\drivers\MpFilter.sys
2012-08-30 20:03 . 2011-04-27 13:25 128456 ----a-w- c:\windows\system32\drivers\NisDrvWFP.sys
2012-08-21 11:01 . 2012-05-15 06:53 125872 ----a-w- c:\windows\system32\GEARAspi64.dll
2012-08-21 11:01 . 2012-05-15 06:53 106928 ----a-w- c:\windows\SysWow64\GEARAspi.dll
2012-08-20 17:38 . 2012-10-10 06:35 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2012-07-28 18:57 . 2011-07-20 07:40 639312 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2012-07-18 18:15 . 2012-08-15 07:02 3148800 ----a-w- c:\windows\system32\win32k.sys
2010-07-22 22:40 . 2011-11-13 11:35 2944904 ----a-w- c:\program files (x86)\Common Files\AskToolbarInstaller.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\Dock\HPAdvisorDock.exe" [2010-02-10 1712184]
"uTorrent"="c:\program files (x86)\uTorrent\uTorrent.exe" [2012-08-08 896400]
"Akamai NetSession Interface"="c:\users\Marie-Pierre\AppData\Local\Akamai\netsession_win.exe" [2012-08-10 4440896]
"Facebook Update"="c:\users\Marie-Pierre\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-12 138096]
"MP3 Skype Recorder"="c:\program files (x86)\MP3 Skype Recorder\MP3 Skype Recorder.exe" [2011-11-17 1975296]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-07-13 17418928]
"Clownfish"="c:\program files (x86)\Clownfish\Clownfish.exe" [2012-09-27 1122040]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-08-02 4910912]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2009-10-14 563736]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"AdobeCS5.5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"anon_proxy_server"="c:\program files (x86)\Anon Proxy Server\htdocs\anon_proxy_server\pserver.exe" [2008-01-28 94208]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"AdobeCS6ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-06-25 1073352]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-08-29 1996200]
.
c:\users\Marie-Pierre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AutoStart IR.lnk - c:\program files (x86)\WinTV\Ir.exe [2011-12-25 117344]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-05 136176]
R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944]
R2 vToolbarUpdater12.2.6;vToolbarUpdater12.2.6;c:\program files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-09 250808]
R3 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\7.1.361.0\SeaPort.exe [2012-02-10 240408]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-05 136176]
R3 hcwhdpvr;Hauppauge HD PVR Capture Device;c:\windows\system32\DRIVERS\hcwhdpvr.sys [2010-06-23 189952]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 SwitchBoard;Adobe SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-07-09 52736]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-07-16 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx64.sys [2012-09-03 31080]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-11-22 270912]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-07-27 63960]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 anon_proxy_config;anon_proxy_config;c:\program files (x86)\Anon Proxy Server\bin\Apache.exe [2007-01-09 20539]
S2 BBSvc;BingBar Service;c:\program files (x86)\Microsoft\BingBar\7.1.361.0\BBSvc.exe [2012-02-10 193816]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-01-13 821664]
S2 ezSharedSvc;Easybits Services for Windows;c:\windows\System32\ezSharedSvcHost.exe [x]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-08-29 2369960]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-09-07 399432]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-09-07 676936]
S2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2012-08-30 128456]
S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2009-10-14 635416]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2009-12-02 483688]
S2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [2012-08-13 3064000]
S2 WebOptimizer;WebOptimizer;c:\windows\system32\dmwu.exe [2012-09-13 1259888]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-09-07 25928]
S3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2012-09-12 368896]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2009-12-02 721768]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2009-12-02 269672]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2009-12-02 25960]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2009-12-02 22376]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2009-12-02 209768]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2012-10-11 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-31 09:06]
.
2012-10-11 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1622724560-4051104470-475039880-1000Core.job
- c:\users\Marie-Pierre\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-03-19 08:19]
.
2012-10-11 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1622724560-4051104470-475039880-1000UA.job
- c:\users\Marie-Pierre\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-03-19 08:19]
.
2012-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-05 14:17]
.
2012-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-05 14:17]
.
2012-09-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1622724560-4051104470-475039880-1000Core.job
- c:\users\Marie-Pierre\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-07 18:42]
.
2012-10-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1622724560-4051104470-475039880-1000UA.job
- c:\users\Marie-Pierre\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-07 18:42]
.
2012-10-07 c:\windows\Tasks\HPCeeScheduleForMarie-Pierre.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 10:53]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2010-01-18 568888]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-09-20 444904]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-09-12 1289704]
.
------- Examen supplémentaire -------
.
uStart Page = https://www.google.fr/
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://www.google.com
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
mSearchAssistant =
IE: &Bloquer cette image (ABP) - c:\program files (x86)\Adblock Pro\blockimg.html
IE: Free YouTube to MP3 Converter - c:\users\Marie-Pierre\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
Trusted Zone: clonewarsadventures.com
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20111020140028
FF - ProfilePath - c:\users\Marie-Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\6rnxcbsi.default\
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-10 - (no file)
Toolbar-{0cc09160-108c-4759-bab1-5c12c216e005} - (no file)
Toolbar-!{26c9e18c-3717-4be1-a225-04e4471f5b6e} - (no file)
Toolbar-!{95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
Toolbar-!{977AE9CC-AF83-45E8-9E03-E2798216E2D5} - (no file)
Toolbar-!{F9639E4A-801B-4843-AEE3-03D9DA199E77} - (no file)
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
AddRemove-Steam App 201870 - c:\program files (x86)\cracked steam\steam.exe
AddRemove-Steam App 33230 - c:\program files (x86)\cracked steam\steam.exe
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\bm_installer.exe
AddRemove-{6F44AF95-3CDE-4513-AD3F-6D45F17BF324} - c:\program files (x86)\InstallShield Installation Information\{6F44AF95-3CDE-4513-AD3F-6D45F17BF324}\setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai]
"ServiceDll"="c:\program files (x86)\common files\akamai/netsession_win_5891ae0.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
@Denied: (2) (LocalSystem)
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=hex:51,66,7a,6c,4c,1d,3b,1b,08,4b,65,
1a,82,e9,65,3d,9d,e9,17,af,a2,b0,e5,ab
"{0CC09160-108C-4759-BAB1-5C12C216E005}"=hex:51,66,7a,6c,4c,1d,38,12,0e,92,d3,
08,be,5e,37,02,c5,a7,1f,52,c7,48,a4,11
"{4D2D3B0F-69BE-477A-90F5-FDDB05357975}"=hex:51,66,7a,6c,4c,1d,38,12,61,38,3e,
49,8c,27,14,02,ef,e3,be,9b,00,6b,3d,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\SysWOW64\ezSharedSvcHost.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
.
**************************************************************************
.
Heure de fin: 2012-10-11 18:28:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-10-11 16:28
ComboFix2.txt 2012-10-11 12:53
.
Avant-CF: 217 795 616 768 octets libres
Après-CF: 217 839 955 968 octets libres
.
- - End Of File - - 8F699567E54B61731C69680B87E82F2F


