Mes navigateurs se font rediriger n'importe ou Résolu/Fermé

Question

Bonjour, 

Depuis quelques temps, mon amie qui n'y connait pas grand chose en sécurité informatique, me dit que son navigateur fait des trucs bizarres.

Après une petite vérification, il redirige ses lien vers des liens non désirés, souvent accompagnés de nudité et de filles très aguicheuses.

J'ai fait un scan Avast : il a rien trouvé.
J'ai fait un scan Adwcleaner en mode suppression mais ça a rien changé.

Donc je suis rendu au bout de mes compétences. 
Voici un rapport ZHPdiag : http://cjoint.com/data/0KgqLsvFfHK.htm

Merci de m'aider !

Configuration: Windows 7 / Firefox 16.0

Smart91 · Answer

Bonjour,

ZHPDiag n'est pas à jour

Relance ZHPDiag, clique sur la flèche verte pour installer la mise à jour.

Lance ZHPDiag
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur le tournevis en haut à droite de la fenêtre et "coche toutes les cases
-  Clique sur la loupe  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse. 

Smart

Azanek · Answer

Bonjour Smart, 

Un grand merci de t'occuper de mon cas ! 

Alors, passons dans le vif du sujet. 
J'ai fait tout ce que tu as demandé. Voici le lien pjjoint 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121107_o15q5s6x7p6

Autres symptômes : le centre de maintenance windows est désactivé, et il me donne une erreur quand j'essaye de le réactivé. 
Sinon, lors de l'analyse, j'ai eu une fenêtre qui disait : agrément Sigcheck activé... Et j'ai cliqué sur OK vu que y avait pas d'autres options. 

J'attends de tes nouvelles. 

Gaetan alias Azanek

Smart91 · Answer

Ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

Je voudrais également vérifier quelque chose. Tu vas l'export de cette vlé:

- Télécharge RegToolExport de Xplode sur ton bureau 
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur") 

- Copie- la ou les  clés en gras ci-dessous  
--------------------------------------------------- 

HKCU\Software\gtwuytgfrd
[64]HKLM\Software\Wow6432Node\gtwuytgfrd
 
--------------------------------------------------- 

- Colle-la dans la zone de saisie 

- Puis clique sur Exporter 
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement 
- A "nom de fichier", indique :  Export_Date_heure.reg 
- Clique sur Enregistrer 
- Un message de bonne fin va apparaître "Clé exportée avec succès" 
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg  se trouvera sur le bureau 
- Poste ce fichier via cijoint   

Ensuite tu vas faire ceci:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

Cela fait deux rapports à poster

Smart

Azanek · Answer

Salut Smart.

Alors, voici le lien pour les 2 clefs. Par contre, j'ai eu un message d'erreur qui me dit que la 2eme clef n'a pas pu être exportée.
https://www.cjoint.com/?BKhqzwkWi6m

Voici le lien pour le rapport Adwcleaner.
https://www.cjoint.com/?BKhqDlXgXkX

Merci encore.
A tantôt.

Smart91 · Answer

Bon pour l'export de la clé il faut que je trouve un autre moyen car là c'est de l'heax difficile à interpréter rapidement.

ADwCleaner ne montre rien, mais j'aurais dû voir dans le rapport ZHPdioag que tu l'avais déjà passé le 1er novembre et en plus tu m'as dit dans ton premier post. je suis nul

Il y a pourtant des restes. On va passer MalwareBytes (si tu las déjà fait, poste alors le rapport. 
Sinon fais ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Et si MBAM ne montre rien, on supprimera les restes manuellement

Smart

Azanek · Answer

Salut Smart,

Donc, MBAM s'est terminé sans découvrir d'infection.
Rapport : https://pjjoint.malekal.com/files.php?id=20121107_w11m8r10d8f12

Smart91 · Answer

On va les supprimer manuellement:

