virus SMART HDD Résolu/Fermé

Question

Bonjour, 
je fais appel à vous pour un soucis de virus. Je pense etre infecté par SMART HDD. J ai déjà téléchargé roguekiller, mais là je suis bloqué! J airécupérer certain de mes fichiers mais je ne sais pas si ils sont tous là et si le virus est toujours présent.
Merci d avance pour votre aide


Configuration: Windows Vista / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut tu peux poster tes rapports ?

gui28m85 · Answer

Tu me dira si c est celui la: RogueKiller V8.1.0 [28/09/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Guillaume [Droits d'admin] Mode : Raccourcis RAZ -- Date : 13/11/2012 10:29:42 ¤¤¤ Processus malicieux : 5 ¤¤¤ [SUSP PATH] roguekiller.exe -- C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYSTICUQ oguekiller.exe -> TUÉ [TermProc] [SUSP PATH] domanager.exe -- C:\Users\Guillaume\AppData\Local\Temp soE33E.tmp\domanager.exe -> TUÉ [TermProc] [SUSP PATH] sweetim_0711-adf025c2.exe -- C:\Users\Guillaume\AppData\Local\Temp soE33E.tmp\sweetim_0711-adf025c2.exe -> TUÉ [TermProc] [SUSP PATH] Yontoo-ftt-C2_2510-c084b24f.exe -- C:\Users\Guillaume\AppData\Local\Temp soE33E.tmp\Yontoo-ftt-C2_2510-c084b24f.exe -> TUÉ [TermThr] [SUSP PATH] Yontoo-ftt-C2_2510-c084b24f-0520.exe -- C:\Users\GUILLA~1\AppData\Local\Temp\Yontoo-ftt-C2_2510-c084b24f-0520.exe -> TUÉ [TermThr] ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 1932 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 13 / Fail 0 Menu demarrer: Success 4 / Fail 0 Dossier utilisateur: Success 4937 / Fail 0 Mes documents: Success 48 / Fail 48 Mes favoris: Success 46 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 55 / Fail 0 Mes videos: Success 33 / Fail 0 Disques locaux: Success 15066 / Fail 0 Sauvegarde: [FOUND] Success 0 / Fail 0 / Exists 0 Lecteurs: [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\HarddiskVolume3 -- 0x2 --> Restored [G:] \Device\HarddiskVolume4 -- 0x2 --> Restored [H:] \Device\HarddiskVolume5 -- 0x2 --> Restored [I:] \Device\HarddiskVolume6 -- 0x2 --> Restored Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt Et si il y en a d autre

g3n-h@ckm@n · Answer

poste ceux-ci aussi :