Réponse aux petites questions:
B/ non je ne suis pas intervenue, j'ai juste constaté

C/ As-tu l'usage de ce programme ArcSoft :
ACDaemon.exe
Non, ça ne me dit rien

D)- As-tu installé un serveur PROXY, tel qu'on le voit là (est-ce un PC avec connexion chez ton employeur par exemple) ?

Et Non, ce n'est par pour mon eployeur,
c'est un des mes fils qui a installé un serveur en rapport avec la Play Station 3 (pour pouvoir jouer en ancienne version m'a t-il dit !)


E) Concernant AKAMAI, j'ignore ce que c'est !
Supprimons le si c'est préférable !

F) J'ai 1 disque dur externe toshiba + un autre non branché !!!

Voilà Voilà

A+
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 11/10/2012 à 19:29
Re,
Merci

A)- Télécharger OTM (OldTimer) sur le Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clic-droit sur "OTM.exe" et choisir "exécuter en tant qu'administrateur" afin de le lancer.
- Copier (Ctrl+C) le texte suivant en gras ci-dessous :

:reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
"Akamai"=-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai]

:files
c:\users\Marie-Pierre\AppData\Local\Akamai\netsession_win.exe
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NkbMonitor.exe.lnk
c:\program files (x86)\cracked steam\steam.exe

:commands
[Emptytemp]
[reboot]


- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.

- Cliquer sur le bouton [MoveIt!]

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel demandera de redémarrer.
Accepter en cliquant sur YES.

- Poster le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log



B)- Relancer AdwCleaner
Cliquer sur le bouton [Suppression ]
Patienter ...
Poste le rapport qui apparait à la fin.


Merci
Al.
Patience-Vigilance-Amour.
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
11 oct. 2012 à 21:52
OTM (OldTimer) semble être bloqué

Il y a bien un rapport dans C:\_OTMoveIt\MovedFiles\
le fichier s'appelle 10112012_205410
mais il est vide

que faire ...
interrompre ?

Merci
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 11/10/2012 à 22:19
B)- Relancer AdwCleaner
Cliquer sur le bouton [Suppression ]
Patienter ...
Poste le rapport qui apparait à la fin.