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
M3 - MFPP: Plugins - [Lyne Vivo] -- C:\Users\Lyne Vivo\AppData\Roaming\Mozilla\Firefox\Profiles\udmalsep.default\searchplugins\iMeshWebSearch.xml
M3 - MFPP: Plugins - [Lyne Vivo] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\iMeshWebSearch.xml
[HKCU\Software\iMesh]
O43 - CFD: 2011-04-20 - 17:28:43 - [66.990] ----D C:\Users\Lyne Vivo\AppData\Local\iMesh
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59} - (Web Search) - http://search.imesh.net/
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9bb47c17-9c68-4bb3-b188-dd9af0fd2a59}]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9bb47c17-9c68-4bb3-b188-dd9af0fd2a59}]
[HKCU\Software\iMesh]
C:\Users\Lyne Vivo\AppData\Local\iMesh
C:\Users\Lyne Vivo\AppData\Roaming\Mozilla\Firefox\Profiles\udmalsep.default\SearchPlugins\iMeshWebSearch.xml
O69 - SBI: SearchScopes [HKCU] {112B5ACE-1650-4587-AFA0-2C48405CFA20} [DefaultScope] - (Ask.com) - https://fr.ask.com/?o=0&l=dir&ad=dirN
O4 - Global Startup: C:\Users\Lyne Vivo\Desktop\Programmes et fonctionnalités - Raccourci.lnk - Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{324E6C29-942F-4A28-B289-D0A584D74ADB}] (...) -- C:\Users\Lyne Vivo\Documents\Sage Software\Simply Accounting\Download\SA_2011DCPUP1.exe (.not file.)
O69 - SBI: SearchScopes [HKCU] {C9EADCFC-E7D6-4944-AE6E-837A1C11103D} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
EmptyTemp
EmptyFlash
FirewallRAZ

---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC 

Smart

Azanek · Answer

Et voilà.

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2012-11-08-14-37-42.txt
Run by Lyne Vivo at 2012-11-08 14:37:42
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\iMesh
SUPPRIME Key: SearchScopes :{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9bb47c17-9c68-4bb3-b188-dd9af0fd2a59}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9bb47c17-9c68-4bb3-b188-dd9af0fd2a59}
SUPPRIME Key: SearchScopes :{112B5ACE-1650-4587-AFA0-2C48405CFA20}
SUPPRIME Key: SearchScopes :{C9EADCFC-E7D6-4944-AE6E-837A1C11103D}

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (Private) : {2A2C47DA-2D3E-43EF-866C-9661A4D47CF0}
SUPPRIME FirewallRaz (Private) : {F9FAE212-990B-48FE-A0A0-5D1F4E52321D}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Lyne Vivo\AppData\Local\iMesh
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME File: c:\users\lyne vivo\appdata\roaming\mozilla\firefox\profiles\udmalsep.default\searchplugins\imeshwebsearch.xml
SUPPRIME File: c:\program files (x86)\mozilla firefox\searchplugins\imeshwebsearch.xml
ABSENT Folder/File: c:\users\lyne vivo\appdata\local\imesh
ABSENT Folder/File: c:\users\lyne vivo\appdata\roaming\mozilla\firefox\profiles\udmalsep.default\searchplugins\imeshwebsearch.xml
SUPPRIME File: c:\users\lyne vivo\desktop\programmes et fonctionnalités - raccourci.lnk
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: {324E6C29-942F-4A28-B289-D0A584D74ADB}


========== Récapitulatif ==========
6 : Clé(s) du Registre
4 : Valeur(s) du Registre
3 : Dossier(s)
7 : Fichier(s)
1 : Tache planifiée


End of clean in 00mn 11s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 2012-11-08 14:37:42 [2113]

Smart91 · Answer

As-tu bien redémarré le PC après l'exécution de ZHPFix ?
Si c'est non non fais le, ensuite refais un scan ZHPDiag et poste le rapport via pjjoint

Smart

Azanek · Answer

Salut, 

Je l'avais fait après ZHPfix. En tout cas, voici le rapport :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121109_c9x14j5j14f7

Smart91 · Answer

Est-ce que tu as toujours des  redirections, car le rapport ne montre plus rien 
 
Smart

Azanek · Answer

Salut Smart,

Après avoir fait des tests cette fin de semaine, je peux te confirmer que cet ordi se faire encore rediriger.

J'attends la suite des évènements.

Smart91 · Answer

Il faudrait m'expliquer exactement ce que tu as comme redirection.
Avec quel navigateur ? En allant sur quel site ? etc. 
 
Smart

Azanek · Answer

Salut Smart,

Alors, peu importe le navigateur, ça le fait : Firefox ou google chrome.

Quand je fais une recherche google, et que je clique sur un lien, n'importe lequel, il me redirige (Site porno, vente de voyage, vente de système de sécurité web etc ...). Au début, quand je cliquait, Avast bloquait la page, je faisait retour, je re-cliquais, et j'arrivais, au final à ouvrir la bonne page. Même depuis les favoris ça le fait d'ailleurs, par contre quand je tape une adresse directement dans le navigateurs, là j'ai pas de problème.

En tout cas maintenant, Avast détecte et bloque plus rien. 

Voilà en gros les symptomes.