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

gui28m85 · Answer

RogueKiller V8.1.0 [28/09/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Guillaume [Droits d'admin] Mode : Recherche -- Date : 13/11/2012 10:27:08 ¤¤¤ Processus malicieux : 5 ¤¤¤ [SUSP PATH] roguekiller.exe -- C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYSTICUQ\roguekiller.exe -> TUÉ [TermProc] [SUSP PATH] domanager.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\domanager.exe -> TUÉ [TermProc] [SUSP PATH] sweetim_0711-adf025c2.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\sweetim_0711-adf025c2.exe -> TUÉ [TermProc] [SUSP PATH] Yontoo-ftt-C2_2510-c084b24f.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\Yontoo-ftt-C2_2510-c084b24f.exe -> TUÉ [TermThr] [SUSP PATH] Yontoo-ftt-C2_2510-c084b24f-0520.exe -- C:\Users\GUILLA~1\AppData\Local\Temp\Yontoo-ftt-C2_2510-c084b24f-0520.exe -> TUÉ [TermThr] ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x81E6AE35 -> HOOKED (Unknown @ 0x8AEBF076) SSDT[276] : NtRequestWaitReplyPort @ 0x81E7CFE0 -> HOOKED (Unknown @ 0x8AEBF080) SSDT[289] : NtSetContextThread @ 0x81ECC10B -> HOOKED (Unknown @ 0x8AEBF07B) SSDT[314] : NtSetSecurityObject @ 0x81DF903C -> HOOKED (Unknown @ 0x8AEBF085) SSDT[332] : NtSystemDebugControl @ 0x81E31EF1 -> HOOKED (Unknown @ 0x8AEBF08A) SSDT[334] : NtTerminateProcess @ 0x81E2A173 -> HOOKED (Unknown @ 0x8AEBF017) S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AEBF09E) S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AEBF0A3) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST336032 0AS SCSI Disk Device +++++ --- User --- [MBR] 20d9f5f403bc84079c77dc017306dffd [BSP] 1f0123e38b19b3bd2ebb0c980c259149 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 335933 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687992832 | Size: 7464 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt RogueKiller V8.1.0 [28/09/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Guillaume [Droits d'admin] Mode : Suppression -- Date : 13/11/2012 10:27:20 ¤¤¤ Processus malicieux : 5 ¤¤¤ [SUSP PATH] roguekiller.exe -- C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYSTICUQ\roguekiller.exe -> TUÉ [TermProc] [SUSP PATH] domanager.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\domanager.exe -> TUÉ [TermProc] [SUSP PATH] sweetim_0711-adf025c2.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\sweetim_0711-adf025c2.exe -> TUÉ [TermProc] [SUSP PATH] Yontoo-ftt-C2_2510-c084b24f.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\Yontoo-ftt-C2_2510-c084b24f.exe -> TUÉ [TermThr] [SUSP PATH] Yontoo-ftt-C2_2510-c084b24f-0520.exe -- C:\Users\GUILLA~1\AppData\Local\Temp\Yontoo-ftt-C2_2510-c084b24f-0520.exe -> TUÉ [TermThr] ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x81E6AE35 -> HOOKED (Unknown @ 0x8AEBF076) SSDT[276] : NtRequestWaitReplyPort @ 0x81E7CFE0 -> HOOKED (Unknown @ 0x8AEBF080) SSDT[289] : NtSetContextThread @ 0x81ECC10B -> HOOKED (Unknown @ 0x8AEBF07B) SSDT[314] : NtSetSecurityObject @ 0x81DF903C -> HOOKED (Unknown @ 0x8AEBF085) SSDT[332] : NtSystemDebugControl @ 0x81E31EF1 -> HOOKED (Unknown @ 0x8AEBF08A) SSDT[334] : NtTerminateProcess @ 0x81E2A173 -> HOOKED (Unknown @ 0x8AEBF017) S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AEBF09E) S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AEBF0A3) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST336032 0AS SCSI Disk Device +++++ --- User --- [MBR] 20d9f5f403bc84079c77dc017306dffd [BSP] 1f0123e38b19b3bd2ebb0c980c259149 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 335933 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687992832 | Size: 7464 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt RogueKiller V8.1.0 [28/09/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Guillaume [Droits d'admin] Mode : Recherche -- Date : 13/11/2012 10:27:30 ¤¤¤ Processus malicieux : 5 ¤¤¤ [SUSP PATH] roguekiller.exe -- C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYSTICUQ\roguekiller.exe -> TUÉ [TermProc] [SUSP PATH] domanager.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\domanager.exe -> TUÉ [TermProc] [SUSP PATH] sweetim_0711-adf025c2.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\sweetim_0711-adf025c2.exe -> TUÉ [TermProc] [SUSP PATH] Yontoo-ftt-C2_2510-c084b24f.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\Yontoo-ftt-C2_2510-c084b24f.exe -> TUÉ [TermThr] [SUSP PATH] Yontoo-ftt-C2_2510-c084b24f-0520.exe -- C:\Users\GUILLA~1\AppData\Local\Temp\Yontoo-ftt-C2_2510-c084b24f-0520.exe -> TUÉ [TermThr] ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x81E6AE35 -> HOOKED (Unknown @ 0x8AEBF076) SSDT[276] : NtRequestWaitReplyPort @ 0x81E7CFE0 -> HOOKED (Unknown @ 0x8AEBF080) SSDT[289] : NtSetContextThread @ 0x81ECC10B -> HOOKED (Unknown @ 0x8AEBF07B) SSDT[314] : NtSetSecurityObject @ 0x81DF903C -> HOOKED (Unknown @ 0x8AEBF085) SSDT[332] : NtSystemDebugControl @ 0x81E31EF1 -> HOOKED (Unknown @ 0x8AEBF08A) SSDT[334] : NtTerminateProcess @ 0x81E2A173 -> HOOKED (Unknown @ 0x8AEBF017) S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AEBF09E) S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AEBF0A3) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST336032 0AS SCSI Disk Device +++++ --- User --- [MBR] 20d9f5f403bc84079c77dc017306dffd [BSP] 1f0123e38b19b3bd2ebb0c980c259149 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 335933 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687992832 | Size: 7464 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan.
s'il n'est pas sur le bureau , il est à la racine de ton disque système ( généralement C:\ )

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

gui28m85 · Answer

je vais faire ca Merci déjà
Je te poste ca tout a l heure

gui28m85 · Answer

je dois lancer "scankill" ou "diaG" ou autre chose?

g3n-h@ckm@n · Answer

comment se fait-il que tu aies un menu à l'ouverture ? tu n'as pas fini ta precedente desinfection ou tu as utilisé l'outil seul(e) ?

gui28m85 · Answer

et bien je l ai telechargé et il s es ouvert comme ca mais je l ai lancé mais au milieu de l analyse il dit "ne repond plus"

gui28m85 · Answer

je suis perdu là!

g3n-h@ckm@n · Answer

re

fais l option Scan|Kill

gui28m85 · Answer

Le problème c est qu au cours de l analyse un message d erreur apparait " ... (des chiffres) ne répond plus"

g3n-h@ckm@n · Answer

et si tu laisses tourner ?

gui28m85 · Answer

ca reste bloqué

g3n-h@ckm@n · Answer

essaie en mode sans echec sinon on tentera autre chose

gui28m85 · Answer

du coup y a pas autre chose a faire que pre scan?

gui28m85 · Answer

pas mieux en mode sans échec!!