Y en a marre de ce PC fantômatique ;)


Ensuite relance OTM avec ce script

:reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
"Akamai"=-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai]

:files
c:\users\Marie-Pierre\AppData\Local\Akamai\netsession_win.exe
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NkbMonitor.exe.lnk
c:\program files (x86)\cracked steam\steam.exe

:commands
[zipfiles]
[purity]
[Emptytemp]
[reboot]


Patience-Vigilance-Amour.
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
11 oct. 2012 à 22:23
Voici le rapport:

# AdwCleaner v2.004 - Rapport créé le 11/10/2012 à 22:18:40
# Mis à jour le 06/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Marie-Pierre - MARIE-PIERRE-HP
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Marie-Pierre\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\IM

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v7.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\Marie-Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\6rnxcbsi.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v22.0.1229.94

Fichier : C:\Users\Marie-Pierre\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [68829 octets] - [08/10/2012 13:46:35]
AdwCleaner[S2].txt - [68559 octets] - [08/10/2012 15:04:35]
AdwCleaner[S3].txt - [5641 octets] - [08/10/2012 17:05:56]
AdwCleaner[S9].txt - [1361 octets] - [09/10/2012 10:59:46]
AdwCleaner[S10].txt - [1288 octets] - [11/10/2012 22:18:40]

########## EOF - C:\AdwCleaner[S10].txt - [1349 octets] ##########
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
11 oct. 2012 à 22:32
Voici le rapport OTM:

All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Akamai NetSession Interface not found.
Registry value HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost\\Akamai deleted successfully.
Registry key HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai\ deleted successfully.
========== FILES ==========
c:\users\Marie-Pierre\AppData\Local\Akamai\netsession_win.exe moved successfully.
File/Folder c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NkbMonitor.exe.lnk not found.
File/Folder c:\program files (x86)\cracked steam\steam.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56478 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Marie-Pierre
->Temp folder emptied: 54718 bytes
->Temporary Internet Files folder emptied: 151610447 bytes
->Java cache emptied: 1289870 bytes
->FireFox cache emptied: 37665587 bytes
->Google Chrome cache emptied: 368660327 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 59906 bytes

User: Pierre
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 17948180 bytes
->Java cache emptied: 7878 bytes
->Flash cache emptied: 57276 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 14706 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 3876605 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 753 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 3158732 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 557.00 mb


OTM by OldTimer - Version 3.1.21.0 log created on 10112012_222442

Merci
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
11 oct. 2012 à 22:47
Oups !
J'espère ne pas avoir fait de bêtise !
En fait OTM ne devait pas avoir terminé car il a demandé à relancer poste après avoir lancer procédure ADXCLEANER et voici le rapport après redémarrage:

Faut-il relancer ADXCLEANER ???

All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Akamai NetSession Interface not found.
Registry value HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost\\Akamai deleted successfully.
Registry key HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai\ deleted successfully.
========== FILES ==========
c:\users\Marie-Pierre\AppData\Local\Akamai\netsession_win.exe moved successfully.
File/Folder c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NkbMonitor.exe.lnk not found.
File/Folder c:\program files (x86)\cracked steam\steam.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56478 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Marie-Pierre
->Temp folder emptied: 54718 bytes
->Temporary Internet Files folder emptied: 151610447 bytes
->Java cache emptied: 1289870 bytes
->FireFox cache emptied: 37665587 bytes
->Google Chrome cache emptied: 368660327 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 59906 bytes

User: Pierre
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 17948180 bytes
->Java cache emptied: 7878 bytes
->Flash cache emptied: 57276 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 14706 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 3876605 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 753 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 3158732 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 557.00 mb


OTM by OldTimer - Version 3.1.21.0 log created on 10112012_222442

Files moved on Reboot...
C:\Users\Marie-Pierre\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...


Merci ....
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 11/10/2012 à 23:53
Non,
Pas besoin d'un nouveau Adw-Cleaner. Merci

Par contre, vas voir si IMest bien absent dans cette clé
HKCU\Software\IM
(HKCU = HKEY_CURRENT_USER)

Et vérifie ceci, et si présent, supprimer l'icône NkbMonitor.exe.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NkbMonitor.exe.lnk

Relance une analyse + suppression avec MBAM comme indiqué là
https://forums.commentcamarche.net/forum/affich-26194563-virus-backdoor-win32-et-hacktool32?page=2#27

Et lance une analyse USBFix, puis suppression des éléments trouvés en suivant ce lien
https://toolslib.net

C'est tout pour ce soir pour moi.
Bonne nuit
Al.
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
12 oct. 2012 à 09:02
Bonjour,

J'espère ne pas t'avoir donné de cauchemars avec cette histoire !
Mais ce matin, le soleil est là ... alors ...voilà

1/ IMest est bien absent dans cette clé HKCU\Software\IM
Par contre, il y a UPN2 ça n'est pas un problème j'imagine !