Smart91 · Answer

Je voudrais vérifier ces deux fichiers

Va sur ce site https://www.virustotal.com/gui/
- Clique sur "Choose File"
- Dans nom du fichier colle ce fichier : C:\Windows\Explorer.exe
- Clique sur "Ouvrir" puis sur "Scan It"
- Le Fichier est mis en file d'attente. 
- Clique sur Reanalyse si  c'est proposé
- Attends la fin du scan ey poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet

Ensuite tu fais de même avec ce fichier:  C:\Windows\System32\Winlogon.exe
 
Cela fait deux liens à poster

Smart

Azanek · Answer

Bonjour Smart.

Donc, pour explorer.exe :
https://www.virustotal.com/gui/file/6bed1a3a956a859ef4420feb2466c040800eaf01ef53214ef9dab53aeff1cff0

Pour winlogon.exe, c'est étrange. Quand je regarde dans mon gestionnaire de fichier, il est là après winload.efi et winload.exe, mais quand je passe par "choose file"  de virustotal, il apparaît pas. Ce qui fait que je l'ai copié sur mon bureau pour pouvoir l'analyser. Je l'ai supprimé après :
https://www.virustotal.com/gui/file/b1506e0a7e826eff0f5252ef5026070c46e2235438403a9a24d73ee69c0b8a49

Merci !

Smart91 · Answer

Les deux fichiers sont sains

On va faire ceci:

Avant de commencer, fais une sauvegarde de tous tes documents 

Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil
 
Imprime la procédure

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout si tu es sous XP, accepte d'installer la console de récupération 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt
 
Smart

Azanek · Answer

Bonjour Smart,

Désolé pour le temps de réponse, mais j'ai eu une fin de semaine assez chargée.

En tout cas, voici la suite. Lorsque j'ai lancer combofix, il m'a dit que Antivir Desktop, était encore actif. Pourtant, je l'avais désinstallé. J'ai été voir dans les services et les processus, et j'ai rien trouver pour AntiVir Desktop. Peut être il restait des traces de l'antivirus, mais je les ai pas trouvé.