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

gui28m85 · Answer

AVG c est quoi?

gui28m85 · Answer

un anti virus j ai cherché désolé! Et que mon ordinateur fonctionne normalement en ce moment est normal?

g3n-h@ckm@n · Answer

t'as fait combofix ou pas ?

gui28m85 · Answer

ComboFix 12-11-14.01 - Guillaume 14/11/2012  19:06:01.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3070.1972 [GMT 1:00]
Lancé depuis: c:\users\Guillaume\Downloads\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\PTFIlMdneqQ206
c:\windows\system32\jucheck.exe
c:\windows\system32\jusched.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-14 au 2012-11-14  ))))))))))))))))))))))))))))))))))))
.
.
2012-11-14 18:13 . 2012-11-14 18:13	--------	d-----w-	c:\users\Guillaume\AppData\Local	emp
2012-11-14 18:13 . 2012-11-14 18:13	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-11-13 21:22 . 2012-09-25 16:19	75776	----a-w-	c:\windows\system32\synceng.dll
2012-11-13 21:22 . 2012-10-12 14:29	2047488	----a-w-	c:\windows\system32\win32k.sys
2012-11-13 15:47 . 2012-11-13 15:47	--------	d-----w-	c:\users\Guillaume\AppData\Roaming\Malwarebytes
2012-11-13 15:47 . 2012-11-13 15:47	--------	d-----w-	c:\programdata\Malwarebytes
2012-11-13 15:47 . 2012-11-13 15:47	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-11-13 15:47 . 2012-09-29 18:54	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-11-13 10:08 . 2012-11-14 14:25	--------	d-----w-	C:\Pre_Scan
2012-11-13 09:26 . 2012-11-13 09:26	--------	d-----w-	c:\programdata\SweetIM
2012-11-13 09:26 . 2012-11-13 09:26	--------	d-----w-	c:\program files\SweetIM
2012-11-13 09:22 . 2012-10-17 00:32	6918632	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{38179877-FAE0-4180-9246-5F1E9FF6CCDD}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-09 11:09 . 2012-03-30 10:44	696760	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-10-09 11:09 . 2011-05-20 22:29	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-13 13:28 . 2012-10-10 10:50	2048	----a-w-	c:\windows\system32	zres.dll
2012-09-06 17:05 . 2012-09-06 17:05	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-09-06 17:05 . 2012-06-19 11:22	821736	----a-w-	c:\windows\system32
pDeployJava1.dll
2012-09-06 17:05 . 2011-05-20 17:51	746984	----a-w-	c:\windows\system32\deployJava1.dll
2012-08-29 11:27 . 2012-10-10 10:50	3602816	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-08-29 11:27 . 2012-10-10 10:50	3550080	----a-w-	c:\windows\system32
toskrnl.exe
2012-08-24 15:53 . 2012-10-10 10:50	172544	----a-w-	c:\windows\system32\wintrust.dll
2012-11-04 23:08 . 2012-11-04 23:08	261600	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 4874240]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]
"SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-07 54936]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"CamserviceDP"="c:\program files\Hercules\DualPix Exchange\Camservice.exe" [2007-08-10 81920]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-13 348664]
"BboxUpdate"="c:\program files\BboxUpdate\eStantAutoRunV.exe" [2008-04-14 6144]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2012-10-04 115032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-04-03 44168]
.
c:\users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Guillaume^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk]
path=c:\users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2009-04-02 16:05	102400	----a-w-	c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2012-03-08 16:50	4280184	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2011-04-22 12:21	247728	----a-w-	c:\program files\TomTom HOME 2\TomTomHOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 11:09]
.
2012-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-12 05:40]
.
2012-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-12 05:40]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\Guillaume\AppData\Roaming\Mozilla\Firefox\Profiles\j8mplpqk.default\
FF - ExtSQL: !HIDDEN! 2011-05-30 20:20; smartwebprinting@hp.com; c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2
.
.
------- Associations de fichier -------
.
txtfile=Notepad.exe "%1"
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{ef79f67a-6ad7-4715-a0f8-932fca442023} - (no file)
WebBrowser-{50FAFAF0-70A9-419D-A109-FA4B4FFD4E37} - (no file)
WebBrowser-{EF79F67A-6AD7-4715-A0F8-932FCA442023} - (no file)
HKCU-Run-BitTorrent - c:\program files\BitTorrent\BitTorrent.exe
HKLM-Run-hpqSRMon - (no file)
HKLM-Run-NPSStartup - (no file)
SafeBoot-SRService
MSConfigStartUp-Badoo Desktop - c:\programdata\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe
MSConfigStartUp-BitTorrent - c:\program files\BitTorrent\BitTorrent.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-14 19:13
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2012-11-14  19:16:06
ComboFix-quarantined-files.txt  2012-11-14 18:16
.
Avant-CF: 211 840 561 152 octets libres
Après-CF: 211 553 153 024 octets libres
.
- - End Of File - - 797495DBF2CC4C54B9B3308F544017DC