2/ Par contre NkbMonitor.exe.lnk existe et trouve dans un autre répertoire :
C:\Qoobox\Quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
c'est bien ça qu'il faut supprimer ?

D'autre part, j'ai supprimé dans Microsoft Security Essential ce qui était mis en quarantaine (Bouton "supprimer tous les éléments en quarantaine") soit:
Adware:Win32/Adkubru
et depuis 1/2 heure il ne semble pas réapparaitre !!
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 12/10/2012 à 10:14
Bonjour M-P ;)

Bien.

A)- Cit: « 1/ IMest est bien absent dans cette clé HKCU\Software\IM
Par contre, il y a UPN2 ça n'est pas un problème j'imagine !
»
J'avais laissé cette question en suspens : « J'ai vérifier dans les registres: IM existe avec comme clé "UPN2" et une autre "valeur non définie"; il y a également IM Providers »

Aujourd'hui, peux-tu me détailler ces deux clés dans lesquelles on trouve IM ?
Je ne comprends pas bien ce que signifie: « IM existe avec comme clé "UPN2" et une autre "valeur non définie" .
L'idéal serait que tu me copies ces clés entièrement (ou faire une capture écran);
comme ceci par exemple https://www.luanagames.com/index.fr.html afin de lire les deux plages.


B)- Cit: « 2/ Par contre NkbMonitor.exe.lnk existe et trouve dans un autre répertoire :
C:\Qoobox\Quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
c'est bien ça qu'il faut supprimer ?
»

ComboFix a bien travaillé.
Bizarre, aurais-tu encore l'icône rouge de ComboFix sur le bureau ?
Si oui, il faut le supprimer.
Supprime ensuite à la main les dossiers suivants:
C:\QooBox
C:\Program Files\Alwil Software (sous W7, c'est peut-être C:\Programmes ?)
C:\Combo-Fix

C)- Vidage de la quarantaine de MSE à réaliser de temps en temps. ;)


D)- N'oublie pas de lancer USBFix avec tous tes DD externes connectés mais "ne pas les ouvrir ! (comme pour les lire)"

Merci
Al.

Patience-Vigilance-Amour.
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
12 oct. 2012 à 10:41
A / Je t'ai envoyé une copie écran par le site d'uplaod https://www.cjoint.com/
car ça ne fonctionne pas en copier /coller sur cette fenêtre.

B/ ça y est, j'ai supprimé l'icône rouge de ComboFix sur le bureau ,

par contre je n'arrive pas à supprimer à la main:
C:\QooBox
j'ai un message me disant qu'il me faut les droits administrateur !

Je n'ai pas:
c:\Program Files\Alwil Software
je n'ai pas non plus de dossier :
C:\Combo-Fix
je n'ai qu'un fichier C:\Combo-Fix.txt

C) OK

D) OK

Merci
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 12/10/2012 à 10:57
Merci.

A)- Rien reçu,
Ce sont les liens émis par "cjoint.com/" de la capture écran des deux clés hébergées qu'il faut poster ici.

B)- On terminera CF après.

D)- Pas de rapport pour USBFix ?
C'est nécessaire pour ensuite "Vacciner" tes clés en usage.
0
MPB35220 Messages postés 45 Date d'inscription mercredi 3 octobre 2012 Statut Membre Dernière intervention 5 avril 2014
12 oct. 2012 à 11:12
ok
Je n'avais pas tout compris !!!!

Voici le lien:

https://www.cjoint.com/?3Jmld0mJSbI

D)- Pas de rapport pour USBFix ?

En fait, je ne dois pas être bien réveillée !
J'ai tenté de télécharger USBFIX , mais le téléchargement est bloqué par le filtre SMARTSCREEN ! Que faut-il faire !!!
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 12/10/2012 à 11:40
A)- Désactiver le filtre SMARTSCREEN
Pour désactiver le filtre SmartScreen, procédez comme suit :
https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
1.Pour ouvrir "Internet Explorer", cliquez sur le bouton "Démarrer", puis sur "Internet Explorer".
2.Cliquez sur le bouton "Sécurité", sur "Filtre SmartScreen" , puis sur "Désactiver le filtre SmartScreen" .
3.Dans la boîte de dialogue "Filtre SmartScreen?" de Microsoft , cliquez sur [OK].



B)- Aussi dans les registres:
- Clic-droit sur la sous-clé IM > supprimer
- Clic-droit sur le sous-clé IM Providers > supprimer
/!\ Redémarrer impérativement le PC.
0