Voici le rapport.
ComboFix 12-11-16.02 - Lyne Vivo 2012-11-19  11:39:49.2.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.2.1036.18.5887.4904 [GMT -5:00]
Lancé depuis: c:\users\Lyne Vivo\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-19 au 2012-11-19  ))))))))))))))))))))))))))))))))))))
.
.
2012-11-19 16:45 . 2012-11-19 16:45	--------	d-----w-	c:\users\Public\AppData\Local	emp
2012-11-19 16:45 . 2012-11-19 16:45	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-11-15 00:36 . 2012-07-26 05:04	2560	----a-w-	c:\windows\system32\drivers\fr-FR\wdf01000.sys.mui
2012-11-15 00:36 . 2012-07-26 04:55	785512	----a-w-	c:\windows\system32\drivers\Wdf01000.sys
2012-11-15 00:36 . 2012-07-26 04:55	54376	----a-w-	c:\windows\system32\drivers\WdfLdr.sys
2012-11-15 00:36 . 2012-07-26 02:36	9728	----a-w-	c:\windows\system32\Wdfres.dll
2012-11-15 00:31 . 2012-07-26 03:08	84992	----a-w-	c:\windows\system32\WUDFSvc.dll
2012-11-15 00:31 . 2012-07-26 03:08	194048	----a-w-	c:\windows\system32\WUDFPlatform.dll
2012-11-15 00:31 . 2012-07-26 02:26	87040	----a-w-	c:\windows\system32\drivers\WUDFPf.sys
2012-11-15 00:31 . 2012-07-26 02:26	198656	----a-w-	c:\windows\system32\drivers\WUDFRd.sys
2012-11-15 00:31 . 2012-07-26 03:08	229888	----a-w-	c:\windows\system32\WUDFHost.exe
2012-11-15 00:31 . 2012-07-26 03:08	744448	----a-w-	c:\windows\system32\WUDFx.dll
2012-11-15 00:31 . 2012-07-26 03:08	45056	----a-w-	c:\windows\system32\WUDFCoinstaller.dll
2012-11-14 12:26 . 2012-09-25 22:47	78336	----a-w-	c:\windows\SysWow64\synceng.dll
2012-11-14 12:26 . 2012-09-25 22:46	95744	----a-w-	c:\windows\system32\synceng.dll
2012-11-07 14:37 . 2012-11-08 23:11	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2012-11-01 23:47 . 2012-08-24 18:13	154480	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-11-01 23:47 . 2012-08-24 18:09	458712	----a-w-	c:\windows\system32\drivers\cng.sys
2012-11-01 23:47 . 2012-08-24 18:05	340992	----a-w-	c:\windows\system32\schannel.dll
2012-11-01 23:47 . 2012-08-24 18:04	307200	----a-w-	c:\windows\system32
crypt.dll
2012-11-01 23:47 . 2012-08-24 18:03	1448448	----a-w-	c:\windows\system32\lsasrv.dll
2012-11-01 23:47 . 2012-08-24 16:57	247808	----a-w-	c:\windows\SysWow64\schannel.dll
2012-11-01 23:47 . 2012-08-24 16:57	22016	----a-w-	c:\windows\SysWow64\secur32.dll
2012-11-01 23:47 . 2012-08-24 16:57	220160	----a-w-	c:\windows\SysWow64
crypt.dll
2012-11-01 23:47 . 2012-08-24 16:53	96768	----a-w-	c:\windows\SysWow64\sspicli.dll
2012-11-01 23:40 . 2012-10-30 22:51	25232	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-11-01 23:40 . 2012-10-30 22:51	370288	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-11-01 23:40 . 2012-10-15 15:59	54072	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-11-01 23:40 . 2012-10-30 22:51	59728	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-11-01 23:40 . 2012-10-30 22:51	984144	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-11-01 23:40 . 2012-10-30 22:51	71600	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-11-01 23:40 . 2012-10-30 22:50	285328	----a-w-	c:\windows\system32\aswBoot.exe
2012-11-01 23:40 . 2012-10-30 22:51	41224	----a-w-	c:\windows\avastSS.scr
2012-11-01 23:40 . 2012-10-30 22:50	227648	----a-w-	c:\windows\SysWow64\aswBoot.exe
2012-11-01 23:40 . 2012-11-01 23:40	--------	d-----w-	c:\programdata\AVAST Software
2012-11-01 23:40 . 2012-11-01 23:40	--------	d-----w-	c:\program files\AVAST Software
2012-11-01 18:22 . 2012-11-01 18:24	--------	d-----w-	c:\users\Lyne Vivo\AppData\Local\Google
2012-11-01 18:22 . 2012-11-01 18:23	--------	d-----w-	c:\program files (x86)\Google
2012-10-31 22:05 . 2012-10-31 22:05	102400	--sha-r-	c:\windows\SysWow64\admparse6.dll
2012-10-30 20:26 . 2012-11-01 14:09	--------	d-----w-	c:\program files (x86)\Mozilla Thunderbird
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-15 00:31 . 2011-04-14 12:22	66395536	----a-w-	c:\windows\system32\MRT.exe
2012-10-09 14:11 . 2012-04-15 19:57	696760	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-09 14:11 . 2011-05-20 13:26	73656	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-09-29 23:54 . 2011-04-14 20:35	25928	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-29 02:32 . 2012-09-29 02:32	2177688	----a-w-	c:\windows\system32\coin92.dll
2012-09-25 03:16 . 2012-09-07 16:45	95208	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-14 19:19 . 2012-10-10 13:05	2048	----a-w-	c:\windows\system32	zres.dll
2012-09-14 18:28 . 2012-10-10 13:05	2048	----a-w-	c:\windows\SysWow64	zres.dll
2012-09-07 16:45 . 2012-05-24 21:18	821736	----a-w-	c:\windows\SysWow64
pDeployJava1.dll
2012-09-07 16:45 . 2011-04-15 22:25	746984	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-08-31 18:19 . 2012-10-10 13:06	1659760	----a-w-	c:\windows\system32\drivers
tfs.sys
2012-08-30 18:03 . 2012-10-10 13:06	5559664	----a-w-	c:\windows\system32
toskrnl.exe
2012-08-30 17:12 . 2012-10-10 13:06	3968880	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-08-30 17:12 . 2012-10-10 13:06	3914096	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-08-24 18:05 . 2012-10-10 13:06	220160	----a-w-	c:\windows\system32\wintrust.dll
2012-08-24 16:57 . 2012-10-10 13:06	172544	----a-w-	c:\windows\SysWow64\wintrust.dll
2012-08-22 18:12 . 2012-09-12 14:17	950128	----a-w-	c:\windows\system32\drivers
dis.sys
2012-08-22 18:12 . 2012-09-12 14:16	376688	----a-w-	c:\windows\system32\drivers
etio.sys
2012-08-22 18:12 . 2012-09-12 14:16	288624	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
2012-08-21 21:01 . 2012-09-26 13:48	245760	----a-w-	c:\windows\system32\OxpsConverter.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-05-12 102400]
"ConnectionManager"="c:\program files (x86)\Winsim\ConnectionManager\Simply.SystemTrayIcon.exe" [2010-08-25 95560]
"AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-11-02 59240]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-21 59240]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-01-16 421736]
"WinampAgent"="c:\program files (x86)\Winamp\winampa.exe" [2011-12-09 74752]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-19 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
.
c:\users\Lyne Vivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 BITCOMET_HELPER_SERVICE;BitComet Disk Boost Service;c:\program files (x86)\BitComet	ools\BitCometService.exe [2010-12-28 1296728]
R3 Gestionnaire de transactions de Sage Simple Comptable 2011 - CDN;Gestionnaire de transactions de Sage Simple Comptable 2011 - CDN;c:\program files (x86)\Winsim\TransactionManager2011 - CDN\Sage_SA.TransactionManager.exe [2012-06-08 46440]
R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS
etr28x.sys [2009-12-19 852256]
R3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [2011-08-01 45416]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\driversdpvideominiport.sys [2012-08-23 19456]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-03-04 346144]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2012-08-23 57856]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-05-10 51712]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-04-13 1255736]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-05-11 203264]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-10-30 71600]
S2 Gestionnaire de connexion de Simple Comptable;Gestionnaire de connexion de Simple Comptable;c:\program files (x86)\Winsim\ConnectionManager\SimplyConnectionManager.exe [2010-08-25 20808]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2009-12-22 38456]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-15 14:11]
.
2012-11-19 c:\windows\Tasks\BTZCOTZU.job
- c:\windows\system32undll32.exe [2009-07-13 01:14]
.
2012-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-01 18:22]
.
2012-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-01 18:22]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50	133400	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	----a-w-	c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	----a-w-	c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	----a-w-	c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	----a-w-	c:\users\Lyne Vivo\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
.
------- Examen supplémentaire -------
.
uStart Page = https://employeurd-web.com/webportal/UserLogin.aspx
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office10\EXCEL.EXE/3000
IE: Tout télécharger avec BitComet - c:\program files (x86)\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files (x86)\BitComet\BitComet.exe/AddLink.htm
TCP: DhcpNameServer = 192.168.0.1
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.3.0/GarminAxControl.CAB
FF - ProfilePath - c:\users\Lyne Vivo\AppData\Roaming\Mozilla\Firefox\Profiles\udmalsep.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
FF - ExtSQL: 2012-11-01 19:40; wrc@avast.com; c:\program files\AVAST Software\Avast\WebRep\FF
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-10 - (no file)
AddRemove-HP OrderReminder - c:\program files (x86)\Hewlett-Packard\OrderReminder\uninstall\hpuninstaller.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10d.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\Windows\SysWow64\Macromed\Flash\FlashUtil10d.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10d.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10d.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10d.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10d.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\SysWOW64undll32.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Common Files\Microsoft Shared\VS7Debug\mdm.exe
.
**************************************************************************
.
Heure de fin: 2012-11-19  11:50:51 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-11-19 16:50
ComboFix2.txt  2012-03-14 15:42
.
Avant-CF: 853 596 786 688 octets libres
Après-CF: 853 625 233 408 octets libres
.
- - End Of File - - 73F358E30D325BAED69C25FB01E77F21