gui28m85 · Answer

c es bien ca que tu voulais?

g3n-h@ckm@n · Answer

vi ^^

tu peux desinstaller sweetIM ?

gui28m85 · Answer

je fai ca comment? programmes et fonctionnalité?

gui28m85 · Answer

c es fait! et c est tout? rien de plus?

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

il sera aussi : C:\Adwcleaner[Sx].txt

gui28m85 · Answer

# AdwCleaner v2.007 - Rapport créé le 14/11/2012 à 20:22:42
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Guillaume - PC-DE-GUILLAUME
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Guillaume\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Users\Guillaume\AppData\Roaming\Mozilla\Firefox\Profiles\j8mplpqk.default\BrowserMngr_extensions.sqlite
Fichier Supprimé : C:\Users\Guillaume\AppData\Roaming\Mozilla\Firefox\Profiles\j8mplpqk.default\browsermngr_prefs.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\PIP
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\hcdolklkjeckmmhijeoimikandkdeknn
Clé Supprimée : HKLM\Software\PIP

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\Guillaume\AppData\Roaming\Mozilla\Firefox\Profiles\j8mplpqk.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Guillaume\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [21993 octets] - [24/03/2012 09:14:29]
AdwCleaner[R2].txt - [22054 octets] - [24/03/2012 09:18:14]
AdwCleaner[R3].txt - [22115 octets] - [24/03/2012 10:14:16]
AdwCleaner[R4].txt - [18989 octets] - [17/09/2012 15:55:22]
AdwCleaner[R5].txt - [2113 octets] - [14/11/2012 20:22:09]
AdwCleaner[S1].txt - [326 octets] - [24/03/2012 10:27:35]
AdwCleaner[S2].txt - [22631 octets] - [24/03/2012 10:28:04]
AdwCleaner[S3].txt - [19610 octets] - [17/09/2012 15:56:06]
AdwCleaner[S4].txt - [2054 octets] - [14/11/2012 20:22:42]

########## EOF - C:\AdwCleaner[S4].txt - [2114 octets] ##########

g3n-h@ckm@n · Answer

et bien mes aïeux !!! ^^

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

gui28m85 · Answer

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.14.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Guillaume :: PC-DE-GUILLAUME [administrateur]

Protection: Activé

14/11/2012 20:42:10
mbam-log-2012-11-14 (20-42-10).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 331355
Temps écoulé: 1 heure(s), 34 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Pre_Scan\Quarantine\C'_Users_GUILLA~1_AppData_Local_Temp_p2qsLQCMfYwgd1.exe.tmp.P_S (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

ok des soucis persistent ?

gui28m85 · Answer

pas de soucis pour le moment
C'est fini?

g3n-h@ckm@n · Answer

on fait le menage :

https://gen-hackman.kanak.fr/

gui28m85 · Answer

Voila le rapport DelFix
# DelFix v6.2 - Rapport créé le 15/11/2012 à 11:30:20
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Guillaume - PC-DE-GUILLAUME
# Exécuté depuis : C:\Users\Guillaume\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
Supprimé : C:\Combofix
Supprimé : C:\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\AdwCleaner[R4].txt
Supprimé : C:\AdwCleaner[R5].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\AdwCleaner[S4].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Pre_Diag.txt
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Users\Guillaume\Desktop\Pre_Scan(1).pif
Supprimé : C:\Users\Guillaume\Desktop\RogueKiller.exe
Supprimé : C:\Users\Guillaume\Downloads\adwcleaner.exe
Supprimé : C:\Users\Guillaume\Downloads\ComboFix.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1706 octets] - [15/11/2012 11:30:20]

########## EOF - C:\DelFix[S1].txt - [1830 octets] ##########

gui28m85 · Answer

https://www.cjoint.com/?3KplUoYWRM2

gui28m85 · Answer

PureRa:
Total space cleaned: 9.89 MB

gui28m85 · Answer

fini?

g3n-h@ckm@n · Answer

ben si t'as tout fais oui ! ^^

gui28m85 · Answer

Et bien merci pour ton aide Sympa de prendre du temps pour aider

Virus SMART HDD

39 réponses

Discussions similaires