Smart91 · Answer

OK. Tu vas faire ceci:

Attention !!! : Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut être détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous:

Tous les processus "non vitaux de Windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

Télécharge et enregistre Pre_Scan sur ton bureau depuis ce lien
https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

Une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

- Si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
- Si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
- Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan.
S'il n'est pas sur le bureau , il est à la racine de ton disque système (généralement C:\ )

Il est possible que l'outil redémarre ton pc , laisse-le faire

NE POSTE PAS LE RAPPORT SUR LE FORUM !!! (il est trop long)
Héberge le rapport sur https://forums-fec.be/upload puis donne moi le lien obtenu pour y accéder

Ne transmets pas le lien de suppression !!!  


Smart

Azanek · Answer

Je vais faire ça d'ici 2 ou 3 heures. Je ne suis pas au même endroit que l'ordi.

À tantôt.

Azanek · Answer

Salut Smart,

Euh, juste pour être sur, les liens que tu m'as donné pointe vers un fichier winlogon.exe. Est ce que c'est ça ? Parce que je ne vois pas de pre-scan sinon.

Azanek · Answer

Salut,

Et voici donc le fichier.

Une fois il a planté en disant quelque chose à propos d'une variable qui n'était pas attribuée.
Je l'ai relancé, pis ça a marché cette fois.

https://forums-fec.be/upload/www/?a=d&i=1161953758

g3n-h@ckm@n · Answer

pas fini

selectionne ce texte :

txt::
C:\Windows\System32\Tasks\BTZCOTZU

 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

non t'as pas du biten desactiver tes protections...

fais le en mode sans echec

Azanek · Answer

Salut,

Malgré le mode sans échec, il bloque exactement au même endroit.

J'attends la suite.

g3n-h@ckm@n · Answer

tente avec ceci :

txt::
C:\Pre_Scan\Quarantine\C'_Windows_System32_Tasks_BTZCOTZU

Azanek · Answer

Salut,

J'ai essayé et pareil, même en mode sans échec ça donne rien.

Et maintenant ?

g3n-h@ckm@n · Answer

ok retelecharge-le  y'avait un souci 

https://forums-fec.be/gen-hackman/Pre_Scan.exe

Azanek · Answer

Salut g3n-h@ckm@n et smart,

Ça à l'air d'avoir marché.
Voici le contenu du fichier pre-script.txt apparu sur le bureau.

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1121 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyne Vivo : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 09:15:37

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



¤


End : 09:15:37

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

t'as rien collé dans le texte ....

Azanek · Answer

Salut,

Euh oui, j'ai collé alternativement les deux lignes de textes. J'ai soit juste fermé le fichier txt puisque les lignes étaient déjà copiées dedans, soit enregistré le fichier txt après avoir coller les lignes. Dans les deux cas, j'ai toujours eu le même fichier pre-scrit, avec l'heure qui change en fait.

g3n-h@ckm@n · Answer

j'ai rien compris

Azanek · Answer

Ok, je vais essayer de m'expliquer plus clairement.

Lorsque je clique sur Script, une fenêtre notepad s'ouvre avec les lignes que tu m'avais demandé de copier. Jusque la tout va bien. 
À partir de là,

- soit j'ai juste fermé la fenêtre notepad comme tu me l'as indiqué plus haut :
Citation : [logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.]
- soit j'ai copier coller dans la page et ensuite enregistré le document comme indiqué plus haut aussi :
Citation : [sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge. 
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte] 

Voilà. J'espère que c'est plus claire. Mais dans tous les cas, je eu le même genre de rapport que je t'ai transmis. C'est à dire avec pas grande chose dedans.

g3n-h@ckm@n · Answer

ok tu as ce fichier ?

C:\Pre_Scan\Quarantine\C'_Windows_System32_Tasks_BTZCOTZU

Azanek · Answer

En fait, il ne s'appelle pas comme ça exactement. Voici son nom exact :

C:\Pre_Scan\Quarantine\C'_Windows_System32_Tasks_BTZCOTZU.P_S 

Et j'en ai un autre similaire :

C:\Pre_Scan\Quarantine\C'_Windows_Tasks_BTZCOTZU.job.P_S

g3n-h@ckm@n · Answer

lol trop bidon !!! c'est moi qui fais le logiciel et je sais meme pas le nom de ce que je mets en quarantaine mouhaahaahhahaha carton jaune !!!! ^^

refais un script avec ca :

txt::
C:\Pre_Scan\Quarantine\C'_Windows_System32_Tasks_BTZCOTZU.P_S

Azanek · Answer

Et voilà. ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1121 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Lyne Vivo : Windows 7 Home Premium (64 bits) Switchs : https://gen-hackman.kanak.fr/ New restorepoint created Script : 18:01:09 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ¤¤¤¤¤¤¤¤¤¤ | Edition : C:\Pre_Scan\Quarantine\C'_Windows_System32_Tasks_BTZCOTZU.P_S Lyne Vivo true true PT0S false false false false false 5 PT600S PT3600S false false System HighestAvailable InteractiveTokenOrPassword C:\Windows\system32\rundll32.exe "C:\Windows\SysWOW64\admparse6.dll",ywtegf ¤ End : 18:01:09 ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

ahah ^^ encore une DLL et la task qui va avec pour les redirections :)

g3n-h@ckm@n · Answer

lol ^^

refais un script avec ca :

File|Fold::
C:\Windows\SysWOW64\admparse6.dll

Azanek · Answer

Et voilà le log :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1121 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyne Vivo : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 17:22:02

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


File Moved to quarantine successfully :  |RASH| - C:\Windows\SysWOW64\admparse6.dll


End : 17:22:03

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

nickel

relance l'outil , clique sur DiaG et heberge le rapport et donne le lien

Azanek · Answer

Le rapport : https://forums-fec.be/upload/www/?a=d&i=5953925411

J'attends la suite ^^

Merci encore !

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

Azanek · Answer

Hopla !

# AdwCleaner v2.008 - Rapport créé le 22/11/2012 à 18:28:21
# Mis à jour le 17/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Lyne Vivo - BUREAU_BIV
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Lyne Vivo\Desktop\adwcleaner (2).exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v16.0.2 (fr)

Nom du profil : default 
Fichier : C:\Users\Lyne Vivo\AppData\Roaming\Mozilla\Firefox\Profiles\udmalsep.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Lyne Vivo\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1266 octets] - [07/11/2012 10:26:31]
AdwCleaner[S1].txt - [2233 octets] - [12/03/2012 11:57:00]
AdwCleaner[S2].txt - [1942 octets] - [01/11/2012 18:28:33]
AdwCleaner[S3].txt - [1200 octets] - [22/11/2012 18:28:21]

########## EOF - C:\AdwCleaner[S3].txt - [1260 octets] ##########

g3n-h@ckm@n · Answer

rhôôôôô il l'a pas vu 

patiente je te prepare un script

g3n-h@ckm@n · Answer

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BKxaYE4cKCf

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
 
=================

Azanek · Answer

Le rapport.

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1121 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyne Vivo : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 18:58:27

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(888) -- atiesrxx.exe
(1220) -- atieclxx.exe
(1460) -- explorer.exe
(1672) -- spoolsv.exe
(1704) -- taskhost.exe
(1932) -- AppleMobileDeviceService.exe
(1996) -- hpsysdrv.exe
(2020) -- Dropbox.exe
(1408) -- Simply.SystemTrayIcon.exe
(1772) -- iTunesHelper.exe
(1880) -- SimplyConnectionManager.exe
(1892) -- winampa.exe
(1976) -- jusched.exe
(2728) -- LSSrvc.exe
(2800) -- mdm.exe
(2964) -- WLIDSVC.EXE
(2988) -- WLIDSVCM.EXE
(3276) -- chrome.exe
(3500) -- iPodService.exe
(3744) -- SearchIndexer.exe
(3516) -- WUDFHost.exe
(3160) -- MOM.exe
(4160) -- chrome.exe
(4288) -- chrome.exe
(3392) -- wmpnetwk.exe
(4528) -- CCC.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Key Deleted : HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{112B5ACE-1650-4587-AFA0-2C48405CFA20}
Key Deleted : HKLM64\Software\Microsoft\Internet Explorer\SearchScopes\{112B5ACE-1650-4587-AFA0-2C48405CFA20}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{74D3B841-93A4-43B1-8CD8-16AF60D93BEC}
Key Deleted : HKU\S-1-5-21-3948640178-388996155-4216339367-1000\Software\gtwuytgfrd 
Key Deleted : HKU64\S-1-5-21-3948640178-388996155-4216339367-1000\Software\gtwuytgfrd 
Key Deleted : HKLM\Software\gtwuytgfrd 

¤

C:\PROGRA~2\WIA6EB~1 : Not Found !
Folder Moved to quarantine successfully : |D| - C:\ProgramData\13A9 

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	FOXCONN
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		Hewlett-Packard
System Product Name:		p6620f
Logical Drives Mask:		0x000001fc

Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

Disk cleaned

¤


End : 18:59:55

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

telecharge ici : Load_SalityKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage 

à la fin SalityKiller.txt se mettra sur ton bureau

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : https://www.cjoint.com/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://cjoint.com/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Azanek · Answer

Salut,

Je suis sceptique. À la fin du scan, j'ai pas eu de long rapport dans un fichier salitykiller.txt. J'ai bien chercher, j'ai juste un log.txt avec ça dedans.

20:06:14:081 4444	scanning	threads ...
20:06:17:965 4444	
20:06:17:966 4444	scanning	processes ...
20:06:17:974 4444	
20:06:17:974 4444	Restoring show hidden and system files
20:06:17:974 0320	
Monitoring thread started
20:06:17:975 4444	
20:06:17:975 4444	restoring SafeBoot registry node
20:06:17:975 4444	
20:06:17:976 4444	fixing	registry ...
20:06:17:976 4444	SalityRegCure: Restoring general registry keys
20:06:17:979 4444	SalityRegCure: Fixing system.ini
20:06:17:979 4444	
20:06:17:980 4444	scanning	drives ...
20:06:17:980 4444	scanning	C:\ ...
20:44:55:430 4444	scanning	D:\ ...
20:44:57:141 4444	
20:44:58:489 0320	
Monitoring thread stopped
20:44:58:490 4444	
completed
20:44:58:490 4444	Infected files:			0
20:44:58:491 4444	Infected processes:		0
20:44:58:491 4444	Infected threads:		0
20:44:58:492 4444	Cured files:			0
20:44:58:492 4444	Will be cured on reboot:	0
20:44:58:494 4444	Executed registry scripts:	1

Est ce que j'ai fait quelque chose de pas correct ?

g3n-h@ckm@n · Answer

re

nan c'est ca c'est moi qui ait un vieille fichie que j'oublie de remettre à jour....

des soucis persisitent ?

Azanek · Answer

Salut ! 

Je n'ai pas l'impression que les problèmes soient encore là. J'ai navigué un peu hier et j'ai rien remarqué. 

À suivre ... ^^  
  
Gaetan alias Azanek 
Concepteur Web " maison " du Bistro In Vivo et de Terre à soi, boutique éco-responsable à Montréal.

g3n-h@ckm@n · Answer

ok tu peux faire le menage

https://gen-hackman.kanak.fr/

Azanek · Answer

Ok, alors au travail :

1 - Est ce qu'on est obliger d'installer adobe reader. J'utilise pour ma part Foxit reader

2 - Del fix : rapport :

# DelFix v6.2 - Rapport créé le 23/11/2012 à 13:50:14
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Lyne Vivo - BUREAU_BIV
# Exécuté depuis : C:\Users\Lyne Vivo\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Pre_Diag_22_11_2012_17_37_09.txt
Supprimé : C:\Pre_Diag_22_11_2012_17_58_18.txt
Supprimé : C:\Pre_Scan_20_11_2012_14_29_41.txt
Supprimé : C:\Users\Lyne Vivo\Desktop\adwcleaner (2).exe
Supprimé : C:\Users\Lyne Vivo\Desktop\ComboFix.exe
Supprimé : C:\Users\Lyne Vivo\Desktop\Pre_script.txt
Supprimé : C:\Users\Lyne Vivo\Desktop\winlogon (1).exe
Supprimé : C:\Users\Lyne Vivo\Downloads\adwcleaner (1).exe
Supprimé : C:\Users\Lyne Vivo\Downloads\adwcleaner (2).exe
Supprimé : C:\Users\Lyne Vivo\Downloads\adwcleaner(1).exe
Supprimé : C:\Users\Lyne Vivo\Downloads\adwcleaner.exe
Supprimé : C:\Users\Lyne Vivo\Downloads\ComboFix.exe
Supprimé : C:\Users\Lyne Vivo\Downloads\JavaRa.zip
Supprimé : C:\Users\Lyne Vivo\Downloads\winlogon.exe
Supprimé : C:\Users\Lyne Vivo\Downloads\ZHPDiag2(1).exe
Supprimé : C:\Users\Lyne Vivo\Downloads\ZHPDiag2.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2303 octets] - [23/11/2012 13:50:14]

########## EOF - C:\DelFix[S1].txt - [2427 octets] ##########

g3n-h@ckm@n · Answer

négatif pour adobe :)

Azanek · Answer

3 - Slowing killer : rapport 

http://cjoint.com/12nv/BKxuf7yzzEz.htm  

4 - PureRa rapport :

Total space cleaned: 40.65 MB
  
Gaetan alias Azanek 
Concepteur Web " maison " du Bistro In Vivo et de Terre à soi, boutique éco-responsable à Montréal.

g3n-h@ckm@n · Answer

magnifique :)

Azanek · Answer

Ok je continue,

CCleaner : Ok

MBAM : ok

Nettoyage : Ok

Vérification : ok, ça a été super long avec un gros disque dur.

Défragmentation : Ok, il était même pas fragmenter après analyse.

Par feu : la personne qui utilise le PC est pas très douée. Et moi non plus en fait, donc je n'en metterais pas

Avast : Ok

Restauration : Ok

Donc je pense que tout est Ok.

Maintenant j'ai d'autre questions : qu'entends tu par bon antispyware ? Est ce que MBAM en est un ?

J'ai une notification qui me dit que windwos ne peut pas réactiver le centre de sécurité windows. Y a t il une action à faire pour le réactiver ?

En gros c'Est pas mal ça pour le moment.

g3n-h@ckm@n · Answer

Est ce que MBAM en est un ? 

y'a pas mieux

regarde si le service wscsvc est sur démarré et automatique

Azanek · Answer

Allo les gens,

J'ai pas vraiment eu de réponse à ma dernière question, à savoir si y a un moyen de réactivé le centre de maintenance de Windows. J'ai essayé, mais j'y arrive pas et je sais pas trop comment résoudre ce problème. 

J'en profite pour dire que depuis la désinfection de l'ordi, la fonction recherche de windows ne marche plus. Quand j'essaye de faire une recherche, rien ne se passe.

Merci beaucoup pour votre aide.

g3n-h@ckm@n · Answer

regarde si le service wscsvc est sur démarré et automatique

Azanek · Answer

Ha .... Tu vois, j'avais pas compris que cette partie de ta réponse référait à ma deuxième question. Je regarde ça dès que j'ai accès à l'ordi.

Merci.

g3n-h@ckm@n · Answer

^^

Azanek · Answer

Problèmes réglés.

J'en ai profiter pour constater que le service recherche windows était désactivé aussi. Donc ce sujet est résolu !

Merci encore à vous deux.

papanaoui · Answer

http://pjjoint.malekal.com/files.php?id=20160718_d11b11r14u9h8

Mes navigateurs se font rediriger n'importe ou

64 réponses

Discussions similaires